雜湊匹配與 PGP 以確保完整性

有什麼區別？我發現使用 Gpg4win 檢查完整性非常困難。使用 Online MD5 & SHA1 Hash Generator For File，檢查雜湊很容易。使用 Gpg4win 有什麼好處嗎？我經常看到軟體開發人員留下他們的 PGP 和簽名密鑰進行驗證，很少有人為此目的留下雜湊。為什麼？

是的，有很多不同，儘管這也取決於軟體的製作和發布方式。

使用雜湊，您可以檢查下載的文件是否正確。例如，如果您通過鏡像或 torrent 檢索文件，那麼您可能會獲得與您要求的不同的文件。然後，所有者在受控站點上驗證雜湊可以向您保證該文件是正確的。當然，您需要與 MD5 不同的雜湊值，而 SHA-1 也不再安全 - 通常使用 SHA-256。但是，如果攻擊者可以替換該雜湊，那麼您仍然很容易受到攻擊；所要做的就是破壞託管雜湊的站點；畢竟，任何人都可以計算任何文件的雜湊值。

如果文件上有簽名，並且您可以信任開發人員的公鑰，那麼您只需驗證簽名即可。即使簽名的託管站點受到威脅，攻擊者也無法創建有效的簽名。通常，密鑰由開發人員團隊而不是可用於託管簽名的人員來保證安全。

這並不是說簽名是靈丹妙藥。建立對公鑰的信任可能很棘手，並且簽名密鑰或簽名生成服務的安全性可能達不到標準。例如，Microsoft 驗證碼密鑰過去曾被濫用。

引用自：https://crypto.stackexchange.com/questions/57998