Nedávno sa jeden z našich používateľov spýtal „Na stránke Github vidím niekoľko súborov Windows 64; súbor .exe, súbor .md5sum a súbor .sha256sum; ktorý z nich si mám stiahnuť? “ Povedali sme im, aby si stiahli súbor .exe alebo väčší súbor .zip. Tie, ktoré majú väčšiu veľkosť súboru, sú skutočné súbory peňaženky a zvyšok sú iba kontrolné súčty. Dobre! Ale čo sú všetky tieto súbory MD5sum a SHA256sum a prečo vývojári umiestnili tieto súbory vedľa súborov na stiahnutie?
Hash MD5 a SHA256
SHA256sum a MD5sum sú programy, ktoré implementujú hash algoritmy SHA256 a MD5, ktoré sa používajú hlavne na potvrdenie integrity a autenticity súboru..
MD5 aj SHA256 sú dva rôzne hashovacie algoritmy a je na vývojároch, aby rozhodli o tom, aký hash poskytnú na stránke sťahovania. Ako môžete vidieť vyššie; vývojári projektu Ravencoin poskytli hash MD5 aj hash SHA256 na overenie súboru na stiahnutie peňaženky. Nie je to však nič, čo nájdete na stránke na stiahnutie každého iného softvéru pre peňaženky s kryptomenami. Z dôvodu bezpečnostných chýb v algoritme MD5 väčšina vývojárov neposkytne hash MD5. V súčasnosti sa široko používajú iba hash hodnoty SHA256.
Na webových stránkach Monero ste si mohli všimnúť haše SHA256 uvedené vedľa softvéru.
Zatiaľ čo niektorí vývojári spolu s každým vydaním softvéru vytvárajú a distribuujú hashe; niektorí vývojári digitálne podpisujú každú novú verziu inštalačného balíka oficiálnym podpisom vývojára.
V jadre bitcoinu nájdete niečo, čo sa nazýva signatúry vydania, alebo inými slovami, nazývajú sa aj hash verzie. Sú to súbory ASC, ktoré zvyčajne obsahujú hash SHA256 a podpis PGP.
Stačí stiahnuť súbor a otvoriť ho v programe Poznámkový blok alebo najlepšie v programe Poznámkový blok ++. Uvidíte náhodný reťazec písmen a čísel podobný tomuto.
—–ZAČNITE PODPISOVANÚ SPRÁVU PGP—–
Haš: SHA256
5659c436ca92eed8ef42d5b2d162ff6283feba220748f9a373a5a53968975e34 bitcoin-0.17.1-aarch64-linux-gnu.tar.gz
aab3c1fb92e47734fadded1d3f9ccf0ac5a59e3cdc28c43a52fcab9f0cb395bc bitcoin-0.17.1-arm-linux-gnueabihf.tar.gz
b1e1dcf8265521fef9021a9d49d8661833e3f844ca9a410a9dd12a617553dda1 bitcoin-0.17.1-i686-pc-linux-gnu.tar.gz
6aa567381b95a20ac96b0b949701b04729a0c5796c320481bfa1db22da25efdb bitcoin-0.17.1-osx64.tar.gz
e3d785d800b71d277959d15b2c2b33d44dd72c1288e559928a40488dd935c949 bitcoin-0.17.1-osx.dmg
3e564fb5cf832f39e930e19c83ea53e09cfe6f93a663294ed83a32e194bda42a bitcoin-0.17.1.tar.gz
e9245e682126ef9fa4998eabbbdd1c3959df811dc10df60be626a5e5ffba9b78 bitcoin-0.17.1-win32-setup.exe
6464aa2d338f3697950613bb88124e58d6ce78ead5e9ecacb5ba79d1e86a4e30 bitcoin-0.17.1-win32.zip
fa1e80c5e4ecc705549a8061e5e7e0aa6b2d26967f99681b5989d9bd938d8467 bitcoin-0.17.1-win64-setup.exe
1abbe6aa170ce7d8263d262f8cb0ae2a5bb3993aacd2f0c7e5316ae595fe81d7 bitcoin-0.17.1-win64.zip
53ffca45809127c9ba33ce0080558634101ec49de5224b2998c489b6d0fc2b17 bitcoin-0.17.1-x86_64-linux-gnu.tar.gz
—–ZAČNITE PODPIS PGP—–
Verzia: GnuPG v1.4.11 (GNU / Linux)
iQIcBAEBCAAGBQJcIeQ5AAoJEJDIAZ42wulk0NoQAIunIBT06bd2IhhxV / 48NUvf
sgTto4qYrKuX5Vkn + kfGuMBvNpmILi5CiVtnucWo7fKM6k5IPMyBQuE9iDVDzT9i
YemA9Au8Xy2aIGmVriuQoXxk8b17wAMS9uw362A3nXCz3kA + BWMDuMfBp3P3NPM /
PeOg6n04Q7seO / zNdT5i / ysaFB / XA8szrQxCRukSrXeGMUpv79UbcWOu3 + nfGit9
yYo / F2yO57Yacv597rKILlg29QxEVTqa5 + slMdwuU7NP5AdAcQV4EtFqoCOqM7C7
JL / zZWYnTywK3l0hOuCBJiY86izutWME5xgm7Eh3ORj + K6ZYT4iXw2JIkTdumeuS
X0WDE3ShH4rb35IaQX75FJLp5R7hLTXiNgng7b8Xhy / 62bJ75Ob4HVVSLG1Lkhps
vtml10br + 78qXiofzk8zaAW6KaG7G9nbBa0hfDjUEsYzA6P5iWA + 53ykupc82HNa
ZT2gk + wWhNhZOd / ANheriM0eqm / ZlK7oydYRRtf9Tamk + XJgREU1x8cWlMZcCPEE
uIUzb7 / REvYSjwcwArYLCq / eFPfjQe7jcG2WexnpxxkKJBvu2v4zVw9LLUPll094
BAmfk34iJKhN2cGVhvjO0Q9GKk0B2HzvhD5xn1Hnlp + NbXVNbKonYvkB71D3GY4W
t / eRyv7Erfi4dhHf + 8oQ
= UEoM
—–KONIEC PODPIS PGP—–
Jedná sa o kryptografický hash a tieto informácie sú poskytované používateľom na overenie integrity súboru. Vývojári kryptomeny a často aj webové stránky naznačujú používateľom, aby si pred použitím overili pravosť súboru na stiahnutie. Väčšine používateľov však nie je jedno alebo si nie sú istí, čo majú s týmito informáciami robiť. Preto sme sa rozhodli urobiť tému na túto tému. Tu v tejto príručke pre začiatočníkov vám ukážeme, ako overiť kontrolné súčty (iba hash SHA256 a MD5 a nie podpisy PGP).
Ale počkaj!? V každom prípade sťahujem peňaženku z oficiálneho zdroja, tak prečo by som si mal overiť, či je stiahnutie mojej peňaženky autentické? Tiež to, čo je kontrolný súčet a ako pomáha overenie kontrolného súčtu?
Čo znamená kontrolný súčet a ako funguje?
Ako slovo naznačuje, „kontrolný súčet“ znamená skontrolovať niečo alebo skontrolovať sumu. Reťazec kontrolného súčtu je náhodná hodnota hash, ktorá sa vytvorí pri skenovaní obsahu programu. Vývojári tieto reťazce kontrolného súčtu často vytvárajú a distribuujú pri vydaní každého softvéru peňaženky. Prečo?
Jedným z hlavných problémov a najvyšších obáv používateľov kryptomeny je bezpečnosť a dôvera. Pri sťahovaní súborov online si nemôžeme byť stopercentne istí, že ide o originál; aj keď ste si stiahli z oficiálneho zdroja. Je pravdepodobné, že tretia strana môže počas prenosu upraviť súbor alebo hacknúť server, na ktorom je súbor hostovaný, a nahradiť ho škodlivou verziou. Ale tu je vec: Ak sa ktorákoľvek tretia strana pokúsi zmeniť softvér, dokonca aj o 1 bit, bude výstupná hodnota hash reťazca kontrolného súčtu úplne iná ako hodnota poskytnutá vývojárom. Poskytnutím kontrolných súčtov môžu používatelia overiť a ubezpečiť sa, že si stiahli legitímnu kópiu softvéru peňaženky zverejnenú vývojárom..
Jedným zo štandardizovaných spôsobov, ako zistiť, či bol programový súbor upravený z pôvodného stavu alebo nie, je pohľad na jeho hodnotu hash (overenie kontrolného súčtu). Jednoducho vypočítajte kontrolný súčet softvéru a porovnajte ho s tým, ktorý zdieľal vývojár. Ak sa zhoduje, je súbor autentický; ak nie, potom je sťahovanie poškodené alebo bolo neoprávnene upravené.
Všeobecne je dobrým bezpečnostným postupom overenie hodnoty hash stiahnutých súborov pred ich použitím. Ak si nie ste istí, ako overiť kontrolný súčet, postupujte podľa pokynov uvedených nižšie.
Ako overiť kontrolný súčet (MD5 / SHA256) v systémoch Windows a Linux & Mac?
Aby sme veci lepšie vysvetlili; tu v tomto výučbe budeme overovať kontrolný súčet peňaženky Monero GUI, aby sme sa uistili, že ide skutočne o správny súbor. Rovnakým postupom môžete overiť kontrolný súčet všetkých súborov na stiahnutie kryptomeny.
Najskôr si stiahnite súbor peňaženky alebo softvér, pre ktorý chcete overiť kontrolný súčet.
Windows:
Prejdite do priečinka na stiahnutie alebo na miesto, kam ste súbor stiahli. Teraz SHIFT + kliknite pravým tlačidlom myši a potom kliknite tu na otvorenie okna PowerShell, ktoré otvorí príkazový riadok.
Zadajte príkaz „dir“ bez úvodzoviek a stlačte kláves Enter, čím sa zobrazí zoznam všetkých súborov a priečinkov v danom adresári.
Teraz zvýraznite súbor, ktorého kontrolný súčet chcete overiť, a potom ho skopírujte kliknutím na kombináciu klávesov CTRL + C. Potom zadajte nasledujúci príkaz, aby ste overili hash MD5 a SHA256 hash.
MD5: CertUtil -hashfile názov súboru MD5
SHA256: Názov súboru CertUtil -hashfile SHA256 (Príklad: CertUtil -hashfile monero-gui-win-x64-v0.14.0.0.zip SHA256)
Po dokončení stlačte kláves Enter. V príkazovom okne sa teraz zobrazí hodnota hash súboru v závislosti od zvoleného algoritmu hash. Ak zvolíte algoritmus SHA256, zobrazí sa hash SHA256. Ak zvolíte algoritmus MD5, zobrazí sa hash MD5.
Linux:
Postup je rovnaký pre systémy Linux a Mac, ibaže tu neotvárate príkazový riadok. Namiesto toho použijeme okno terminálu.
SHA256: sha256sum / | MD5: md5sum /
Mac: shasum -a 256 nazov souboru
Teraz porovnajte hodnotu hash generovanú v príkazovom okne s hodnotou hash distribuovanou vývojárom peňaženky. Stačí ich skopírovať a overiť. Ak máte správnu postupnosť, súbor peňaženky je legitímny. Môžete pokračovať a nainštalovať si ho hneď teraz. Ak sa však nezhodujú, neinštalujte súbor. Stiahnutý súbor je poškodený alebo môže byť škodlivý. Nezabudnite vymazať súbor, znova ho stiahnuť a potom overiť kontrolný súčet, aby ste sa uistili, že výsledok overenia je pozitívny.
Poznámka: Vývojári často zverejňujú hodnoty hash stiahnuteľných inštalátorov peňaženky na svojich webových stránkach a na stránkach Github. Musíte si uvedomiť, že každá hodnota hash je jedinečná a líši sa pre každú verziu. Je preto dôležité, aby ste pri každom stiahnutí novej verzie overili integritu softvéru peňaženky. Týmto spôsobom si môžete byť istí, že softvér peňaženky, ktorý používate, je originálnou kópiou.
Digitálne podpisy: podpisy GPG / PGP
Ale počkaj!? Čo ak je web napadnutý a hackerovi sa podarilo zodpovedajúcim spôsobom zmeniť súbor peňaženky aj hodnoty hash? Stáva sa to, a preto väčšina vývojárov nezverejní na jednom mieste hodnoty hash aj binárne súbory. Kontrolný súčet SHA256 a MD5 je navyše niečo, čo ľudia používali v prvých dňoch. V súčasnosti sa program PGP používa veľmi často, čo predstavuje bezpečnejší spôsob overenia integrity súboru. Okrem hash SHA256 niektorí vývojári zverejňujú hash s podpisom PGP inštalačného programu peňaženky. Niektoré na druhej strane poskytujú iba podpisy GPG.
V samostatnom článku sa čoskoro budeme zaoberať viac témami GPG a overovaním digitálnych podpisov.