कैसे, क्यों और कब आपको हैश चेक करना चाहिए

यहाँ हम सिर्फ गोपनीयता पर प्रेम खुला स्रोत सॉफ्टवेयर। यह मुख्य रूप से है, क्योंकि सही नहीं होने के बावजूद, खुला स्रोत यह सुनिश्चित करने का एकमात्र तरीका प्रदान करता है कि कोई कार्यक्रम स्तर पर हो.


हालाँकि, एक समस्या यह है कि आप कैसे जानते हैं कि एक खुला स्रोत प्रोग्राम जिसे आप किसी वेबसाइट से डाउनलोड करते हैं, वह प्रोग्राम है जिसे उसके डेवलपर (ओं) ने आपको डाउनलोड करने का इरादा दिया है? क्रिप्टोग्राफिक हैश इस समस्या का एक आंशिक समाधान है.

क्रिप्टोग्राफिक हैश क्या है?

एक क्रिप्टोग्राफ़िक हैश एक चेकसम या डिजिटल फिंगरप्रिंट है जो कंप्यूटर प्रोग्राम (या अन्य डिजिटल फ़ाइलों) के डेटा पर एक तरफ़ा हैश फ़ंक्शन (एक गणितीय ऑपरेशन) करके किया जाता है।.

कंप्यूटर प्रोग्राम के डेटा के सिर्फ एक बाइट में कोई भी परिवर्तन हैश मान को बदल देगा। इसलिए, हैश मान किसी भी प्रोग्राम या अन्य डिजिटल फ़ाइलों के लिए एक अद्वितीय फिंगरप्रिंट है.

हैश चेक क्या है?

यह सुनिश्चित करना कि किसी कार्यक्रम के साथ छेड़छाड़ नहीं की गई है, या सिर्फ भ्रष्ट है, अपने हैश मूल्य की गणना करने का एक बहुत ही सरल मामला है और फिर इसकी डेवलपर्स द्वारा प्रदान की गई हैश चेकसम के साथ तुलना करना.

यदि यह समान है, तो आपके पास आत्मविश्वास की एक उचित डिग्री है जिसे आपने डाउनलोड किया है कार्यक्रम ठीक उसी तरह है जैसे कि उसके डेवलपर द्वारा प्रकाशित किया गया है। यदि ऐसा नहीं है, तो कार्यक्रम को किसी तरह से बदल दिया गया है.

इसके कारण हमेशा दुर्भावनापूर्ण नहीं होते हैं (नीचे देखें), लेकिन एक असफल हैश चेक में खतरे की घंटी बजनी चाहिए.

हैश चेक के साथ समस्या

हैश चेक्स के गुणगान गाते समय आपने सावधानी से ध्यान दिया होगा...

सत्यनिष्ठा लेकिन प्रमाणीकरण नहीं

फ़ाइलों की अखंडता सुनिश्चित करने के लिए हैश चेक उपयोगी होते हैं, लेकिन वे किसी भी प्रकार का प्रमाणीकरण प्रदान नहीं करते हैं। यही है, वे उस फ़ाइल या प्रोग्राम को सुनिश्चित करने के लिए अच्छे हैं जो आपके पास स्रोत से मेल खाता है, लेकिन वे यह सत्यापित करने का कोई तरीका प्रदान नहीं करते हैं कि स्रोत वैध है.

हैश चेक, हैश चेकसम के स्रोत के रूप में कोई गारंटी नहीं देते हैं.

उदाहरण के लिए, नकली वेबसाइटें मौजूद हैं जो लोकप्रिय ओपन सोर्स सॉफ़्टवेयर जैसे KeePass के दुर्भावनापूर्ण संस्करणों को वितरित करती हैं। इनमें से कई वेबसाइटें अपने द्वारा सप्लाई किए जाने वाले कार्यक्रमों के लिए हैश चेकसम भी प्रदान करती हैं और क्या आप नकली प्रोग्राम के खिलाफ इनकी जांच करते हैं, तो वे मेल खाते हैं। उफ़.

गणितीय कमजोरियाँ

एक अतिरिक्त समस्या यह है कि गणितीय कमजोरियों का मतलब यह हो सकता है कि हैश उतना सुरक्षित नहीं है जितना उन्हें होना चाहिए.

उदाहरण के लिए, एमडी 5 एल्गोरिथ्म टकराव के हमलों के लिए ज्ञात भेद्यता के बावजूद एक अत्यधिक लोकप्रिय हैश फ़ंक्शन बना हुआ है। वास्तव में, यहां तक ​​कि SHA1 को भी इस संबंध में सुरक्षित नहीं माना जाता है.

इसके बावजूद, MD5 और SHA1 सबसे लोकप्रिय एल्गोरिदम हैं जो हैश मान उत्पन्न करने के लिए उपयोग किए जाते हैं। SHA256, हालांकि, सुरक्षित रहता है.

डेवलपर आलस्य

डेवलपर्स कभी-कभी बग फिक्स और नई सुविधाओं के साथ अपने कार्यक्रमों को अपडेट करते हैं, लेकिन एक अद्यतन हैश चेकसम प्रकाशित करने की उपेक्षा करते हैं। जब आप डाउनलोड करते हैं और उनके प्रोग्राम को सत्यापित करने का प्रयास करते हैं, तो यह विफल हैश चेक में परिणाम करता है.

यह, ज़ाहिर है, कहीं नहीं पास के रूप में गंभीर हैश चेक के रूप में दुर्भावनापूर्ण सॉफ़्टवेयर एक पास दे रहा है, लेकिन यह पारिस्थितिकी तंत्र में विश्वास को नीचा कर सकता है, जिसके परिणामस्वरूप लोग उन फ़ाइलों की अखंडता की जांच करने के लिए परेशान नहीं होते हैं जो वे डाउनलोड करते हैं...

क्रिप्टोग्राफिक हैश बनाम डिजिटल हस्ताक्षर

क्रिप्टोग्राफ़िक हैश के साथ अधिकांश समस्याएं डिजिटल हस्ताक्षर के उपयोग से तय होती हैं, जो अखंडता और प्रमाणीकरण दोनों की गारंटी देती हैं.

वे मालिक जो मालिकाना कोड का उपयोग करके खुश हैं, Microsoft, Apple, या Google PKI (सार्वजनिक कुंजी अवसंरचना) तकनीकों जैसे तंत्रों का उपयोग करते हुए, अपने सॉफ़्टवेयर को पहली बार स्थापित करने पर हस्ताक्षर को स्वचालित रूप से और पारदर्शी रूप से मान्य कर सकते हैं.

ओपन सोर्स डेवलपर्स के पास यह लक्जरी नहीं है। उन्हें PGP का उपयोग करना होगा, जो किसी भी मालिकाना ऑपरेटिंग सिस्टम द्वारा मूल रूप से समर्थित नहीं है, और क्यों लिनक्स में Microsoft, Apple या Google PKI का कोई समकक्ष मौजूद नहीं है.

इसलिए पीजीपी डिजिटल हस्ताक्षर मैन्युअल रूप से सत्यापित किए जाने चाहिए। लेकिन पीजीपी का उपयोग करने के लिए एक पूर्ण सुअर है और विंडोज में पीजीपी हस्ताक्षर की जांच करने के लिए हमारे गाइड पर एक त्वरित नज़र के रूप में, एक सरल प्रक्रिया नहीं है।.

न तो डेवलपर्स के लिए वास्तविक हस्ताक्षर प्रक्रिया है, जो अच्छी तरह से जानते हैं कि वास्तविक दुनिया में कुछ लोग डिजिटल हस्ताक्षर को मैन्युअल रूप से जांचने के लिए परेशान करते हैं, वैसे भी.

क्रिप्टोग्राफिक हैश पीजीपी डिजिटल हस्ताक्षर के रूप में कहीं भी सुरक्षित नहीं हैं, लेकिन वे उपयोग करने में बहुत आसान हैं, इस परिणाम के साथ कि कई डेवलपर्स बस अपने काम पर डिजिटल हस्ताक्षर करने के बजाय उन पर भरोसा करना चुनते हैं.

आपको वास्तव में हैश की जांच करनी चाहिए (यदि कोई डिजिटल हस्ताक्षर मौजूद नहीं है)

यह आदर्श स्थिति से कम है, और आपको हमेशा उपलब्ध होने पर एक खुले स्रोत कार्यक्रम के डिजिटल हस्ताक्षर की जांच करनी चाहिए। यदि कोई व्यक्ति नहीं है, लेकिन उसके क्रिप्टोग्राफ़िक हैश की जाँच करना कुछ नहीं करने से बेहतर है.

जब तक आप स्रोत के बारे में आश्वस्त होते हैं (उदाहरण के लिए आप सुनिश्चित हैं कि यह डेवलपर की वास्तविक वेबसाइट से है, जिसे एक नकली क्रिप्टोग्राफिक हैश प्रदर्शित करने के लिए हैक नहीं किया गया है), तो उसके हैश मान की जाँच करने से आप सॉफ्टवेयर का संयोग बना सकते हैं। डाउनलोड किया गया सॉफ्टवेयर उसके डेवलपर का इरादा है जिसे आप डाउनलोड करना चाहते हैं.

यदि खुले स्रोत सॉफ़्टवेयर के लिए न तो कोई डिजिटल हस्ताक्षर और न ही एक चेकसम उपलब्ध है, तो इसे स्थापित या चलाएं नहीं.

हैश चेक कैसे करें

मूल प्रक्रिया इस प्रकार है:

वैकल्पिक सबहडिंग

  1. डेवलपर द्वारा प्रकाशित हैश नंबर को नोट करें
  2. आपके पास फ़ाइल का हैश मान उत्पन्न करें
  3. दो हैश मूल्यों की तुलना करें

यदि वे समान हैं, तो आपके पास डेवलपर के पास इच्छित फ़ाइल है। यदि नहीं, तो यह या तो दूषित हो गया है या छेड़छाड़ की गई है.

यदि SHA256 + हैश उपलब्ध है, तो उसके खिलाफ जांच करें। यदि नहीं, तो SHA1 का उपयोग करें। केवल अंतिम उपाय के रूप में आपको एमडी 5 हैश के खिलाफ जांच करनी चाहिए.

आसान तरीका (सभी सिस्टम)

फ़ाइलों का हैश मान उत्पन्न करने का सबसे सरल तरीका ऑनलाइन टूल जैसी वेबसाइट का उपयोग करना है। जिस तरह के हैश मूल्य को आप उत्पन्न करना चाहते हैं, उसका चयन करें, फिर आवश्यक फ़ाइल को दिए गए स्थान में खींचें और छोड़ें और संबंधित हैश मान उत्पन्न हो जाएगा.

उदाहरण

हम KeePass.org वेबसाइट से डाउनलोड की गई KeePass इंस्टॉलर फाइल की अखंडता की जांच करना चाहते हैं (जिसे हम सही डोमेन होना जानते हैं)। वेबसाइट अपने KeePass के सभी संस्करणों के लिए MD5, SHA1 और SHA256 हैश प्रकाशित करती है, इसलिए हम डाउनलोड किए गए संस्करण के लिए SHA256 की जांच करेंगे.

  1. हम KeePass वेबसाइट पर प्रकाशित के रूप में, सही हैश मूल्य का एक नोट बनाते हैं.

  2. फिर हम ऑनलाइन टूल वेबसाइट पर जाते हैं, फाइल हैश का चयन करें: SHA256, और हमारे डाउनलोड किए गए KeePass इंस्टॉलर फाइल को दिए गए स्थान पर खींचें।.

  3. हम KeePass वेबसाइट पर प्रकाशित चेकसम के साथ आउटपुट की तुलना करते हैं और वे समान हैं। इसलिए यह मानते हुए कि झूठे हैश मूल्यों को प्रदर्शित करने के लिए KeePass वेबसाइट को हैक नहीं किया गया है, हम आश्वस्त हो सकते हैं कि हमने एक अनमैपरेड-फाइल डाउनलोड की है। वाह!

    विंडोज, मैकओएस और लिनक्स में अंतर्निहित हैश फ़ंक्शन भी हैं जिन्हें कमांड-लाइन के माध्यम से एक्सेस किया जा सकता है...

खिड़कियाँ

यह विधि विंडोज 10 में आउट-ऑफ-द-बॉक्स काम करती है, जबकि विंडोज 7 उपयोगकर्ताओं को पहले विंडोज पावर फ्रेमवर्क को विंडोज मैनेजमेंट फ्रेमवर्क 4.0 के साथ अपडेट करना होगा.

SHA256 हैश प्राप्त करने के लिए, राइट-क्लिक करें प्रारंभ करें -> Windows PowerShell और प्रकार:

Get-FileHash [पाथ / टू / फाइल]

उदाहरण के लिए:

Get-FileHash C: \ Users \ Douglas \ Downloads \ KeePass-2.43-Setup.exe

MD5 और SHA1 हैश की गणना सिंटैक्स का उपयोग करके की जा सकती है:

Get-FileHash [path to [path / to / file] -Al एल्गोरिदम MD5

तथा

Get-FileHash [path to [path / to / file] -Al एल्गोरिदम SHA1

उदाहरण के लिए:

Get-FileHash C: \ Users \ Douglas \ Downloads \ KeePass-2.43-Setup.exe -Alolderm-100

मैक ओ एस

टर्मिनल खोलें और टाइप करें:

खुलता है [हैश प्रकार] [/ पथ / से / फ़ाइल]

हैश टाइप md5, SHA1 या SHA256 होना चाहिए.

उदाहरण के लिए, Windows KeePass इंस्टॉलर के लिए SHA256 हैश की जांच करने के लिए (बस इस ट्यूटोरियल के लिए चीजों को सरल रखने के लिए), टाइप करें:

खुलता है sha256 /Users/douglascrawford/Downloads/KeePass-2.43-etet.exe

लिनक्स

टर्मिनल खोलें और या तो टाइप करें:

Md5sum [पथ / से / फ़ाइल] Sha1sum [पथ / से / फ़ाइल]

या

Sha256sum [पथ / करने के लिए / फ़ाइल]

उदाहरण के लिए:

sha256sum /home/dougie/Downloads/KeePass-2.43-Setup.exe

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me