Was sind die Unterschiede zwischen "md5sum" und "sha256sum"?

13

Warum brauchen wir zwei Tools zur Überprüfung der ISO. Gibt es bestimmte Dinge, die zwischen ihnen zu beachten sind?

iso md5sum rɑːdʒɑ
quelle

Antworten:

11

Kurze Antwort: Für die Überprüfung von ISOs gibt es keinen praktischen Unterschied. Verwenden Sie, was immer Sie wollen, solange Sie der Quelle vertrauen, die die Summen bereitstellt. MD5 war / ist der Standard, aber die Computerwelt geht in Richtung SHA, da es neuer und "besser" für die Zukunft ist. Daher werden SHA-Beträge häufig als Alternative bereitgestellt.

  • md5sumund sha256sumsind Programme, die die MD5- bzw. SHA-256-Hash-Algorithmen implementieren
  • Im Allgemeinen nimmt ein Hash-Algorithmus eine Eingabe beliebiger (beliebiger) Länge und führt mathematische Berechnungen durch, um eine relativ kleine Ausgabe mit fester Länge zu erzeugen, die als "Hash" (oder "Summe") bezeichnet wird.
  • Die Überprüfung der Datenintegrität (z. B. ISOs) ist nur eine von vielen Verwendungsmöglichkeiten für Hashes
  • Der Hauptunterschied zwischen den älteren MD5- und den neueren SHA-256-Hashes besteht darin, dass MD5 eine 128-Bit-Ausgabe erzeugt, während SHA-256 eine 256-Bit-Ausgabe erzeugt
  • Damit die Überprüfung von Daten (ISOs) funktioniert, muss der Hash der Daten eindeutig sein, damit keine anderen Daten dieselbe MD5- oder SHA-256-Summe erzeugen.
    • Theoretisch ist dies möglich, dh zwei Sätze von Eingabedaten erzeugen denselben Ausgabehash, der als "Kollision" bezeichnet wird.
    • Die Wahrscheinlichkeit solcher Kollisionen ist bei SHA-256 im Vergleich zu MD5 geringer, da der 256-Bit-Hash doppelt so groß ist wie der 128-Bit-Hash von MD5.
    • In der Praxis ist die Wahrscheinlichkeit einer Kollision bei der Überprüfung von ISOs auch mit MD5 bei einer ISO-Größe von über 100 MB gleich Null.
  • Da sich die Computerwelt in Richtung SHA bewegt, weil es sich um einen neueren und "besseren" Hash für die Zukunft handelt, werden ISO-Prüfsummen häufig in mehreren Formaten bereitgestellt.
ish
quelle
3
Für die Aufzeichnung ist es etwas irreführend zu sagen, dass SHA nur "neuer und" besser "ist. MD5 wird als absolut kryptografisch unsicher eingestuft, da es leicht zu Kollisionen kommt (was es möglicherweise auch für die Überprüfung von ISOs weniger nützlich macht). MD5 sollte für nichts mehr verwendet werden. Auf der Wikipedia-Seite finden Sie eine gute Zusammenfassung der aktuellen Probleme mit MD5.
Chazomaticus
4

Von How To SHA256 SUM Seite

Das Programm sha256sum dient zur Überprüfung der Datenintegrität mit dem SHA-256 (SHA-2-Familie mit einer Digest-Länge von 256 Bit). Ordnungsgemäß verwendete SHA-256-Hashes können sowohl die Integrität als auch die Authentizität der Datei bestätigen . SHA-256 dient einem ähnlichen Zweck wie ein von Ubuntu, MD5, empfohlener früherer Algorithmus, ist jedoch weniger anfällig für Angriffe . In Bezug auf die Sicherheit ermöglichen kryptografische Hashes wie SHA-256 die Authentifizierung von Daten, die von unsicheren Spiegeln stammen.

Von Wie zu MD5SUM

Das Programm md5sum dient zur Überprüfung der Datenintegrität mithilfe des 128-Bit- Verschlüsselungshashs MD5 (Message-Digest-Algorithmus 5) . Ordnungsgemäß verwendete MD5-Hashes können sowohl die Integrität als auch die Authentizität der Datei bestätigen. Der MD5-Hash muss signiert sein oder von einer sicheren Quelle (einer HTTPS-Seite) einer Organisation stammen, der Sie vertrauen. Während Sicherheitslücken im MD5-Algorithmus aufgedeckt wurden , sind MD5-Hashes immer noch nützlich, wenn Sie der Organisation vertrauen, die sie erstellt.

Grundsätzlich ist es ein gewisses Maß an Sicherheitsbedenken. Wenn Sie zum Herunterladen der ISOs inoffizielle Spiegel verwenden, können wahrscheinlich beide verwendet werden, um die Integrität der Datei sicherzustellen.

atenz
quelle
0

MD5 und SHA-2 sind unterschiedliche Hashing-Algorithmen. Es liegt an den Entwicklern, zu entscheiden, was sie als einfache Möglichkeit zur Überprüfung der Datenintegrität verwenden möchten.

In diesem Fall werden sie verwendet, um dasselbe zu erreichen, jedoch sind die Ergebnisse (der Hash) völlig unterschiedlich.

Gibbs
quelle
0

Eine Alternative zur Validierung von md5sum sind die oben erläuterten Summen sha1 und sha256.

Angenommen , Sie herunterladen oder die neuesten iso vom Torrent Mitteilungen Website, sagen Raring . Beachten Sie, dass oben eine Datei mit dem Namen SHA1SUMS sowie eine SHA256SUMS mit einer langen Nummer für jede .iso-Datei angezeigt wird.

Nachdem Sie die .iso-Datei heruntergeladen haben, können Sie die sha1- oder sha256-Summe berechnen, um sicherzustellen, dass sie mit dem Wert in der SHA1SUMS-Datei übereinstimmt. Sie können dies mit Rhash tun .

Installieren Sie es zuerst. Wenn auf Ubuntu:

sudo apt-get install rhash

Für andere Betriebssysteme können Sie es hier herunterladen .

Berechnen Sie dann die sha1- oder sha256-Summe für die heruntergeladene Datei. Zum Beispiel für die Ubuntu-13.04-Desktop-amd64.iso, die ich heruntergeladen habe:

$ rhash --sha1 ubuntu-13.04-desktop-amd64.iso
ffed440f1dc1b43d9c170bd21e5ff669a59447f8  ubuntu-13.04-desktop-amd64.iso
$
$ rhash --sha256 ubuntu-13.04-desktop-amd64.iso
b4b20e0293c2305e83a60c605d39cabf43115794d574c68f1492d49fee0ab3d8  ubuntu-13.04-desktop-amd64.iso
$

Die Werte stimmen jeweils mit denen in den SHA1SUMS- und SHA256SUMS- Dateien überein, wodurch der Download validiert wird.

Sie können rhash --md5 ubuntu-13.04-desktop-amd64.isodie MD5SUMS- Datei auch ausführen und mit ihr vergleichen .

yuvilio
quelle