Recent, unul dintre utilizatorii noștri a întrebat „În pagina Github văd mai multe fișiere Windows 64; un fișier .exe, un fișier .md5sum și un fișier .sha256sum; pe care să descarc? ” Le-am spus să descarce fișierul .exe sau fișierul .zip de dimensiuni mai mari. Cele care au o dimensiune mai mare a fișierelor sunt fișierele reale ale portofelului, iar restul sunt doar sume de verificare. Bine! Dar ce sunt toate aceste fișiere MD5sum și SHA256sum și de ce dezvoltatorii pun aceste fișiere lângă fișierele descărcabile?
MD5 și SHA256 hash
SHA256sum și MD5sum sunt programe care implementează algoritmi hash SHA256 și respectiv MD5, care este utilizat în principal pentru a confirma integritatea și autenticitatea fișierului.
Atât MD5, cât și SHA256 sunt doi algoritmi de hash diferiți și revine dezvoltatorilor să decidă ce hash să furnizeze pe pagina de descărcare. După cum puteți vedea mai sus; dezvoltatorii proiectului Ravencoin au furnizat atât hash MD5, cât și hash SHA256 pentru verificarea fișierului de descărcare a portofelului. Dar acest lucru nu este ceva pe care îl veți găsi în pagina de descărcare a oricărui alt software de portofel de criptomonede. Datorită defectelor de securitate din algoritmul MD5, majoritatea dezvoltatorilor nu vor furniza hash MD5. În prezent, numai valorile hash SHA256 sunt utilizate pe scară largă.
Pe site-ul Monero este posibil să fi observat hash-urile SHA256 listate alături de software.
În timp ce unii dezvoltatori creează și distribuie hash-uri alături de fiecare lansare de software; unii dezvoltatori semnează digital fiecare nouă versiune a pachetului de instalare cu semnătura oficială a dezvoltatorului.
În nucleul Bitcoin veți găsi ceva numit semnături de lansare sau, cu alte cuvinte, acestea sunt numite și hashuri de lansare. Sunt fișiere ASC care conțin de obicei SHA256 hash și o semnătură PGP.
Doar descărcați fișierul și deschideți-l folosind Notepad sau, de preferință, în Notepad ++. Veți vedea un șir aleatoriu de litere și cifre similare cu acesta.
—–ÎNCEPE MESAJUL SEMNAT PGP—–
Hash: SHA256
5659c436ca92eed8ef42d5b2d162ff6283feba220748f9a373a5a53968975e34 bitcoin-0.17.1-aarch64-linux-gnu.tar.gz
aab3c1fb92e47734fadded1d3f9ccf0ac5a59e3cdc28c43a52fcab9f0cb395bc bitcoin-0.17.1-arm-linux-gnueabihf.tar.gz
b1e1dcf8265521fef9021a9d49d8661833e3f844ca9a410a9dd12a617553dda1 bitcoin-0.17.1-i686-pc-linux-gnu.tar.gz
6aa567381b95a20ac96b0b949701b04729a0c5796c320481bfa1db22da25efdb bitcoin-0.17.1-osx64.tar.gz
e3d785d800b71d277959d15b2c2b33d44dd72c1288e559928a40488dd935c949 bitcoin-0.17.1-osx.dmg
3e564fb5cf832f39e930e19c83ea53e09cfe6f93a663294ed83a32e194bda42a bitcoin-0.17.1.tar.gz
e9245e682126ef9fa4998eabbbdd1c3959df811dc10df60be626a5e5ffba9b78 bitcoin-0.17.1-win32-setup.exe
6464aa2d338f3697950613bb88124e58d6ce78ead5e9ecacb5ba79d1e86a4e30 bitcoin-0.17.1-win32.zip
fa1e80c5e4ecc705549a8061e5e7e0aa6b2d26967f99681b5989d9bd938d8467 bitcoin-0.17.1-win64-setup.exe
1abbe6aa170ce7d8263d262f8cb0ae2a5bb3993aacd2f0c7e5316ae595fe81d7 bitcoin-0.17.1-win64.zip
53ffca45809127c9ba33ce0080558634101ec49de5224b2998c489b6d0fc2b17 bitcoin-0.17.1-x86_64-linux-gnu.tar.gz
—–ÎNCEPE SEMNATURA PGP—–
Versiune: GnuPG v1.4.11 (GNU / Linux)
iQIcBAEBCAAGBQJcIeQ5AAoJEJDIAZ42wulk0NoQAIunIBT06bd2IhhxV / 48NUvf
sgTto4qYrKuX5Vkn + kfGuMBvNpmILi5CiVtnucWo7fKM6k5IPMyBQuE9iDVDzT9i
YemA9Au8Xy2aIGmVriuQoXxk8b17wAMS9uw362A3nXCz3kA + BWMDuMfBp3P3NPM /
PeOg6n04Q7seO / zNdT5i / ysaFB / XA8szrQxCRukSrXeGMUpv79UbcWOu3 + nfGit9
yYo / F2yO57Yacv597rKILlg29QxEVTqa5 + slMdwuU7NP5AdAcQV4EtFqoCOqM7C7
JL / zZWYnTywK3l0hOuCBJiY86izutWME5xgm7Eh3ORj + K6ZYT4iXw2JIkTdumeuS
X0WDE3ShH4rb35IaQX75FJLp5R7hLTXiNgng7b8Xhy / 62bJ75Ob4HVVSLG1Lkhps
vtml10br + 78qXiofzk8zaAW6KaG7G9nbBa0hfDjUEsYzA6P5iWA + 53ykupc82HNa
ZT2gk + wWhNhZOd / ANheriM0eqm / ZlK7oydYRRtf9Tamk + XJgREU1x8cWlMZcCPEE
uIUzb7 / REvYSjwcwArYLCq / eFPfjQe7jcG2WexnpxxkKJBvu2v4zVw9LLUPll094
BAmfk34iJKhN2cGVhvjO0Q9GKk0B2HzvhD5xn1Hnlp + NbXVNbKonYvkB71D3GY4W
t / eRyv7Erfi4dhHf + 8oQ
= UEoM
—–ÎNCHEI SEMNATURA PGP—–
Acestea sunt hash criptografice și aceste informații sunt furnizate utilizatorilor pentru a verifica integritatea fișierului. Dezvoltatorii de criptomonede și adesea site-urile web indică utilizatorii să verifice autenticitatea fișierului descărcat înainte de al utiliza. Cu toate acestea, majorității utilizatorilor nu le pasă sau nu sunt sigur ce să facă cu aceste informații. Așa că am decis să facem un subiect pe această temă. Aici, în acest ghid pentru începători, vă vom arăta cum să validați sumele de verificare (numai hash SHA256 și MD5 și nu semnăturile PGP).
Dar asteapta!? Oricum descarc portofelul din sursa oficială, așa că de ce ar trebui să verific dacă descărcarea portofelului meu este autentică? De asemenea, ce este suma de control și cum ajută verificarea sumei de control?
Ce înseamnă suma de control și cum funcționează?
Așa cum înseamnă cuvântul „suma de control” înseamnă a verifica ceva sau a verifica suma. Șirul de sumă de control este o valoare hash aleatorie care este creată prin scanarea conținutului programului. Dezvoltatorii creează și distribuie adesea aceste șiruri de sumă de verificare la lansarea fiecărui software de portofel. De ce?
Una dintre principalele probleme și preocupări principale în rândul utilizatorilor de criptomonede este securitatea și încrederea. Când descărcăm fișiere online, nu putem fi 100% siguri că fișierul este original; chiar dacă ați descărcat din sursa oficială. Există șanse ca un terț să modifice fișierul în tranzit sau să pirateze serverul unde este găzduit fișierul și să îl înlocuiască cu o versiune rău intenționată. Dar iată: dacă vreun terț încearcă să modifice software-ul, chiar și 1 bit, valoarea hash de ieșire a șirului sumelor de control va fi complet diferită de cea furnizată de dezvoltator. Furnizând sume de verificare, utilizatorii pot verifica și se pot asigura că au descărcat copia legitimă a software-ului portofel publicat de dezvoltator.
Una dintre modalitățile standardizate de a determina dacă un fișier de program a fost modificat din starea sa inițială sau nu este examinând valoarea lui hash (verificarea sumei de control). Pur și simplu calculați suma de control a software-ului și comparați-l cu cel partajat de dezvoltator. Dacă se potrivește, fișierul este autentic; dacă nu, fie descărcarea este coruptă, fie a fost modificată.
Verificarea hash-ului fișierelor descărcate înainte de a le utiliza este, în general, o bună practică de securitate. Dacă nu sunteți sigur cum să verificați suma de control, urmați ghidul de mai jos.
Cum se verifică suma de verificare (MD5 / SHA256) în Windows, Linux & Mac?
Pentru a explica lucrurile mai bine; aici, în acest tutorial, vom verifica suma de control a portofelului Monero GUI pentru a ne asigura că este într-adevăr fișierul corect. Puteți utiliza aceiași pași de mai jos pentru a verifica suma de verificare a oricărui fișier de descărcare a portofelului de criptomonede.
Mai întâi descărcați fișierul portofel sau software-ul pentru care doriți să validați suma de control.
Ferestre:
Navigați la folderul de descărcări sau la locația în care ați descărcat fișierul. Acum SHIFT + faceți clic dreapta și apoi faceți clic pe deschide fereastra PowerShell aici, care va deschide promptul de comandă.
Tastați „dir” fără ghilimele și apăsați Enter care va afișa lista tuturor fișierelor și folderelor din acel director.
Acum evidențiați fișierul pentru care doriți să verificați suma de verificare și apoi faceți clic pe CTRL + C pentru a copia. Apoi introduceți următoarea comandă în consecință pentru a verifica hash MD5 și SHA256 hash.
MD5: CertUtil -hashfile fișier MD5
SHA256: CertUtil -hashfile nume de fișier SHA256 (Exemplu: CertUtil -hashfile monero-gui-win-x64-v0.14.0.0.zip SHA256)
După ce ați terminat, apăsați Enter. Fereastra de comandă va afișa acum valoarea hash a fișierului în funcție de algoritmul hash ales. Dacă ați ales algoritmul SHA256, atunci acesta va afișa hash SHA256. Dacă ați ales algoritmul MD5, acesta va afișa hash MD5.
Linux:
Procedura este aceeași pentru Linux și Mac, cu excepția faptului că nu deschideți promptul de comandă aici. În schimb, vom folosi fereastra terminalului.
SHA256: sha256sum / | MD5: md5sum /
Mac: shasum -a 256 nume de fișier
Acum comparați valoarea hash generată în fereastra de comandă cu valoarea hash distribuită de dezvoltatorul portofelului. Copiați-le și verificați-le. Dacă ați obținut secvența potrivită, atunci fișierul portofel este legitim. Puteți continua și instalați acum. Totuși, dacă nu se potrivesc, nu instalați fișierul. Fie fișierul descărcat este corupt, fie poate fi rău intenționat. Asigurați-vă că ștergeți fișierul, îl descărcați din nou și apoi validați suma de verificare pentru a vă asigura că rezultatul validării este pozitiv.
Notă: Dezvoltatorii postează adesea valori hash ale instalatorilor de portofel descărcabili pe site-ul lor web și pe Github. Ce trebuie să rețineți este că fiecare valoare hash este unică și diferă pentru fiecare versiune. Deci, este important să verificați integritatea software-ului portofel de fiecare dată când descărcați o nouă versiune. În acest fel puteți fi siguri că software-ul pentru portofel pe care îl utilizați este o copie autentică.
Semnături digitale: semnături GPG / PGP
Dar asteapta!? Ce se întâmplă dacă site-ul web este compromis și hackerul a reușit să modifice atât fișierul portofel, cât și valorile hash în consecință? Se întâmplă și acesta este motivul pentru care majoritatea dezvoltatorilor nu vor publica atât valorile hash, cât și binele în aceeași locație. Mai mult, SHA256 și MD5 checksum sunt ceva pe care oamenii îl foloseau în primele zile. În prezent, PGP este utilizat pe scară largă, ceea ce reprezintă un mod mai sigur de verificare a integrității fișierului. În plus față de hasha SHA256, unii dezvoltatori publică hash-uri semnate PGP ale instalatorului de portofel. Unele, pe de altă parte, oferă doar semnături GPG.
În curând, într-un articol separat, vom aborda mai multe despre GPG și despre verificarea semnăturilor digitale.