Hvordan verifisere MD5, SHA256 kontrollsum for en kryptovaluta lommebok / programvare

Nylig spurte en av brukerne våre “På Github-siden ser jeg flere Windows 64-filer; en .exe-fil, en .md5sum-fil og en .sha256sum-fil; hvilken skal jeg laste ned? ” Vi ba dem laste ned .exe-filen eller .zip-filen som er større. De som har større filstørrelse er de faktiske lommebokfilene, og resten er bare sjekksummer. Ok! Men hva er alle disse MD5sum- og SHA256sum-filene, og hvorfor legger utviklerne disse filene ved siden av nedlastbare filer?

md5sum & amp; sha256sum

MD5 og SHA256 hash

SHA256sum og MD5sum er programmer som implementerer henholdsvis SHA256 og MD5-hashalgoritmer, som hovedsakelig brukes til å bekrefte filintegriteten og ektheten.

Både MD5 og SHA256 er to forskjellige hashingalgoritmer, og det er opp til utviklerne å bestemme hvilken hash de skal gi på nedlastingssiden. Som du kan se ovenfor; utviklerne av Ravencoin-prosjektet har gitt både MD5-hash og SHA256-hash for å bekrefte lommeboknedlastingsfilen. Men dette er ikke noe du finner på nedlastingssiden til alle andre lommebokprogrammer for kryptovalutaer. På grunn av sikkerhetsfeil i MD5-algoritmen vil de fleste utviklere ikke gi MD5-hash. Foreløpig brukes bare SHA256 hashverdier mye.

På nettstedet Monero har du kanskje lagt merke til at SHA256 hashes er oppført ved siden av programvaren.

bekreft lommebok sha256 hash

Mens noen utviklere lager og distribuerer hashes sammen med hver programvareutgivelse; noen utviklere signerer digitalt hver nye versjon av installasjonspakken med den offisielle utviklerens signatur.

I Bitcoin-kjernen finner du noe som heter release signatures, eller med andre ord de kalles også release hashes. De er ASC-filer som vanligvis inneholder SHA256 hash og en PGP-signatur.

Bitcoin frigjør signaturer

Bare last ned filen og åpne den ved hjelp av Notisblokk eller helst i Notisblokk ++. Du ser en tilfeldig streng med bokstaver og tall som ligner på dette.

—–BEGIN PGP SIGNED MESSAGE—–

Hash: SHA256

5659c436ca92eed8ef42d5b2d162ff6283feba220748f9a373a5a53968975e34 bitcoin-0.17.1-aarch64-linux-gnu.tar.gz

aab3c1fb92e47734fadded1d3f9ccf0ac5a59e3cdc28c43a52fcab9f0cb395bc bitcoin-0.17.1-arm-linux-gnueabihf.tar.gz

b1e1dcf8265521fef9021a9d49d8661833e3f844ca9a410a9dd12a617553dda1 bitcoin-0.17.1-i686-pc-linux-gnu.tar.gz

6aa567381b95a20ac96b0b949701b04729a0c5796c320481bfa1db22da25efdb bitcoin-0.17.1-osx64.tar.gz

e3d785d800b71d277959d15b2c2b33d44dd72c1288e559928a40488dd935c949 bitcoin-0.17.1-osx.dmg

3e564fb5cf832f39e930e19c83ea53e09cfe6f93a663294ed83a32e194bda42a bitcoin-0.17.1.tar.gz

e9245e682126ef9fa4998eabbbdd1c3959df811dc10df60be626a5e5ffba9b78 ​​bitcoin-0.17.1-win32-setup.exe

6464aa2d338f3697950613bb88124e58d6ce78ead5e9ecacb5ba79d1e86a4e30 bitcoin-0.17.1-win32.zip

fa1e80c5e4ecc705549a8061e5e7e0aa6b2d26967f99681b5989d9bd938d8467 bitcoin-0.17.1-win64-setup.exe

1abbe6aa170ce7d8263d262f8cb0ae2a5bb3993aacd2f0c7e5316ae595fe81d7 bitcoin-0.17.1-win64.zip

53ffca45809127c9ba33ce0080558634101ec49de5224b2998c489b6d0fc2b17 bitcoin-0.17.1-x86_64-linux-gnu.tar.gz

—–BEGYN PGP-UNDERSKRIFT—–

Versjon: GnuPG v1.4.11 (GNU / Linux)

iQIcBAEBCAAGBQJcIeQ5AAoJEJDIAZ42wulk0NoQAIunIBT06bd2IhhxV / 48NUvf

sgTto4qYrKuX5Vkn + kfGuMBvNpmILi5CiVtnucWo7fKM6k5IPMyBQuE9iDVDzT9i

YemA9Au8Xy2aIGmVriuQoXxk8b17wAMS9uw362A3nXCz3kA + BWMDuMfBp3P3NPM /

PeOg6n04Q7seO / zNdT5i / ysaFB / XA8szrQxCRukSrXeGMUpv79UbcWOu3 + nfGit9

yYo / F2yO57Yacv597rKILlg29QxEVTqa5 + slMdwuU7NP5AdAcQV4EtFqoCOqM7C7

JL / zZWYnTywK3l0hOuCBJiY86izutWME5xgm7Eh3ORj + K6ZYT4iXw2JIkTdumeuS

X0WDE3ShH4rb35IaQX75FJLp5R7hLTXiNgng7b8Xhy / 62bJ75Ob4HVVSLG1Lkhps

vtml10br + 78qXiofzk8zaAW6KaG7G9nbBa0hfDjUEsYzA6P5iWA + 53ykupc82HNa

ZT2gk + wWhNhZOd / ANheriM0eqm / ZlK7oydYRRtf9Tamk + XJgREU1x8cWlMZcCPEE

uIUzb7 / REvYSjwcwArYLCq / eFPfjQe7jcG2WexnpxxkKJBvu2v4zVw9LLUPll094

BAmfk34iJKhN2cGVhvjO0Q9GKk0B2HzvhD5xn1Hnlp + NbXVNbKonYvkB71D3GY4W

t / eRyv7Erfi4dhHf + 8oQ

= UEoM

—–SLUT PGP-UNDERSKRIFT—–

Dette er kryptografisk hash, og denne informasjonen blir gitt for brukerne for å bekrefte filintegriteten. Cryptocurrency-utviklere og ofte nettsteder indikerer at brukerne skal verifisere ektheten til nedlastingsfilen før de bruker den. De fleste brukere bryr seg imidlertid ikke eller er usikker på hva de skal gjøre med denne informasjonen. Så vi bestemte oss for å lage et tema om dette. Her i denne nybegynnerveiledningen viser vi deg hvordan du validerer sjekksummer (bare SHA256 hash og MD5 hash og ikke PGP-signaturer).

Men vent!? Uansett laster jeg ned lommeboken fra den offisielle kilden, så hvorfor bør jeg bekrefte at nedlasting av lommeboken min er autentisk? Også hva er kontrollsum og hvordan hjelper verifisering av kontrollsum?

Hva betyr sjekksum og hvordan det fungerer?

Som ordet antyder betyr “kontrollsum” å sjekke noe eller sjekke summen. Kontrollsumstrengen er en tilfeldig hash-verdi som opprettes fra skanning av innholdet i programmet. Utviklere lager og distribuerer ofte disse sjekksumstrengene ved utgivelsen av hver lommebokprogramvare. Hvorfor?

Et av hovedproblemene og de største bekymringene blant kryptovaluta-brukere er sikkerhet og tillit. Når vi laster ned filer på nettet, kan vi ikke være 100% sikre på at filen er original. selv om du har lastet ned fra den offisielle kilden. Det er sjanser for at en tredjepart kan endre filen under transport eller hacke serveren der filen vert og erstatte den med en ondsinnet versjon. Men her er tingen: Hvis noen tredjepart prøver å endre programvaren, til og med 1 bit, vil utgangs-hashverdien til sjekksumstrengen være helt forskjellig fra den som tilbys av utvikleren. Ved å tilby kontrollsummer kan brukere bekrefte og sørge for at de har lastet ned den legitime kopien av lommebokprogramvaren som er publisert av utvikleren.

En av de standardiserte måtene å bestemme om en programfil er endret fra sin opprinnelige tilstand eller ikke, er å se på hash-verdien (verifisere kontrollsum). Bare beregne kontrollsummen av programvaren og sammenligne den med den som deles av utvikleren. Hvis den stemmer overens, er filen autentisk; Hvis ikke, er enten nedlastingen ødelagt eller den er tuklet.

Å verifisere hash av nedlastingsfilene før du bruker dem, er vanligvis en god sikkerhetspraksis. Hvis du ikke er sikker på hvordan du bekrefter sjekksummen, følg guiden nedenfor.

Hvordan verifisere kontrollsum (MD5 / SHA256) i Windows, Linux & Mac?

For å forklare ting bedre; her i denne veiledningen vil vi verifisere kontrollsummen til Monero GUI lommebok for å sikre at den virkelig er den riktige filen. Du kan bruke de samme trinnene nedenfor for å bekrefte kontrollsummen av alle nedlastningsfiler for kryptovaluta.

Last først ned lommebokfilen eller programvaren du vil validere sjekksummen for.

Windows:

Naviger til nedlastingsmappen eller til stedet du har lastet ned filen. Nå høyreklikker SHIFT + og deretter åpner du PowerShell-vinduet her som åpner ledeteksten.

åpen powershell

Skriv “dir” uten anførselstegn og trykk enter som viser listen over alle filer og mapper i den katalogen.

bekreft lommesjekk

Marker nå filen du vil bekrefte sjekksummen for, og klikk deretter CTRL + C for å kopiere. Skriv deretter inn følgende kommando tilsvarende for å verifisere MD5-hash og SHA256-hash.

MD5: CertUtil -hashfile filnavn MD5

SHA256: CertUtil -hashfile filnavn SHA256 (Eksempel: CertUtil -hashfile monero-gui-win-x64-v0.14.0.0.zip SHA256)

Når du er ferdig, trykk Enter. Kommandovinduet viser nå hash-verdien til filen, avhengig av hash-algoritmen du valgte. Hvis du valgte SHA256-algoritme, vil den vise SHA256-hash. Hvis du valgte MD5-algoritme, vil den vise MD5-hash.

sjekksumstreng

Linux:

Fremgangsmåten er den samme for Linux og Mac, bortsett fra at du ikke åpner ledeteksten her. I stedet bruker vi terminalvinduet.

SHA256: sha256sum / | MD5: md5sum /

Mac: shasum -a 256 filnavn

Sammenlign nå hashverdien som genereres i kommandovinduet med hashverdien distribuert av lommebokutvikleren. Bare kopier dem og bekreft det. Hvis du har riktig sekvens, er lommebokfilen legitim. Du kan fortsette og installere det nå. Men hvis de ikke samsvarer, må du ikke installere filen. Enten er nedlastingsfilen skadet, eller den kan være skadelig. Sørg for å slette filen, laste den ned igjen og valider deretter kontrollsummen for å sikre at valideringsresultatet er positivt.

lommebok sjekksum bekreftelse

Merk: Utviklere legger ofte hashverdier av de nedlastbare lommebokinstallatørene på deres nettside og på Github. Det du må merke deg er at hver hash-verdi er unik, og den er forskjellig for hver versjon. Så det er viktig at du verifiserer integriteten til lommebokprogramvaren hver gang du laster ned en ny versjon. På denne måten kan du være sikker på at lommebokprogramvaren du bruker er en ekte kopi.

Digitale signaturer: GPG / PGP signaturer

Men vent!? Hva om nettstedet er kompromittert og hackeren klarte å endre både lommebokfilen og hashverdiene tilsvarende? Det skjer, og det er derfor de fleste utviklere ikke vil publisere både hashverdier og binærfiler på samme sted. Videre er sjekksummen SHA256 og MD5 noe folk brukte de første dagene. For tiden brukes PGP mye, noe som er en sikrere måte å verifisere filintegritet på. I tillegg til SHA256 hash publiserer noen utviklere PGP-signerte hashes av lommebokinstallatøren. Noen derimot gir bare GPG-signaturer.

Snart vil vi i en egen artikkel dekke mer om GPG og verifisere digitale signaturer.