كيف ولماذا ومتى يجب أن تحقق التجزئة

هنا في ProPrivacy نحن فقط حب البرمجيات مفتوحة المصدر. هذا بشكل رئيسي لأنه على الرغم من عدم كونه مفتوحًا ، فإن المصدر المفتوح يوفر الطريقة الوحيدة لمعرفة التأكد من وجود برنامج على المستوى.

ومع ذلك ، فإن إحدى المشكلات هي كيف تعرف أن البرنامج المفتوح المصدر الذي تقوم بتنزيله من موقع الويب هو البرنامج الذي ينوي مطور (مطوروه) تنزيله؟ تجزئات التشفير هي حل جزئي لهذه المشكلة.

ما هو تجزئة التشفير?

تجزئة التشفير هي مجموعة اختبارية أو بصمة رقمية مشتقة من خلال أداء دالة تجزئة أحادية الاتجاه (عملية رياضية) على البيانات التي تتضمن برنامج كمبيوتر (أو ملفات رقمية أخرى).

أي تغيير في بايت واحد فقط من البيانات التي تتضمن برنامج الكمبيوتر سيغير قيمة التجزئة. لذلك ، فإن قيمة التجزئة هي بصمة فريدة لأي برنامج أو ملفات رقمية أخرى.

ما هو الاختيار التجزئة?

يعد التأكد من عدم العبث بالبرنامج أو تلفه مجرد مسألة بسيطة إلى حد ما لحساب قيمة التجزئة الخاصة به ثم مقارنتها مع المجموع الاختباري للتجزئة الذي يوفره مطورو البرامج..

إذا كان هو نفسه ، فأنت لديك درجة معقولة من الثقة في أن البرنامج الذي قمت بتنزيله هو بالضبط نفس البرنامج الذي نشره المطور. إذا لم يكن كذلك ، فقد تم تغيير البرنامج بطريقة ما.

أسباب هذا ليست دائما ضارة (انظر أدناه) ، ولكن فشل التحقق من التجزئة يجب أن يدق أجراس الإنذار.

مشاكل مع الشيكات التجزئة

ربما تكون قد اكتشفت ملاحظة تحذيرية عند غناء مدح شيكات التجزئة...

سلامة ولكن ليس المصادقة

تعد عمليات التحقق من التجزئة مفيدة لضمان سلامة الملفات ، لكنها لا توفر أي نوع من المصادقة. أي أنها جيدة لضمان مطابقة الملف أو البرنامج لديك مع المصدر ، ولكنها لا توفر أي وسيلة للتحقق من أن المصدر شرعي.

الشيكات التجزئة لا توفر أي ضمان لمصدر اختباري التجزئة.

على سبيل المثال ، توجد مواقع ويب مزيفة تقوم بتوزيع إصدارات ضارة من البرامج المفتوحة المصدر الشائعة مثل KeePass. حتى أن العديد من هذه المواقع تقدم كشوف تجزئة للبرامج التي تقدمها ، وإذا كنت ستقوم بمراجعتها مقابل البرنامج المزيف ، فستتطابق. وجه الفتاة.

نقاط الضعف الرياضية

هناك مشكلة إضافية تتمثل في أن نقاط الضعف الرياضية يمكن أن تعني أن التجزئة ليست آمنة كما ينبغي.

خوارزمية MD5 ، على سبيل المثال ، لا تزال وظيفة تجزئة ذات شعبية كبيرة ، على الرغم من تعرضها المعروف لهجمات التصادم. في الواقع ، حتى SHA1 لم تعد آمنة في هذا الصدد.

على الرغم من ذلك ، تظل MD5 و SHA1 الخوارزميات الأكثر شيوعًا المستخدمة لإنشاء قيم التجزئة. SHA256 ، ومع ذلك ، لا تزال آمنة.

المطور الكسل

يقوم المطورون أحيانًا بتحديث برامجهم بإصلاحات الأخطاء والميزات الجديدة ، لكنهم يهملون في نشر المجموع الاختباري للتجزئة. ينتج عن هذا اختبار تجزئة فاشل عند التنزيل ومحاولة التحقق من البرنامج.

هذا ، بالطبع ، ليس في أي مكان خطير مثل فحص التجزئة الذي يمنح البرنامج الضار تصريحا ، لكنه يمكن أن يضعف الثقة في النظام البيئي ، مما يؤدي إلى عدم إزعاج الأشخاص للتحقق من سلامة الملفات التي يقومون بتنزيلها...

تجزئة التشفير مقابل التوقيعات الرقمية

يتم إصلاح معظم مشاكل تجزئة التشفير عن طريق استخدام التوقيعات الرقمية ، والتي تضمن كل من النزاهة والمصادقة.

يمكن للمطورين الذين يسعدون استخدام شفرة الملكية تلقائيًا وشفافية التحقق من صحة التوقيعات عند تثبيت برامجهم لأول مرة ، باستخدام آليات مثل تقنيات Microsoft أو Apple أو Google PKI (البنية التحتية للمفتاح العام).

مطوري البرمجيات مفتوحة المصدر ليس لديهم هذا الفخامة. يجب عليهم استخدام PGP ، وهو غير معتمد أصلاً من قبل أي نظام تشغيل خاص ، ولماذا لا يوجد أي مكافئ لنظام Microsoft أو Apple أو Google PKIs في Linux.

لذلك يجب أن يتم التحقق من التوقيعات الرقمية PGP يدويا. لكن PGP تعد خنزيرًا كاملًا للاستخدام وليست عملية بسيطة ، حيث ستظهر لك نظرة سريعة على دليلنا للتحقق من توقيعات PGP في Windows.

لا عملية التوقيع الفعلية للمطورين ، الذين يدركون جيدًا أنه في العالم الواقعي ، لا يهتم كثير من الناس بالتحقق من التوقيعات الرقمية يدويًا ، على أي حال.

تجزئة التشفير ليست آمنة في أي مكان مثل التواقيع الرقمية لـ PGP ، لكنها أسهل في الاستخدام ، ونتيجة لذلك يختار العديد من المطورين الاعتماد عليها بدلاً من التوقيع على عملهم رقميًا.

يجب عليك التحقق من التجزئة (في حالة عدم وجود توقيع رقمي)

هذا وضع أقل من المستوى المثالي ، ويجب عليك دائمًا التحقق من التوقيع الرقمي لبرنامج مفتوح المصدر عند توفره. إذا لم يكن الأمر كذلك ، فإن فحص تجزئة التشفير أفضل بكثير من عدم القيام بأي شيء.

طالما كنت واثقًا من المصدر (على سبيل المثال ، فأنت متأكد من أنه من موقع الويب الحقيقي للمطور ، والذي لم يتم اختراقه لعرض علامة تجزئة وهمية) ، ثم يوفر التحقق من قيمة التجزئة درجة جيدة من المصادفة التي يوفرها البرنامج الذي تستخدمه لقد قمت بتنزيل البرنامج الذي يهدف المطور الخاص به إلى تنزيله.

إذا لم يكن التوقيع الرقمي أو المجموع الاختباري متاحًا لبرنامج مفتوح المصدر ، فلا تقم بتثبيته أو تشغيله.

كيفية تجزئة الاختيار

العملية الأساسية هي كما يلي:

عنوان فرعي اختياري

  1. قم بتدوين رقم التجزئة الذي نشره المطور
  2. توليد قيمة تجزئة الملف لديك
  3. قارن بين قيمتي التجزئة

إذا كانت متطابقة ، فعندئذٍ لديك الملف الذي ينوي المطور أن يكون لديك. إذا لم يكن الأمر كذلك ، فقد أصبح تالفًا أو تم العبث به.

في حالة توفر تجزئة SHA256 + ، تحقق من ذلك. إذا لم يكن كذلك ، فاستخدم SHA1. فقط كحل أخير يجب عليك التحقق من تجزئة MD5.

الطريقة السهلة (جميع الأنظمة)

إن أبسط طريقة لإنشاء قيمة تجزئة الملفات هي باستخدام موقع ويب مثل أدوات الإنترنت. ما عليك سوى اختيار نوع قيمة التجزئة التي تحتاج إلى إنشائها ، ثم قم بسحب وإفلات الملف المطلوب في المساحة المتوفرة وسيتم إنشاء قيمة التجزئة ذات الصلة.

مثال

نريد التحقق من سلامة ملف مثبت KeePass الذي قمنا بتنزيله من موقع KeePass.org (الذي نعرف أنه المجال الصحيح). يقوم موقع الويب بنشر تجزئة MD5 و SHA1 و SHA256 لجميع إصدارات KeePass الخاصة به ، لذلك سوف نتحقق من SHA256 للإصدار الذي قمنا بتنزيله.

  1. نقوم بتدوين قيمة التجزئة الصحيحة ، كما هو منشور على موقع KeePass.

  2. ثم نزور موقع "أدوات الإنترنت" ، وحدد File Hash: SHA256 ، وسحب ملف مثبت KeePass الذي تم تنزيله إلى المساحة المتوفرة.

  3. قارنا الناتج مع المجموع الاختباري المنشور على موقع KeePass وهو متطابق. لذلك ، بافتراض أن موقع KeePass لم يتم اختراقه لعرض قيم تجزئة زائفة ، يمكننا أن نكون على ثقة من أننا قمنا بتنزيل ملف بدون العبث به. ياي!

    يحتوي كل من Windows و macOS و Linux على وظائف قيمة تجزئة مدمجة يمكن الوصول إليها عبر سطر الأوامر...

شبابيك

تعمل هذه الطريقة في نظام التشغيل Windows 10 ، بينما يحتاج مستخدمو Windows 7 إلى تحديث Windows PowerShell أولاً مع Windows Management Framework 4.0.

للحصول على تجزئة SHA256 ، انقر بزر الماوس الأيمن فوق ابدأ -> ويندوز PowerShell ونوع:

Get-FileHash [path / to / file]

فمثلا:

Get-FileHash C: \ Users \ Douglas \ Downloads \ KeePass-2.43-Setup.exe

يمكن حساب التجزئة MD5 و SHA1 باستخدام بناء الجملة:

Get-FileHash [المسار إلى [path / to / file] -Algorithm MD5

و

Get-FileHash [المسار إلى [path / to / file] -Algorithm SHA1

فمثلا:

Get-FileHash C: \ Users \ Douglas \ Downloads \ KeePass-2.43-Setup.exe -Algorithm MD5

ماك

فتح الطرفية ونوع:

openssl [نوع التجزئة] [/ path / to / file]

يجب أن يكون نوع التجزئة md5 أو SHA1 أو SHA256.

على سبيل المثال ، للتحقق من تجزئة SHA256 لمثبت Windows KeePass (فقط لإبقاء الأمور بسيطة لهذا البرنامج التعليمي) ، اكتب:

openssl sha256 / المستخدمون / douglascrawford/Downloads/KeePass-2.43-Setup.exe

لينكس

افتح المحطة الطرفية واكتب إما:

Md5sum [path / to / file] Sha1sum [path / to / file]

أو

Sha256sum [المسار / إلى / ملف]

فمثلا:

sha256sum / home/dougie/Downloads/KeePass-2.43-Setup.exe

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me