Nyligen frågade en av våra användare ”På Github-sidan ser jag flera Windows 64-filer; en .exe-fil, en .md5sum-fil och en .sha256sum-fil; vilken bör jag ladda ner? ” Vi ber dem att ladda ner .exe-filen eller .zip-filen som är större i storlek. De som har större filstorlek är de faktiska plånboksfilerna och resten är bara kontrollsummor. OK! Men vad är alla dessa MD5sum- och SHA256sum-filer och varför lägger utvecklarna dessa filer bredvid de nedladdningsbara filerna?
MD5 och SHA256 hash
SHA256sum och MD5sum är program som implementerar SHA256- och MD5-hashalgoritmer som huvudsakligen används för att bekräfta filintegriteten och äktheten.
Både MD5 och SHA256 är två olika hashingalgoritmer och det är upp till utvecklarna att bestämma vilken hash som ska tillhandahållas på nedladdningssidan. Som du kan se ovan; utvecklarna av Ravencoin-projektet har tillhandahållit både MD5-hash och SHA256-hash för att verifiera plånboksnedladdningsfilen. Men det här är inte något som du hittar på nedladdningssidan för alla andra plånböcker. På grund av säkerhetsfel i MD5-algoritmen tillhandahåller de flesta utvecklare inte MD5-hash. För närvarande används endast SHA256-hashvärden i stor utsträckning.
På Moneros webbplats kanske du har märkt att SHA256-haschar listas bredvid programvaran.
Medan vissa utvecklare skapar och distribuerar hashes tillsammans med varje programutgåva; vissa utvecklare signerar digitalt varje ny version av installationspaketet med den officiella utvecklarens signatur.
I Bitcoin-kärnan hittar du något som kallas release-signaturer eller med andra ord kallas de också release-hashes. De är ASC-filer som vanligtvis innehåller SHA256-hash och en PGP-signatur.
Ladda bara ner filen och öppna den med Notepad eller helst i Notepad ++. Du ser en slumpmässig sträng av bokstäver och siffror som liknar den här.
—–BÖRJA PGP-SIGNERAD MEDDELANDE—–
Hash: SHA256
5659c436ca92eed8ef42d5b2d162ff6283feba220748f9a373a5a53968975e34 bitcoin-0.17.1-aarch64-linux-gnu.tar.gz
aab3c1fb92e47734fadded1d3f9ccf0ac5a59e3cdc28c43a52fcab9f0cb395bc bitcoin-0.17.1-arm-linux-gnueabihf.tar.gz
b1e1dcf8265521fef9021a9d49d8661833e3f844ca9a410a9dd12a617553dda1 bitcoin-0.17.1-i686-pc-linux-gnu.tar.gz
6aa567381b95a20ac96b0b949701b04729a0c5796c320481bfa1db22da25efdb bitcoin-0.17.1-osx64.tar.gz
e3d785d800b71d277959d15b2c2b33d44dd72c1288e559928a40488dd935c949 bitcoin-0.17.1-osx.dmg
3e564fb5cf832f39e930e19c83ea53e09cfe6f93a663294ed83a32e194bda42a bitcoin-0.17.1.tar.gz
e9245e682126ef9fa4998eabbbdd1c3959df811dc10df60be626a5e5ffba9b78 bitcoin-0.17.1-win32-setup.exe
6464aa2d338f3697950613bb88124e58d6ce78ead5e9ecacb5ba79d1e86a4e30 bitcoin-0.17.1-win32.zip
fa1e80c5e4ecc705549a8061e5e7e0aa6b2d26967f99681b5989d9bd938d8467 bitcoin-0.17.1-win64-setup.exe
1abbe6aa170ce7d8263d262f8cb0ae2a5bb3993aacd2f0c7e5316ae595fe81d7 bitcoin-0.17.1-win64.zip
53ffca45809127c9ba33ce0080558634101ec49de5224b2998c489b6d0fc2b17 bitcoin-0.17.1-x86_64-linux-gnu.tar.gz
—–Börja PGP-UNDERSKRIFT—–
Version: GnuPG v1.4.11 (GNU / Linux)
iQIcBAEBCAAGBQJcIeQ5AAoJEJDIAZ42wulk0NoQAIunIBT06bd2IhhxV / 48NUvf
sgTto4qYrKuX5Vkn + kfGuMBvNpmILi5CiVtnucWo7fKM6k5IPMyBQuE9iDVDzT9i
YemA9Au8Xy2aIGmVriuQoXxk8b17wAMS9uw362A3nXCz3kA + BWMDuMfBp3P3NPM /
PeOg6n04Q7seO / zNdT5i / ysaFB / XA8szrQxCRukSrXeGMUpv79UbcWOu3 + nfGit9
yYo / F2yO57Yacv597rKILlg29QxEVTqa5 + slMdwuU7NP5AdAcQV4EtFqoCOqM7C7
JL / zZWYnTywK3l0hOuCBJiY86izutWME5xgm7Eh3ORj + K6ZYT4iXw2JIkTdumeuS
X0WDE3ShH4rb35IaQX75FJLp5R7hLTXiNgng7b8Xhy / 62bJ75Ob4HVVSLG1Lkhps
vtml10br + 78qXiofzk8zaAW6KaG7G9nbBa0hfDjUEsYzA6P5iWA + 53ykupc82HNa
ZT2gk + wWhNhZOd / ANheriM0eqm / ZlK7oydYRRtf9Tamk + XJgREU1x8cWlMZcCPEE
uIUzb7 / REvYSjwcwArYLCq / eFPfjQe7jcG2WexnpxxkKJBvu2v4zVw9LLUPll094
BAmfk34iJKhN2cGVhvjO0Q9GKk0B2HzvhD5xn1Hnlp + NbXVNbKonYvkB71D3GY4W
t / eRyv7Erfi4dhHf + 8oQ
= UEoM
—–SLUT PGP-SIGNATUR—–
Dessa är kryptografisk hash och denna information tillhandahålls för användarna för att verifiera filens integritet. Utvecklare av kryptovaluta och ofta webbplatser anger att användare ska verifiera nedladdningsfilens äkthet innan de används. Men de flesta användare bryr sig inte eller vet inte vad de ska göra med den här informationen. Så vi bestämde oss för att göra ett ämne om detta. Här i den här nybörjarhandboken visar vi dig hur du validerar kontrollsummor (endast SHA256-hash och MD5-hash och inte PGP-signaturer).
Men vänta!? Hur som helst laddar jag ner plånboken från den officiella källan, så varför ska jag verifiera att min plånbokshämtning är giltig? Också vad är kontrollsumma och hur hjälper kontrollverifiering?
Vad betyder kontrollsumma och hur det fungerar?
Som ordet antyder betyder “kontrollsumma” att kontrollera något eller kontrollera summan. Kontrollsumsträngen är ett slumpmässigt hash-värde som skapas från att skanna innehållet i programmet. Utvecklare skapar och distribuerar ofta dessa kontrollsumsträngar vid lanseringen av varje plånboksprogramvara. Varför?
En av huvudfrågorna och största bekymmerna bland kryptovalutaanvändare är säkerhet och förtroende. När vi laddar ner filer online kan vi inte vara 100% säkra på att filen är original; även om du har laddat ner från den officiella källan. Det finns chanser att en tredje part kan ändra filen under transport eller hacka servern där filen är värd och ersätta den med en skadlig version. Men här är saken: Om någon tredje part försöker ändra programvaran, till och med 1 bit, kommer utgångshashvärdet för kontrollsumsträngen att vara helt annorlunda än det som tillhandahålls av utvecklaren. Genom att tillhandahålla kontrollsummor kan användare verifiera och se till att de har laddat ner den legitima kopian av plånboksprogrammet som publicerats av utvecklaren.
Ett av de standardiserade sätten att avgöra om en programfil har modifierats från sitt ursprungliga tillstånd eller inte är att titta på dess hash-värde (verifiera kontrollsumma). Beräkna bara kontrollsumman för programvaran och jämför den med den som utvecklaren delar. Om den matchar är filen giltig. om inte så är antingen nedladdningen skadad eller så har den manipulerats.
Att verifiera hash för nedladdningsfilerna innan du använder dem är i allmänhet en bra säkerhetspraxis. Om du inte är säker på hur du kontrollerar kontrollsumman följer du guiden nedan.
Hur man kontrollerar kontrollsumma (MD5 / SHA256) i Windows, Linux & Mac?
Att förklara saker bättre; här i den här guiden kommer vi att verifiera kontrollsumman för Monero GUI-plånboken för att säkerställa att den verkligen är rätt fil. Du kan använda samma steg nedan för att verifiera kontrollsumman för alla nedladdningsfiler för kryptovaluta.
Ladda ner först plånboksfilen eller programvaran som du vill validera kontrollsumman för.
Windows:
Navigera till nedladdningsmappen eller till den plats där du har laddat ner filen. Nu högerklickar du på SHIFT + och klickar sedan på PowerShell-fönstret här som öppnar kommandotolken.
Skriv “dir” utan citattecken och tryck enter som visar listan över alla filer och mappar i katalogen.
Markera nu filen för vilken du vill verifiera kontrollsumman och klicka sedan på CTRL + C för att kopiera. Ange sedan följande kommando i enlighet med detta för att verifiera MD5-hash och SHA256-hash.
MD5: CertUtil -hashfile filnamn MD5
SHA256: CertUtil -hashfile-filnamn SHA256 (Exempel: CertUtil -hashfile monero-gui-win-x64-v0.14.0.0.zip SHA256)
När du är klar trycker du på Enter. Kommandofönstret visar nu hashvärdet för filen beroende på den hashalgoritm du valde. Om du väljer SHA256-algoritm kommer SHA256-hash att visas. Om du väljer MD5-algoritm kommer MD5-hash att visas.
Linux:
Proceduren är densamma för Linux och Mac, förutom att du inte öppnar kommandotolken här. Istället använder vi terminalfönstret.
SHA256: sha256sum / | MD5: md5sum /
Mac: shasum -a 256 filnamn
Jämför nu hashvärdet som genereras i kommandofönstret med hashvärdet som distribueras av plånbokutvecklaren. Kopiera dem bara och verifiera det. Om du har rätt sekvens är plånboksfilen legit. Du kan fortsätta och installera det nu. Men om de inte matchar ska du inte installera filen. Antingen är nedladdningsfilen skadad eller så kan den vara skadlig. Var noga med att ta bort filen, ladda ner den igen och validera sedan kontrollsumman för att säkerställa att valideringsresultatet är positivt.
Notera: Utvecklare publicerar ofta hashvärden för de nedladdningsbara plånboksinstallatörerna på deras webbplats och på Github. Vad du behöver notera är att varje hashvärde är unikt och det skiljer sig åt för varje version. Så det är viktigt att du verifierar plånboksprogrammets integritet varje gång du laddar ner en ny version. På så sätt kan du vara säker på att plånboksprogrammet du använder är en äkta kopia.
Digitala signaturer: GPG / PGP-signaturer
Men vänta!? Vad händer om webbplatsen äventyras och hackaren lyckades ändra både plånboksfilen och hashvärdena i enlighet därmed? Det händer och det är därför de flesta utvecklare inte publicerar både hash-värden och binärfilerna på samma plats. Dessutom är SHA256 och MD5 kontrollsumma något som människor använde i början. För närvarande används PGP i stor utsträckning vilket är ett säkrare sätt att verifiera filintegritet. Förutom SHA256-hash publicerar vissa utvecklare PGP-signerade hashes av plånbokinstallatören. Vissa å andra sidan tillhandahåller bara GPG-signaturer.
Snart kommer vi i en separat artikel att läsa mer om GPG och verifiera digitala signaturer.