Quelles sont les différences entre «md5sum» et «sha256sum»?

13

Pourquoi nous avons besoin de deux outils pour vérifier l'ISO. y a-t-il des choses spécifiques à considérer entre eux?

iso md5sum rɑːdʒɑ
la source

Réponses:

11

Réponse courte: Pour vérifier les ISO, il n'y a pas de différence pratique, utilisez ce que vous voulez, tant que vous faites confiance à la source fournissant les sommes. MD5 est / était la norme, mais le monde informatique s'oriente vers l'adoption de SHA car il est plus récent et "meilleur" pour l'avenir; par conséquent, les sommes SHA sont souvent fournies comme alternative.

  • md5sumet sha256sumsont des programmes qui implémentent respectivement les algorithmes de hachage MD5 et SHA-256
  • En général, un algorithme de hachage prend une entrée de n'importe quelle longueur (arbitraire) et exécute des calculs mathématiques pour produire une sortie relativement petite et de longueur fixe, appelée «hachage» (ou «somme»)
  • La vérification de l'intégrité des données (par exemple, les ISO) n'est qu'une des nombreuses utilisations des hachages
  • La principale différence entre l'ancien MD5 et les nouveaux hachages SHA-256 est que MD5 produit une sortie 128 bits tandis que SHA-256 produit une sortie 256 bits
  • Pour que la vérification des données (ISO) fonctionne, le hachage des données doit effectivement être unique, afin qu'aucune autre donnée ne produise la même somme MD5 ou SHA-256.
    • En théorie, cela est possible, c'est-à-dire que deux ensembles de données d'entrée produisent le même hachage de sortie, appelé "collision".
    • Le risque de telles collisions est plus faible avec SHA-256 par rapport à MD5 car son hachage 256 bits est le double de la taille de hachage 128 bits de MD5.
    • En pratique , le risque de collision lors de la vérification des ISO, même avec MD5, est nul compte tenu de la taille de 100+ Mo des ISO.
  • Pourtant, étant donné que le monde informatique évolue vers SHA parce qu'il s'agit d'un hachage plus récent et "meilleur" pour l'avenir, les sommes de contrôle ISO sont souvent fournies dans plusieurs formats.
ish
la source
3
Pour mémoire, il est quelque peu trompeur de dire que SHA est juste "plus récent et" meilleur "". MD5 est considéré comme totalement incertain sur le plan cryptographique en raison de la facilité avec laquelle il est possible de produire des collisions (ce qui le rend sans doute moins utile pour vérifier les ISO). MD5 ne devrait plus être utilisé, point final, pour quoi que ce soit. La page Wikipedia a un bon résumé de ce qui ne va pas avec MD5 en ce moment, dans la pratique.
chazomaticus
4

De la page Comment à SHA256 SUM

Le programme sha256sum est conçu pour vérifier l'intégrité des données à l'aide de SHA-256 (famille SHA-2 avec une longueur de résumé de 256 bits). Les hachages SHA-256 utilisés correctement peuvent confirmer l'intégrité et l'authenticité des fichiers . SHA-256 sert un objectif similaire à un algorithme antérieur recommandé par Ubuntu, MD5, mais est moins vulnérable aux attaques . En termes de sécurité, les hachages cryptographiques tels que SHA-256 permettent l'authentification des données obtenues à partir de miroirs non sécurisés.

De la façon de MD5SUM

Le programme md5sum est conçu pour vérifier l'intégrité des données à l'aide du hachage cryptographique 128 bits MD5 (algorithme Message-Digest 5) . Les hachages MD5 utilisés correctement peuvent confirmer l'intégrité et l'authenticité des fichiers. Le hachage MD5 doit être signé ou provenir d'une source sécurisée (une page HTTPS) d'une organisation en qui vous avez confiance. Bien que des failles de sécurité dans l'algorithme MD5 aient été découvertes , les hachages MD5 sont toujours utiles lorsque vous faites confiance à l'organisation qui les produit.

Fondamentalement, c'est une mesure de préoccupation pour la sécurité. Si vous utilisez des miroirs non officiels pour télécharger les ISO, les deux peuvent probablement être utilisés pour garantir l'intégrité du fichier.

atenz
la source
0

MD5 et SHA-2 sont des algorithmes de hachage différents. Il appartient au (x) développeur (s) de décider ce qu'ils souhaitent utiliser pour vérifier facilement l'intégrité des données.

Dans ce cas, ils sont utilisés pour «réaliser» la même chose, mais les résultats (le hachage) sont complètement différents.

Gibbs
la source
0

Une alternative à la validation md5sum est les sommes sha1 et sha256 comme expliqué ci-dessus.

Supposons que vous téléchargiez ou torrent la dernière iso sur le site des versions , par exemple Raring . Notez en haut qu'il y a un fichier appelé SHA1SUMS ainsi qu'un SHA256SUMS , chacun avec un numéro long pour chaque fichier .iso.

Une fois le téléchargement du fichier .iso terminé, vous pouvez calculer la somme sha1 ou sha256 pour cela afin de vous assurer qu'il correspond à la valeur du fichier SHA1SUMS. Vous pouvez le faire avec rhash .

Installez-le d'abord. Si sur ubuntu:

sudo apt-get install rhash

Pour les autres systèmes d'exploitation, vous pouvez le télécharger ici .

Calculez ensuite la somme sha1 ou sha256 pour le fichier que vous avez téléchargé. Par exemple pour le ubuntu-13.04-desktop-amd64.iso j'ai téléchargé:

$ rhash --sha1 ubuntu-13.04-desktop-amd64.iso
ffed440f1dc1b43d9c170bd21e5ff669a59447f8  ubuntu-13.04-desktop-amd64.iso
$
$ rhash --sha256 ubuntu-13.04-desktop-amd64.iso
b4b20e0293c2305e83a60c605d39cabf43115794d574c68f1492d49fee0ab3d8  ubuntu-13.04-desktop-amd64.iso
$

Les valeurs correspondent respectivement à celles des fichiers SHA1SUMS et SHA256SUMS , validant le téléchargement.

Vous pouvez également exécuter rhash --md5 ubuntu-13.04-desktop-amd64.isoet comparer le fichier MD5SUMS .

yuvilio
la source