কখনও কখনও চেকসামগুলি নিরাপদে সরবরাহ করা হয়, তবে ডাউনলোড হয় না। যেহেতু এমডি 5 নষ্ট হয়ে গেছে , এমডি 5 চেকসামগুলি সরবরাহ করা সুরক্ষিত চেকসামগুলির চেয়ে দুর্বল, তবে এমডি 5 ভাঙ্গার আগে একটি সুরক্ষিতভাবে সরবরাহ করা এমডি 5 (যেমন পিজিপি বা জিপিজি বা গেটকিপারের সাথে স্বাক্ষরিত একটি, বা এইচটিটিপিএসের সাথে সজ্জিত একটি) যা এমডি 5 এর সাথে মিলেছিল ডাউনলোডটি দৃ strong় প্রমাণ ছিল যে ডাউনলোডটি প্রাপ্ত হওয়াটাই সার্ভারের জন্য উপলব্ধ ছিল।
আমি এখানে বছরের পর বছর ধরে সুরক্ষিত চেকসামের বিলাপের অভাব সম্পর্কে লিখছি ।
এমআইটিএম আক্রমণের ঝুঁকির কারণে ব্যবহারকারীদের অবিশ্বাস্য নেটওয়ার্কগুলিতে অবিশ্বস্ত এক্সিকিউটেবলগুলি ডাউনলোড করা এবং সেগুলি চালানো উচিত নয়। দেখুন, যেমন পি। রুইসেন, আর ভ্লুথুইস দ্বারা "স্বয়ংক্রিয় আপডেট সিস্টেমের মধ্যে অনিরাপদ"।
2014 সংযোজন: না, এটি ভুল নয় "যে ওয়েব পৃষ্ঠাগুলিতে পোস্ট করা চেকসামগুলি দূষিত পরিবর্তনগুলি সনাক্ত করতে ব্যবহৃত হয়," কারণ এটি এমন একটি ভূমিকা যা তারা সম্পাদন করতে পারে। তারা দুর্ঘটনাকবলিত দুর্নীতির বিরুদ্ধে রক্ষা করতে সহায়তা করে এবং এইচটিটিপিএসের মাধ্যমে বা কোনও যাচাইকৃত স্বাক্ষরের (অথবা আরও ভাল, উভয়) দূষিত দুর্নীতির বিরুদ্ধে রক্ষা করতে সহায়তা করে! আমি এইচটিটিপিএস-এর মাধ্যমে চেকসাম পেয়েছি এবং যাচাই করেছি যে তারা বেশিরভাগ সময় এইচটিটিপি ডাউনলোডের সাথে মিলেছে।
আজকাল, বাইনারিগুলি প্রায়শই স্বাক্ষরিত, স্বয়ংক্রিয়ভাবে যাচাই করা হ্যাশগুলির সাথে বিতরণ করা হয়, তবুও এটি পুরোপুরি নিরাপদ নয় ।
উপরের লিঙ্কটি থেকে উদ্ধৃত অংশ: "কেরেঞ্জার অ্যাপ্লিকেশনটি একটি বৈধ ম্যাক অ্যাপ্লিকেশন বিকাশের শংসাপত্রের সাথে স্বাক্ষরিত হয়েছিল; সুতরাং, এটি অ্যাপলের গেটকিপার সুরক্ষা বাইপাস করতে সক্ষম হয়েছিল।" ... "অ্যাপল আপত্তিজনক শংসাপত্র বাতিল করেছে এবং এক্সপ্রোটেক্ট অ্যান্টিভাইরাস স্বাক্ষরকে আপডেট করেছে এবং ট্রান্সমিশন প্রকল্পটি তার ওয়েবসাইট থেকে দূষিত ইনস্টলারগুলি সরিয়ে নিয়েছে Pal
দুটি কেরেঞ্জার সংক্রামিত ট্রান্সমিশন ইনস্টলারের অ্যাপল ইস্যু করা বৈধ শংসাপত্রের সাথে স্বাক্ষরিত হয়েছিল। এই শংসাপত্রটির তালিকাভুক্ত বিকাশকারী একটি তুর্কি সংস্থা Z7276PX673 আইডি সহ, যা সংক্রমণ ইনস্টলারটির পূর্ববর্তী সংস্করণগুলিতে স্বাক্ষর করতে ব্যবহৃত বিকাশকারী আইডি থেকে আলাদা ছিল। কোড সাইন ইন তথ্যতে আমরা দেখতে পেলাম যে এই ইনস্টলারগুলি 4 মার্চ সকালে উত্পন্ন এবং স্বাক্ষরিত হয়েছিল। "
2016 অ্যাডেন্ডা:
পুনঃটুইট আপনার মন্তব্য নীচে: ভুল। যে সংঘর্ষের আক্রমণ উইকিপিডিয়া নিবন্ধটিতে আপনি লিঙ্ক করেছেন সে হিসাবে বর্তমানে উল্লিখিত হয়েছে, "2007 সালে একটি নির্বাচিত-উপসর্গের সংঘর্ষের আক্রমণ এমডি 5 এর বিরুদ্ধে পাওয়া গিয়েছিল" এবং "আক্রমণকারী দুটি নির্বিচারে ভিন্ন ভিন্ন নথি চয়ন করতে পারে, এবং তারপরে বিভিন্ন গণনা করা মানগুলি সংযোজন করে যা সম্পূর্ণরূপে ফলাফল দেয় সমান হ্যাশ মানযুক্ত নথি documents " এমডি 5 সুরক্ষিতভাবে সরবরাহ করা হলেও এবং আক্রমণকারী এটি পরিবর্তন করতে না পারলেও, আক্রমণকারী এখনও ম্যালওয়্যারযুক্ত একটি নির্বাচিত উপসর্গের সাথে একটি নির্বাচিত উপসর্গ সংঘর্ষ আক্রমণ ব্যবহার করতে পারে, যার অর্থ MD5 ক্রিপ্টো উদ্দেশ্যে সুরক্ষিত নয়। মূলত এই কারণেই ইউএস-সিইআরটি বলেছিল যে এমডি 5 "আরও ক্রিপ্টোগ্রাফিকভাবে ভাঙ্গা এবং আরও ব্যবহারের জন্য অনুপযুক্ত বিবেচনা করা উচিত।"
আরও কয়েকটি জিনিস: সিআরসি 32 একটি চেকসাম। MD5, SHA ইত্যাদি চেকসামের চেয়ে বেশি; তারা নিরাপদ হ্যাশ হওয়ার উদ্দেশ্যে're তার মানে তারা সংঘর্ষের আক্রমণগুলির জন্য খুব প্রতিরোধী হওয়ার কথা। চেকসামের বিপরীতে, একটি নিরাপদে যোগাযোগযুক্ত সুরক্ষিত হ্যাশ একটি ম্যান-ইন-দ্য মিডল (এমআইটিএম) আক্রমণ থেকে সুরক্ষা দেয় যেখানে সার্ভার এবং ব্যবহারকারীর মধ্যে এমআইটিএম থাকে। এটি কোনও আক্রমণ থেকে সুরক্ষা দেয় না যেখানে সার্ভার নিজেই আপোস করা হয়েছে। এর থেকে সুরক্ষার জন্য, লোকেরা সাধারণত পিজিপি, জিপিজি, গেটকিপার ইত্যাদির উপর নির্ভর করে something