Jakie są różnice między „md5sum” a „sha256sum”?

13

Dlaczego potrzebujemy dwóch narzędzi do weryfikacji ISO. czy są jakieś szczególne rzeczy do rozważenia między nimi?

rɑːdʒɑ
źródło

Odpowiedzi:

11

Krótka odpowiedź: do weryfikacji ISO nie ma praktycznej różnicy, używaj tego, co chcesz, pod warunkiem, że ufasz źródłu podającemu sumy. MD5 jest / było kiedyś standardem, ale świat komputerów zmierza w kierunku przyjęcia SHA, ponieważ jest nowszy i „lepszy” na przyszłość; stąd kwoty SHA są często podawane jako alternatywa.

  • md5sumi sha256sumsą programami, które implementują odpowiednio algorytmy mieszające MD5 i SHA-256
  • Zasadniczo algorytm skrótu pobiera dane wejściowe o dowolnej (dowolnej) długości i wykonuje na nim obliczenia matematyczne, aby uzyskać stosunkowo małe dane wyjściowe o stałej długości, zwane „skrótem” (lub „sumą”)
  • Weryfikacja integralności danych (np. ISO) to tylko jedno z wielu zastosowań skrótów
  • Podstawowa różnica między starszych i nowszych MD5 SHA-256 skrótów jest MD5 generuje sygnał wyjściowy 128 bitów, a SHA-256 generuje sygnał wyjściowy 256-bitową
  • Aby weryfikacja danych (ISO) działała, skrót danych musi być unikatowy, aby żadne inne dane nie generowały takiej samej sumy MD5 lub sumy SHA-256.
    • Teoretycznie jest to możliwe, tzn. Dwa zestawy danych wejściowych wytwarzają ten sam skrót wyjściowy, zwany „kolizją”.
    • Szansa na takie kolizje jest mniejsza w przypadku SHA-256 w porównaniu z MD5, ponieważ jego 256-bitowy skrót jest dwukrotnie większy niż 128-bitowy skrót MD5.
    • W praktyce prawdopodobieństwo kolizji podczas weryfikacji ISO, nawet przy MD5, wynosi zero, biorąc pod uwagę rozmiar ISO ponad 100 MB.
  • Ponieważ jednak świat komputerów zmierza w kierunku SHA, ponieważ jest to nowszy i „lepszy” skrót w przyszłości, sumy kontrolne ISO są często dostarczane w wielu formatach.
ish
źródło
3
Dla przypomnienia, nieco mylące jest twierdzenie, że SHA jest po prostu „nowsza i„ lepsza ””. MD5 jest uważany za całkowicie niepewny pod względem kryptograficznym ze względu na łatwość tworzenia kolizji (co czyni go prawdopodobnie mniej przydatnym do weryfikacji ISO). MD5 nie powinien już być używany, kropka, do czegokolwiek. Na stronie Wikipedii jest teraz dobre podsumowanie tego, co jest nie tak z MD5.
chazomaticus
4

Ze strony How To SHA256 SUM

Program sha256sum służy do sprawdzania integralności danych za pomocą SHA-256 (rodzina SHA-2 o długości 256 bitów). Właściwie użyte skróty SHA-256 mogą potwierdzić zarówno integralność pliku, jak i autentyczność . SHA-256 służy podobnemu celowi do wcześniejszego algorytmu zalecanego przez Ubuntu, MD5, ale jest mniej podatny na ataki . Pod względem bezpieczeństwa skróty kryptograficzne, takie jak SHA-256, umożliwiają uwierzytelnianie danych uzyskanych z niezabezpieczonych kopii lustrzanych.

Od Jak do MD5SUM

Program md5sum służy do weryfikacji integralności danych za pomocą 128-bitowego skrótu kryptograficznego MD5 (algorytm Message-Digest 5) . Właściwie użyte skróty MD5 mogą potwierdzić zarówno integralność pliku, jak i autentyczność. Skrót MD5 musi być podpisany lub pochodzić z bezpiecznego źródła (strony HTTPS) organizacji, której ufasz. Chociaż wykryto luki w zabezpieczeniach algorytmu MD5, skróty MD5 są nadal przydatne, gdy ufasz organizacji, która je produkuje.

Zasadniczo jest to miara zagrożenia bezpieczeństwa. Jeśli używasz nieoficjalnych kopii lustrzanych do pobierania plików ISO, prawdopodobnie oba mogą być użyte do zapewnienia integralności pliku.

atenz
źródło
0

MD5 i SHA-2 to różne algorytmy mieszające. Deweloperzy decydują, czego chcą użyć jako łatwego sposobu sprawdzenia integralności danych.

W tym przypadku są one używane do „osiągnięcia” tego samego, jednak wyniki (skrót) są zupełnie inne.

Gibbs
źródło
0

Alternatywą dla walidacji md5sum są sumy sha1 i sha256, jak wyjaśniono powyżej.

Załóżmy , że pobierasz lub torrentujesz najnowszą wersję ISO ze strony wydań , powiedz Raring . Zauważ, że u góry znajduje się plik o nazwie SHA1SUMS, a także SHA256SUMS , każdy z długim numerem dla każdego pliku .iso.

Po zakończeniu pobierania pliku .iso możesz obliczyć sumę sha1 lub sha256, aby upewnić się, że jest zgodna z wartością w pliku SHA1SUMS. Możesz to zrobić z wysypką .

Najpierw zainstaluj. Jeśli na Ubuntu:

sudo apt-get install rhash

W przypadku innych systemów operacyjnych możesz go pobrać tutaj .

Następnie oblicz sumę sha1 lub sha256 dla pobranego pliku. Na przykład dla ubuntu-13.04-desktop-amd64.iso pobrałem:

$ rhash --sha1 ubuntu-13.04-desktop-amd64.iso
ffed440f1dc1b43d9c170bd21e5ff669a59447f8  ubuntu-13.04-desktop-amd64.iso
$
$ rhash --sha256 ubuntu-13.04-desktop-amd64.iso
b4b20e0293c2305e83a60c605d39cabf43115794d574c68f1492d49fee0ab3d8  ubuntu-13.04-desktop-amd64.iso
$ 

Wartości odpowiednio odpowiadają wartościom w plikach SHA1SUMS i SHA256SUMS , sprawdzając poprawność pobierania.

Możesz także uruchomić rhash --md5 ubuntu-13.04-desktop-amd64.isoi porównać z plikiem MD5SUMS .

yuvilio
źródło