Quali sono le differenze tra "md5sum" e "sha256sum"?

13

Perché abbiamo bisogno di due strumenti per verificare ISO. c'è qualche cosa specifica da considerare tra di loro?

iso  md5sum 
rɑːdʒɑ
fonte

Risposte:

11

Risposta breve: per verificare gli ISO, non vi è alcuna differenza pratica, usare quello che vuoi, purché ti fidi della fonte che fornisce le somme. MD5 è / usato per essere lo standard, ma il mondo dell'informatica si sta muovendo verso l'adozione di SHA poiché è più recente e "migliore" per il futuro; pertanto, le somme SHA sono spesso fornite in alternativa.

  • md5sume sha256sumsono programmi che implementano rispettivamente gli algoritmi hash MD5 e SHA-256
  • In generale, un algoritmo di hash accetta un input di qualsiasi lunghezza (arbitraria) ed esegue calcoli matematici su di esso per produrre un output relativamente piccolo, di lunghezza fissa, chiamato "hash" (o "somma")
  • La verifica dell'integrità dei dati (ad es. ISO) è solo uno dei tanti usi per gli hash
  • La differenza principale tra il vecchio MD5 e il nuovo hash SHA-256 è che MD5 produce un output a 128 bit mentre SHA-256 produce un output a 256 bit
  • Perché la verifica dei dati (ISO) funzioni, l'hash dei dati deve essere effettivamente univoco, in modo che nessun altro dato produca la stessa somma MD5 o SHA-256.
    • In teoria, ciò è possibile, ovvero due serie di dati di input producono lo stesso hash di output, chiamato "collisione".
    • La possibilità di tali collisioni è inferiore con SHA-256 rispetto a MD5 perché il suo hash a 256 bit è il doppio delle dimensioni dell'hash a 128 bit di MD5.
    • In pratica , la possibilità di una collisione durante la verifica di ISO, anche con MD5, è pari a zero, date le dimensioni di oltre 100 MB di ISO.
  • Tuttavia, poiché il mondo dell'informatica si sta muovendo verso SHA perché è un hash più nuovo e "migliore" per il futuro, i checksum ISO sono spesso forniti in più formati.
ish
fonte
3
Per la cronaca, è in qualche modo fuorviante affermare che SHA è semplicemente "più recente e" migliore ". L'MD5 è considerato totalmente crittograficamente insicuro a causa di quanto sia facile produrre collisioni (il che lo rende anche probabilmente meno utile per la verifica degli ISO). MD5 non dovrebbe più essere usato, punto, per niente. La pagina di Wikipedia ha un buon riassunto di ciò che non va in MD5 proprio ora, in pratica.
Chazomaticus,
4

Dalla pagina SOMMARIO SHA256

Il programma sha256sum è progettato per verificare l'integrità dei dati utilizzando SHA-256 (famiglia SHA-2 con una lunghezza digest di 256 bit). Gli hash SHA-256 utilizzati correttamente possono confermare l'integrità e l'autenticità dei file . SHA-256 ha uno scopo simile a un algoritmo precedente consigliato da Ubuntu, MD5, ma è meno vulnerabile agli attacchi . In termini di sicurezza, gli hash crittografici come SHA-256 consentono l'autenticazione dei dati ottenuti da mirror non sicuri.

Da come a MD5SUM

Il programma md5sum è progettato per verificare l'integrità dei dati utilizzando l' hash crittografico a 128 bit MD5 (Message-Digest algoritmo 5) . Gli hash MD5 usati correttamente possono confermare sia l'integrità che l'autenticità dei file. L'hash MD5 deve essere firmato o provenire da un'origine sicura (una pagina HTTPS) di un'organizzazione di cui ti fidi. Mentre i difetti di sicurezza dell'algoritmo MD5 sono stati scoperti , gli hash MD5 sono ancora utili quando ci si fida dell'organizzazione che li produce.

Fondamentalmente è una misura di preoccupazione per la sicurezza. Se si utilizzano mirror non ufficiali per il download degli ISO, probabilmente entrambi possono essere utilizzati per assicurarsi dell'integrità del file.

atenz
fonte
0

MD5 e SHA-2 sono algoritmi di hashing diversi. Spetta allo sviluppatore / gli sviluppatori decidere cosa vogliono utilizzare come modo semplice per verificare l'integrità dei dati.

In questo caso vengono utilizzati per "ottenere" la stessa cosa, tuttavia i risultati (l'hash) sono completamente diversi.

Gibbs
fonte
0

Un'alternativa alla convalida md5sum sono le somme sha1 e sha256 come spiegato sopra.

Supponiamo che scarichi o esegua il torrent degli ultimi ISO dal sito delle versioni , ad esempio Raring . Si noti in alto che esiste un file chiamato SHA1SUMS e uno SHA256SUMS , ciascuno con un numero lungo per ciascun file .iso.

Una volta completato il download del file .iso, è possibile calcolare la somma sha1 o sha256 per assicurarsi che corrisponda al valore nel file SHA1SUMS. Puoi farlo con rhash .

Prima installalo. Se su Ubuntu:

sudo apt-get install rhash

Per altri sistemi operativi, puoi scaricarlo qui .

Quindi calcola la somma di sha1 o sha256 per il file scaricato. Ad esempio per Ubuntu-13.04-desktop-amd64.iso che ho scaricato:

$ rhash --sha1 ubuntu-13.04-desktop-amd64.iso
ffed440f1dc1b43d9c170bd21e5ff669a59447f8  ubuntu-13.04-desktop-amd64.iso
$
$ rhash --sha256 ubuntu-13.04-desktop-amd64.iso
b4b20e0293c2305e83a60c605d39cabf43115794d574c68f1492d49fee0ab3d8  ubuntu-13.04-desktop-amd64.iso
$

I valori corrispondono rispettivamente a quelli nei file SHA1SUMS e SHA256SUMS , convalidando il download.

Puoi anche eseguire rhash --md5 ubuntu-13.04-desktop-amd64.isoe confrontare il file MD5SUMS .

yuvilio
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.