Hash

雜湊匹配與 PGP 以確保完整性

  • March 31, 2018

有什麼區別?我發現使用 Gpg4win 檢查完整性非常困難。使用 Online MD5 & SHA1 Hash Generator For File,檢查雜湊很容易。使用 Gpg4win 有什麼好處嗎?我經常看到軟體開發人員留下他們的 PGP 和簽名密鑰進行驗證,很少有人為此目的留下雜湊。為什麼?

是的,有很多不同,儘管這也取決於軟體的製作和發布方式。

使用雜湊,您可以檢查下載的文件是否正確。例如,如果您通過鏡像或 torrent 檢索文件,那麼您可能會獲得與您要求的不同的文件。然後,所有者在受控站點上驗證雜湊可以向您保證該文件是正確的。當然,您需要與 MD5 不同的雜湊值,而 SHA-1 也不再安全 - 通常使用 SHA-256。但是,如果攻擊者可以替換該雜湊,那麼您仍然很容易受到攻擊;所要做的就是破壞託管雜湊的站點;畢竟,任何人都可以計算任何文件的雜湊值。

如果文件上有簽名,並且您可以信任開發人員的公鑰,那麼您只需驗證簽名即可。即使簽名的託管站點受到威脅,攻擊者也無法創建有效的簽名。通常,密鑰由開發人員團隊而不是可用於託管簽名的人員來保證安全。

這並不是說簽名是靈丹妙藥。建立對公鑰的信任可能很棘手,並且簽名密鑰或簽名生成服務的安全性可能達不到標準。例如,Microsoft 驗證碼密鑰過去曾被濫用。

引用自:https://crypto.stackexchange.com/questions/57998