Quais são as diferenças entre "md5sum" e "sha256sum"?

13

Por que precisamos de duas ferramentas para verificar a ISO. existe alguma coisa específica a considerar entre eles?

iso md5sum rɑːdʒɑ
fonte

Respostas:

11

Resposta curta: para verificar ISOs, não há diferença prática, use o que você quiser, desde que confie na fonte que fornece as somas. O MD5 é / costumava ser o padrão, mas o mundo da computação está adotando o SHA, pois é mais novo e "melhor" para o futuro; portanto, as somas de SHA geralmente são fornecidas como uma alternativa.

  • md5sume sha256sumsão programas que implementam os algoritmos de hash MD5 e SHA-256, respectivamente
  • Em geral, um algoritmo de hash recebe uma entrada de qualquer comprimento (arbitrário) e executa cálculos matemáticos para produzir uma saída relativamente pequena de comprimento fixo, chamada de "hash" (ou "soma")
  • Verificar a integridade dos dados (por exemplo, ISOs) é apenas um dos muitos usos para hashes
  • A principal diferença entre os hashes MD5 mais antigos e os mais recentes do SHA-256 é que o MD5 produz uma saída de 128 bits enquanto o SHA-256 produz uma saída de 256 bits
  • Para que a verificação de dados (ISOs) funcione, o hash dos dados deve ser efetivamente exclusivo, para que nenhum outro dado produz a mesma soma MD5 ou SHA-256.
    • Em teoria, isso é possível, ou seja, dois conjuntos de dados de entrada produzem o mesmo hash de saída, chamado de "colisão".
    • A chance de tais colisões é menor com o SHA-256 em comparação com o MD5, porque seu hash de 256 bits é o dobro do tamanho do hash de 128 bits do MD5.
    • Na prática , a chance de uma colisão ao verificar ISOs, mesmo com o MD5, é zero, considerando o tamanho de mais de 100 MB de ISOs.
  • Ainda assim, como o mundo da computação está se movendo em direção ao SHA por ser um hash mais novo e "melhor" para o futuro, as somas de verificação ISO geralmente são fornecidas em vários formatos.
ish
fonte
3
Para o registro, é um pouco enganador dizer que o SHA é apenas "mais novo e 'melhor'". O MD5 é considerado totalmente criptograficamente inseguro devido à facilidade em produzir colisões (o que também o torna menos útil na verificação de ISOs). O MD5 não deve mais ser usado, ponto final, para nada. A página da Wikipedia tem um bom resumo do que há de errado com o MD5 agora, na prática.
chazomaticus
4

Na página Como SHA256 SUM

O programa sha256sum foi projetado para verificar a integridade dos dados usando o SHA-256 (família SHA-2 com um tamanho de resumo de 256 bits). Os hashes SHA-256 usados ​​corretamente podem confirmar a integridade e a autenticidade do arquivo . O SHA-256 serve a uma finalidade semelhante a um algoritmo anterior recomendado pelo Ubuntu, MD5, mas é menos vulnerável a ataques . Em termos de segurança, os hashes criptográficos como o SHA-256 permitem a autenticação de dados obtidos a partir de espelhos inseguros.

De Como MD5SUM

O programa md5sum foi projetado para verificar a integridade dos dados usando o hash criptográfico de 128 bits MD5 (algoritmo Message-Digest 5) . Os hashes MD5 usados ​​corretamente podem confirmar a integridade e a autenticidade do arquivo. O hash MD5 deve ser assinado ou provir de uma fonte segura (uma página HTTPS) de uma organização em que você confia. Embora tenham sido descobertas falhas de segurança no algoritmo MD5 , os hashes MD5 ainda são úteis quando você confia na organização que as produz.

Basicamente, é uma medida de preocupação com a segurança. Se você estiver usando espelhos não oficiais para baixar os ISOs, provavelmente ambos poderão ser usados ​​para garantir a integridade do arquivo.

atenz
fonte
0

MD5 e SHA-2 são diferentes algoritmos de hash. Cabe ao desenvolvedor decidir o que deseja usar como uma maneira fácil de verificar a integridade dos dados.

Nesse caso, eles são usados ​​para 'alcançar' a mesma coisa, porém os resultados (o hash) são completamente diferentes.

Gibbs
fonte
0

Uma alternativa à validação do md5sum são as somas sha1 e sha256, conforme explicado acima.

Suponha que você baixe ou torrent o iso mais recente do site de lançamentos , digamos Raring . Observe na parte superior que existe um arquivo chamado SHA1SUMS e SHA256SUMS , cada um com um número longo para cada arquivo .iso.

Depois que o download do arquivo .iso estiver concluído, você poderá calcular a soma sha1 ou sha256 para garantir que ele corresponda ao valor no arquivo SHA1SUMS. Você pode fazer isso com rhash .

Primeiro instale-o. Se estiver no ubuntu:

sudo apt-get install rhash

Para outros sistemas operacionais, você pode fazer o download aqui .

Em seguida, calcule a soma sha1 ou sha256 para o arquivo que você baixou. Por exemplo, para o ubuntu-13.04-desktop-amd64.iso que baixei:

$ rhash --sha1 ubuntu-13.04-desktop-amd64.iso
ffed440f1dc1b43d9c170bd21e5ff669a59447f8  ubuntu-13.04-desktop-amd64.iso
$
$ rhash --sha256 ubuntu-13.04-desktop-amd64.iso
b4b20e0293c2305e83a60c605d39cabf43115794d574c68f1492d49fee0ab3d8  ubuntu-13.04-desktop-amd64.iso
$

Os valores correspondem respectivamente as nas SHA1SUMS e SHA256SUMS arquivos, validando o download.

Você também pode executar rhash --md5 ubuntu-13.04-desktop-amd64.isoe comparar com o arquivo MD5SUMS .

yuvilio
fonte