Nesen viens no mūsu lietotājiem jautāja: “Github lapā es redzu vairākus Windows 64 failus; .exe fails, .md5sum fails un .sha256sum fails; kuru man lejupielādēt? ” Mēs teicām viņiem lejupielādēt .exe failu vai .zip failu, kura izmērs ir lielāks. Tie, kuru faila lielums ir lielāks, ir faktiskie maka faili, un pārējie ir tikai kontrolsummas. Labi! Bet kādi ir visi šie MD5sum un SHA256sum faili un kāpēc izstrādātāji šos failus liek blakus lejupielādējamiem failiem?
MD5 un SHA256 hash
SHA256sum un MD5sum ir programmas, kas ievieš attiecīgi SHA256 un MD5 jaukšanas algoritmus, kurus galvenokārt izmanto, lai apstiprinātu faila integritāti un autentiskumu.
Gan MD5, gan SHA256 ir divi atšķirīgi jaukšanas algoritmi, un izstrādātāji paši izlemj, kuru jaucējkrānu nodrošināt hash lejupielādes lapā. Kā jūs varat redzēt iepriekš; Ravencoin projekta izstrādātāji ir norādījuši gan MD5, gan SHA256 hash, lai pārbaudītu seifa lejupielādes failu. Bet tas nav kaut kas, ko atradīsit katras citas kriptonauda seifa programmatūras lejupielādes lapā. Drošības trūkumu dēļ MD5 algoritmā lielākā daļa izstrādātāju nenodrošinās MD5 jaukšanu. Pašlaik plaši tiek izmantotas tikai SHA256 jaukšanas vērtības.
Monero vietnē jūs, iespējams, pamanījāt SHA256 hashes, kas uzskaitīti blakus programmatūrai.
Kaut arī daži izstrādātāji rada un izplata hashes kopā ar katru programmatūras laidienu; daži izstrādātāji katru jauno instalētāja pakotnes versiju paraksta ar oficiālu izstrādātāja parakstu.
Bitcoin kodolā jūs atradīsit kaut ko sauc par izlaišanas parakstiem vai, citiem vārdiem sakot, tos sauc arī par izlaišanas jaukumiem. Tie ir ASC fails, kas parasti satur SHA256 hash un PGP parakstu.
Vienkārši lejupielādējiet failu un atveriet to, izmantojot Notepad vai vēlams Notepad ++. Tiks parādīta nejauša burtu un ciparu virkne, kas līdzīga šim.
—–SĀK PGP PARAKSTĪTO ZIŅU—–
Hash: SHA256
5659c436ca92eed8ef42d5b2d162ff6283feba220748f9a373a5a53968975e34 bitcoin-0.17.1-aarch64-linux-gnu.tar.gz
aab3c1fb92e47734fadded1d3f9ccf0ac5a59e3cdc28c43a52fcab9f0cb395bc bitcoin-0.17.1-arm-linux-gnueabihf.tar.gz
b1e1dcf8265521fef9021a9d49d8661833e3f844ca9a410a9dd12a617553dda1 bitcoin-0.17.1-i686-pc-linux-gnu.tar.gz
6aa567381b95a20ac96b0b949701b04729a0c5796c320481bfa1db22da25efdb bitcoin-0.17.1-osx64.tar.gz
e3d785d800b71d277959d15b2c2b33d44dd72c1288e559928a40488dd935c949 bitcoin-0.17.1-osx.dmg
3e564fb5cf832f39e930e19c83ea53e09cfe6f93a663294ed83a32e194bda42a bitcoin-0.17.1.tar.gz
e9245e682126ef9fa4998eabbbdd1c3959df811dc10df60be626a5e5ffba9b78 bitcoin-0.17.1-win32-setup.exe
6464aa2d338f3697950613bb88124e58d6ce78ead5e9ecacb5ba79d1e86a4e30 bitcoin-0.17.1-win32.zip
fa1e80c5e4ecc705549a8061e5e7e0aa6b2d26967f99681b5989d9bd938d8467 bitcoin-0.17.1-win64-setup.exe
1abbe6aa170ce7d8263d262f8cb0ae2a5bb3993aacd2f0c7e5316ae595fe81d7 bitcoin-0.17.1-win64.zip
53ffca45809127c9ba33ce0080558634101ec49de5224b2998c489b6d0fc2b17 bitcoin-0.17.1-x86_64-linux-gnu.tar.gz
—–SĀKT PGP PARAKSTU—–
Versija: GnuPG v1.4.11 (GNU / Linux)
iQIcBAEBCAAGBQJcIeQ5AAoJEJDIAZ42wulk0NoQAIunIBT06bd2IhhxV / 48NUvf
sgTto4qYrKuX5Vkn + kfGuMBvNpmILi5CiVtnucWo7fKM6k5IPMyBQuE9iDVDzT9i
YemA9Au8Xy2aIGmVriuQoXxk8b17wAMS9uw362A3nXCz3kA + BWMDuMfBp3P3NPM /
PeOg6n04Q7seO / zNdT5i / ysaFB / XA8szrQxCRukSrXeGMUpv79UbcWOu3 + nfGit9
yYo / F2yO57Yacv597rKILlg29QxEVTqa5 + slMdwuU7NP5AdAcQV4EtFqoCOqM7C7
JL / zZWYnTywK3l0hOuCBJiY86izutWME5xgm7Eh3ORj + K6ZYT4iXw2JIkTdumeuS
X0WDE3ShH4rb35IaQX75FJLp5R7hLTXiNgng7b8Xhy / 62bJ75Ob4HVVSLG1Lkhps
vtml10br + 78qXiofzk8zaAW6KaG7G9nbBa0hfDjUEsYzA6P5iWA + 53ykupc82HNa
ZT2gk + wWhNhZOd / ANheriM0eqm / ZlK7oydYRRtf9Tamk + XJgREU1x8cWlMZcCPEE
uIUzb7 / REvYSjwcwArYLCq / eFPfjQe7jcG2WexnpxxkKJBvu2v4zVw9LLUPll094
BAmfk34iJKhN2cGVhvjO0Q9GKk0B2HzvhD5xn1Hnlp + NbXVNbKonYvkB71D3GY4W
t / eRyv7Erfi4dhHf + 8oQ
= UEoM
—–BEIGT PGP PARAKSTU—–
Tie ir kriptogrāfijas jaucēji, un šī informācija tiek sniegta lietotājiem, lai pārbaudītu faila integritāti. Kriptovalūtas izstrādātāji un bieži vien vietnes norāda lietotājiem pārbaudīt lejupielādes faila autentiskumu pirms tā izmantošanas. Tomēr lielākajai daļai lietotāju ir vienalga vai nav skaidrs, ko darīt ar šo informāciju. Tāpēc mēs nolēmām izveidot tēmu par šo tēmu. Šajā iesācēju ceļvedī mēs parādīsim, kā apstiprināt kontrolsummas (tikai SHA256 jaukšana un MD5 jaukšana, nevis PGP paraksti).
Bet pagaidi!? Jebkurā gadījumā es lejupielādēju seifu no oficiālā avota, tad kāpēc man jāpārbauda, vai mana maka lejupielāde ir autentiska? Arī tas, kas ir kontrolsumma, un kā kontrolsummas pārbaude palīdz?
Ko nozīmē kontrolsumma un kā tā darbojas?
Tā kā vārds nozīmē, kontrolsumma nozīmē kaut ko pārbaudīt vai pārbaudīt summu. Kontrolsummas virkne ir nejauša hash vērtība, kas tiek izveidota, skenējot programmas saturu. Izstrādātāji bieži izveido un izplata šīs kontrolsummas virknes, izlaižot katru seifa programmatūru. Kāpēc?
Viens no galvenajiem jautājumiem un galvenajām bažām kriptonauda lietotāju vidū ir drošība un uzticēšanās. Lejupielādējot failus tiešsaistē, mēs nevaram būt 100% pārliecināti, ka fails ir oriģināls; pat ja esat lejupielādējis no oficiālā avota. Pastāv iespēja, ka trešā puse var modificēt transportējamo failu vai uzlauzt serveri, kurā fails tiek mitināts, un aizstāt to ar ļaunprātīgu versiju. Bet šeit ir tā: ja kāda trešā puse mēģina mainīt programmatūru, pat 1 bitu, tad kontrolsummas virknes izvades jaucējvērtība būs pilnīgi atšķirīga no izstrādātāja sniegtās. Nodrošinot kontrolsummas, lietotāji var pārbaudīt un pārliecināties, ka viņi ir lejupielādējuši izstrādātāja publicētās seifa programmatūras likumīgo kopiju..
Viens no standartizētiem veidiem, kā noteikt, vai programmas fails ir mainīts no sākotnējā stāvokļa, ir, skatoties tā jaukšanas vērtību (pārbaudot kontrolsummu). Vienkārši aprēķiniet programmatūras kontrolsummu un salīdziniet to ar izstrādātāja kopīgo. Ja tas sakrīt, fails ir autentisks; ja nē, vai nu lejupielāde ir bojāta, vai arī tā ir mainīta.
Pārbaudīt lejupielādēto failu jaukšanu pirms to izmantošanas parasti ir laba drošības prakse. Ja neesat pārliecināts, kā pārbaudīt kontrolsummu, izpildiet tālāk sniegto rokasgrāmatu.
Kā pārbaudīt kontrolsummu (MD5 / SHA256) operētājsistēmā Windows, Linux & Mac?
Lai labāk izskaidrotu lietas; šajā apmācībā mēs pārbaudīsim Monero GUI seifa kontrolsummu, lai pārliecinātos, ka tas patiešām ir pareizs fails. Jūs varat izmantot tās pašas darbības, kas norādītas zemāk, lai pārbaudītu jebkuru kriptonauda seifa lejupielādes failu kontrolsummu.
Vispirms lejupielādējiet seifa failu vai programmatūru, kurai vēlaties apstiprināt kontrolsummu.
Windows:
Pārejiet uz lejupielāžu mapi vai vietu, kur esat lejupielādējis failu. Tagad SHIFT + ar peles labo pogu noklikšķiniet un pēc tam noklikšķiniet uz atvērt PowerShell logu šeit, kas atvērs komandu uzvedni.
Ierakstiet “dir” bez pēdiņām un nospiediet taustiņu Enter, kas parādīs visu direktorijā esošo failu un mapju sarakstu.
Tagad iezīmējiet failu, kura verifikācijas summu vēlaties pārbaudīt, un pēc tam noklikšķiniet uz CTRL + C, lai kopētu. Pēc tam attiecīgi ievadiet šo komandu, lai pārbaudītu MD5 ja SHA256 jaukšanu.
MD5: CertUtil -hashfile faila nosaukums MD5
SHA256: CertUtil -hashfile faila nosaukums SHA256 (Piemērs: CertUtil -hashfile monero-gui-win-x64-v0.14.0.0.zip SHA256)
Kad tas izdarīts, nospiediet taustiņu Enter. Komandu logā tagad tiks parādīta faila jaukšanas vērtība atkarībā no izvēlētā jaukšanas algoritma. Ja izvēlējāties SHA256 algoritmu, tas parādīs SHA256 hash. Ja izvēlējāties MD5 algoritmu, tas parādīs MD5 jaukšanu.
Linux:
Procedūra ir vienāda operētājsistēmām Linux un Mac, izņemot to, ka šeit neatverat komandu uzvedni. Tā vietā mēs izmantosim termināla logu.
SHA256: sha256sum / | MD5: md5sum /
Mac: shasum -a 256 faila nosaukums
Tagad komandu logā ģenerēto jaukšanas vērtību salīdziniet ar hash vērtību, ko izplatījis seifa izstrādātājs. Vienkārši nokopējiet tos un pārbaudiet to. Ja jums ir pareizā secība, maka fails ir likumīgs. Jūs varat turpināt un instalēt to tūlīt. Tomēr, ja tie nesakrīt, neinstalējiet failu. Vai nu lejupielādes fails ir bojāts, vai arī tas var būt ļaunprātīgs. Noteikti izdzēsiet failu, lejupielādējiet to vēlreiz un pēc tam apstipriniet kontrolsummu, lai pārliecinātos, vai validācijas rezultāts ir pozitīvs.
Piezīme: Izstrādātāji bieži ievieto lejupielādējamo seifu instalētāju jaukšanas vērtības savā vietnē un vietnē Github. Jums jāatzīmē, ka katra jaukšanas vērtība ir unikāla un katrai versijai tā atšķiras. Tāpēc ir svarīgi pārbaudīt seifa programmatūras integritāti katru reizi, kad lejupielādējat jaunu versiju. Tādā veidā jūs varat būt pārliecināts, ka jūsu izmantotā seifa programmatūra ir īsta kopija.
Digitālie paraksti: GPG / PGP paraksti
Bet pagaidi!? Ko darīt, ja vietne ir apdraudēta un hakerim ir izdevies attiecīgi mainīt gan seifa failu, gan jaukšanas vērtību? Tas notiek, un tāpēc lielākā daļa izstrādātāju nepublicēs gan jaukšanas vērtības, gan bināros failus vienā un tajā pašā vietā. Turklāt SHA256 un MD5 kontrolsumma ir kaut kas, ko cilvēki izmantoja pirmajās dienās. Pašlaik PGP tiek plaši izmantots, kas ir drošāks veids, kā pārbaudīt failu integritāti. Papildus SHA256 jaukšanai daži izstrādātāji publicē PGP parakstītas seifa instalētāja jaukšanas iespējas. Daži, no otras puses, nodrošina tikai GPG parakstus.
Drīz atsevišķā rakstā mēs apskatīsim vairāk par GPG un digitālo parakstu pārbaudi.