Avons-nous vraiment besoin de vérifier l'intégrité des fichiers téléchargés? [dupliquer]

9

J'ai téléchargé une énorme quantité de fichiers, mais j'ai découvert récemment l'utilisation de md5 et sha comme vérificateurs d'intégrité. À partir de là, je préfère toujours le vérifier pour les gros fichiers téléchargés, même si je ne les ai jamais trouvés corrompus.

Avons-nous vraiment besoin de vérifier l'intégrité des fichiers téléchargés?

Choisissez par exemple une distribution Linux que je viens de télécharger, qui fait 1 Go, si vous voulez.

Je vous remercie

download file-download checksum data-integrity maxpesa
la source
Ce n'est vraiment pas un problème avec les connexions Internet modernes. Cela dépend entièrement de vos préférences personnelles.
Ramhound le
5
Le point de comparaison du hachage peut plutôt être "quelqu'un a-t-il modifié le fichier (par malveillance)" plutôt que "le fichier a-t-il été téléchargé correctement". Un bon exemple est de télécharger une image ISO Windows à partir d'une source non officielle / non fiable et de vérifier l'intégrité du fichier en comparant le hachage MD5 avec celui publié par Microsoft sur MSDN.
TheUser1024
1
@ TheUser1024 cela suppose que vos deux sources sont identiques, la version MSDN peut être différente.
Eric G
1
Cette question peut obtenir plus de réponses sur la sécurité.SE
Eric G
3
Il s'agissait en fait plus d'intégrité que de sécurité, car je télécharge uniquement à partir de sources fiables, même si c'est un point important dans le téléchargement de fichiers
maxpesa

Réponses:

6

Cela dépend de quelques facteurs.

  1. Avez-vous une connexion Internet stable?
    Si vous disposez d'une connexion Internet stable, vous n'avez pas besoin de vérifier l'intégrité du fichier car il sera probablement correct. Je ne vérifie jamais le hachage et je n'ai jamais eu non plus de fichiers corrompus. Ou peut-être une fois lorsque le serveur distant s'est déconnecté.

  2. Voulez-vous vérifier le fichier pour des raisons de sécurité?
    Si vous êtes préoccupé par la sécurité du fichier que vous téléchargez, vous pouvez utiliser le hachage MD5 pour vérifier que le fichier n'a pas été modifié d'une manière ou d'une autre. Vous téléchargez un fichier et si le hachage MD5 ne correspond pas, cela signifie que le fichier sur le serveur est différent du hachage MD5 et que quelque chose ne va pas. Cela ne serait valable que si vous ne faites pas confiance au serveur à partir duquel vous téléchargez, mais généralement si quelqu'un fournit un hachage, il fait également de son mieux pour garder les choses à jour. Mais si leur site a été piraté et que vous avez vérifié le hachage MD5, vous avez obtenu le petit bonus.

Dans l'ensemble, ces 2 donneront un non à la plupart des gens. Si c'est un non pour vous, c'est entièrement à vous bien sûr.

LPChip
la source
1
Une connexion Internet stable n'est pas suffisante. Vous devez également vous assurer que votre RAM et votre lecteur de stockage ne corrompent pas les fichiers. Mais oui, c'est peu probable. Si votre machine n'est pas BSOD, il y a de fortes chances que vous ne vous souciez que de la sécurité.
ChrisInEdmonton
6
Une somme de contrôle de fichier n'est pas une vérification de sécurité puisqu'un attaquant qui peut modifier le fichier pourrait probablement également modifier la somme de contrôle.
Johnny
1
Si je devais pirater un site et remplacer le fichier par un fichier malveillant, je pense que je serais assez intelligent pour savoir changer le hachage répertorié.
Cole Johnson
3
MD5 ne suffit plus pour vérifier que le contenu d'un fichier n'a pas été intentionnellement modifié. C'est seulement bon pour la corruption involontaire. Les chances qu'un attaquant compromet les deux varient. Le stockage du hachage, dans de nombreux cas, n'est pas accessible via les mêmes canaux que le stockage de fichiers en vrac pour un téléchargement volumineux. Pour la sécurité, les signatures cryptographiques sont meilleures que les hachages simples, surtout si vous n'avez pas de canal sécurisé pour distribuer les hachages.
Perkins
Je pense que l'idée de hachage était lorsque le fichier fourni était hébergé sur un site différent du hachage. Par exemple, un site de développeur avec des liens de hachage vers Sourceforge ou quelque part.
Matthew Lock
6

La réponse et le choix que l'on fera seront basés sur sa tolérance au risque et des considérations de temps et d'efforts dans la vérification.

La vérification des hachages MD5 / SHA1 est une bonne première étape et vous devez le faire lorsque vous en avez le temps. Cependant, vous devez considérer votre capacité à faire confiance au hachage fourni. Par exemple, si le site Web de l'auteur avec le hachage est piraté, l'attaquant peut modifier le hachage, vous ne le saurez donc pas. Si le hachage que vous calculez n'est pas le même que le hachage fourni, vous savez que quelque chose se passe. Cependant, juste parce que le match hashs ne pas garantir le fichier est bon.

Une meilleure alternative pour un auteur de logiciel pour assurer l'intégrité et l'authenticité consiste à signer numériquement les fichiers distribués. Cela joint les informations d'authenticité au fichier et ne dépend pas de la confiance accordée à un site Web. Si un auteur signe numériquement le fichier, le seul moyen de le truquer est une autorité de certification compromise ou si la clé de signature du développeur a été volée. Ces deux cas sont beaucoup moins susceptibles qu'un site Web sur Internet piraté.

En fin de compte, vous devez faire votre propre diligence raisonnable pour déterminer si vous voulez faire confiance à quelque chose, puis prendre des contre-mesures (exécuter dans un bac à sable, une machine virtuelle, etc.) pour atténuer les facteurs inconnus ou les erreurs de calcul que vous avez faits lorsque vous décidez de faire confiance ou non. .

Eric G
la source
4

Pour des raisons de sécurité, OUI. Considérez qu'un nœud de sortie de Tor s'est avéré corriger des binaires pendant le téléchargement , puis souvenez-vous que votre FAI peut ou non avoir la moindre morale, et qu'il contrôle parfaitement votre connexion Internet.

Michael Kohne
la source
Votre plainte sur le FAI concerne le fait qu'ils peuvent changer ma vitesse de connexion et ma priorité et d'autres choses qui peuvent corrompre les fichiers?
maxpesa
@maxpesa - Ils peuvent modifier le flux s'ils le souhaitent. Le fichier ne sera pas corrompu juste modifié.
Ramhound le
@maxpesa - Je soulignais que votre FAI est dans la même position que le nœud de sortie Tor dans l'article lié - il a la capacité de contrôler ce qui vient sur vos fils. S'ils le voulaient, ils sont en mesure de modifier les fichiers binaires que vous téléchargez à la volée.
Michael Kohne
2
Si l'attaquant peut modifier le binaire, l'attaquant peut également modifier le hachage. Cela nécessiterait une attaque plus ciblée que de corriger tous les binaires, mais c'est toujours très possible. Bien que la vérification du hachage puisse éviter des dommages, il n'y a aucune garantie. Si vous vous souciez de la sécurité, la première étape consiste à télécharger uniquement via HTTPS - surtout lorsque vous utilisez des proxys comme avec tor!
kapex
1
Pour ajouter au commentaire de @ kapep, il est encore mieux de valider à l'aide de signatures cryptographiques (à l'aide de clés distribuées via un canal sécurisé). De cette façon, un attaquant devrait compromettre à la fois le magasin de clés et le référentiel afin de modifier le binaire.
Johnny
4

Juste pour ajouter aux autres réponses:

TLDR: pour les fichiers où l'intégrité est critique, oui

Réponse longue: je le trouve souvent nécessaire lorsque je fais quelque chose où il est essentiel que le fichier ait une intégrité élevée.

Un exemple est de flasher un routeur avec OpenWRT. Si le fichier est corrompu, ce routeur serait maçonné, puis je devrais soit:

  • Remplacez-le (cher)
  • Fixez-le (beaucoup de temps. Surtout si j'ai besoin de souder un câble série / JTAG)

Ces deux éléments ne sont pas pratiques, comparés à la simplicité de vérification d'un hachage. Par conséquent, je recommande fortement de le faire pour les fichiers critiques.

George
la source
0

Je prends généralement la peine de vérifier si mon téléchargement a été interrompu et je l'ai repris plus tard, car les requêtes HTTP avec un décalage de recherche ne sont pas aussi largement utilisées, donc quelque chose de stupide aurait pu se produire.

Dans de nombreux cas, le téléchargement est un fichier compressé qui ne se décompresse pas s'il est cassé. Si ce n'est PAS le cas, vérifier n'est pas une mauvaise idée. Je pourrais vérifier une image ISO avant de la graver sur un support à écriture unique.

Le vérifier avec un hachage du même site d'où je l'ai obtenu est de peu d'utilité, en termes de sécurité, comme l'ont dit d'autres réponses et commentaires. Cela peut être plus utile si vous avez téléchargé à partir d'un miroir, mais le hachage provient de l'amont d'origine. Ou si le nom de fichier est ambigu, et pour une raison quelconque, vous n'êtes pas sûr d'avoir obtenu la version exacte que vous vouliez.

Le fait est que la publication de hachages est utile pour de nombreux cas spéciaux autres que le simple téléchargement du fichier à partir du même site hébergeant le hachage.

Peter Cordes
la source