এমডি 5 চেকসামের মান কী হবে যদি এমডি 5 হ্যাশ নিজেই সম্ভাব্যভাবে ম্যানিপুলেট করা যেতে পারে?


39

ওয়েবসাইটগুলিতে ডাউনলোডগুলির মাঝে মাঝে একটি MD5 চেকসাম থাকে যা লোকেদের ফাইলের অখণ্ডতা নিশ্চিত করতে দেয়। আমি শুনেছি এটি হ'ল কেবল দূষিত ফাইলগুলি ত্রুটিযুক্ত হওয়ার আগেই তাত্ক্ষণিকভাবে চিহ্নিত করার অনুমতি দেওয়া নয় তবে কোনও দূষিত পরিবর্তনগুলি সহজে সনাক্ত করা যায়।

ফাইল দুর্নীতির বিষয়ে আমি যুক্তিটি অনুসরণ করি তবে কেউ যদি ইচ্ছাকৃতভাবে কোনও দূষিত ফাইল আপলোড করতে চায় তবে তারা সংশ্লিষ্ট MD5 চেকসাম তৈরি করতে পারে এবং পরিবর্তিত ফাইলের সাথে ডাউনলোড সাইটে পোস্ট করতে পারে। এটি ফাইলটি ডাউনলোড করা যেহেতু এটি অপরিবর্তিত ছিল ভেবে প্রতারিত করবে।

চেকসাম নিজেই আপস করা হয়েছে কিনা তা জানার উপায় না থাকলে এমডি 5 চেকসাম ইচ্ছাকৃতভাবে পরিবর্তিত ফাইলগুলির বিরুদ্ধে কোনও সুরক্ষা সরবরাহ করতে পারে ?


3
আমরা যদি MD5 হ্যাশটির পরিবর্তে সূক্ষ্ম টাইমস্ট্যাম্পের তাত্পর্য বিবেচনা করে ওয়েবসাইট হোস্টের উপর নির্ভর করি তবে সত্যতার সীল হিসাবে অভিনয় করে ... তবে চেকসামের সরবরাহকৃত সুরক্ষাটি বেশ বাষ্প হয়ে গেছে।
অস্টিন '' বিপদ '' শক্তি

4
@ বিগক্রিস আমি আপনার অর্থ কী তা নিশ্চিত নই তবে এটি ভুল বলে মনে হচ্ছে। এমডি 5 এর মতো ক্রিপ্টোগ্রাফিক হ্যাশ অ্যালগরিদমগুলি মেসেজের ডেটা সম্পর্কে পুরোপুরি। একই দৈর্ঘ্যের দুটি এলোমেলো বার্তায় প্রায় অবশ্যই আলাদা আলাদা হ্যাশ থাকবে।
ম্যাট নর্ডহফ

3
@ ম্যাটনর্ডহফ ঠিক যদি কোনও MD5 চেকসাম ফাইল ডেটার ভিত্তিতে তৈরি না হয় তবে এটি কিসের ভিত্তিতে?
অস্টিন '' বিপদ '' শক্তি

2
এমডি 5 হ্যাশ ডেটা ডেটা তৈরি করা হবে, হ্যাঁ, তবে একই হ্যাশ দিয়ে দূষিত ফাইল তৈরি করতে খুব বেশি প্রচেষ্টা নেওয়া হবে না। যেমনটি বলা হয়েছে, ফাইলটি দূষিত কিনা তা পরীক্ষা করার কোনও উপায় থাকবে না। পড়ুন: mscs.dal.ca/~selinger/md5collision
কিন্নেক্টাস

2
কখনও কখনও হ্যাশগুলি প্রথম পক্ষের সার্ভারে প্রকাশিত হয় যেখানে তৃতীয় পক্ষের মিরর এবং / অথবা সিডিএনগুলিতে প্রকৃত ডাউনলোডগুলি হোস্ট করা হয়।
el.pescado

উত্তর:


89

আমি শুনেছি এটি কোনও হ'ল দূষিত পরিবর্তনগুলি সনাক্ত করার জন্য [...] কে অনুমতি দেওয়া।

আচ্ছা আপনি ভুল শুনেছেন। MD5 (বা SHA বা যাই হোক না কেন) চেকসাম সরবরাহ করা হয় ( ডাউনলোডের লিঙ্কগুলির পরে, বিশেষত ) কেবলমাত্র একটি সঠিক ডাউনলোড যাচাই করার জন্য। কেবলমাত্র তারা গ্যারান্টি দেওয়ার লক্ষ্য রাখে তা হ'ল সার্ভারের মতো আপনারও একই ফাইল রয়েছে। বেশিও না কমও না. যদি সার্ভারটি আপোস করা হয় তবে আপনি SOL। এটা সত্যিই হিসাবে সহজ।


31
+1 টি। এগুলি মূলত দুর্ঘটনাজনিত দুর্নীতির বিরুদ্ধে রক্ষা করতে ব্যবহৃত হয় (নেটওয়ার্ক ট্রান্সফার ত্রুটি, ডিস্কে খারাপ সেক্টর এবং এই জাতীয়)। দূষিত দুর্নীতির হাত থেকে রক্ষা করার জন্য চেকসামকে একটি বিশ্বস্ত সংযোগযুক্ত অবস্থান গঠন করতে হবে। পিজিপি / জিপিজি / অনুরূপ স্বাক্ষরিত বার্তাগুলির সাথে একই: তারা কেবলমাত্র সামগ্রীতে আশ্বাস দেয় যদি আপনি বিশ্বাস করেন যেখান থেকে আপনি পাবলিক কীটি পেয়েছেন।
ডেভিড স্পিললেট

1
আপনি নিজের উত্তরে এটি যুক্ত করতেও পারেন যে স্বতন্ত্র স্বাক্ষরগুলি এই সীমাবদ্ধতাটিকে (যেমন ধরে নিচ্ছেন যে আপনি শংসাপত্র / প্রত্যয়নকারী কর্তৃপক্ষের উপরে বিশ্বাস করেন)
সম্বোধন করেন

2
এটি এর চেয়েও খারাপ - যদি কেউ আপনার ট্র্যাফিকের সাথে সার্ভারে / থেকে প্রতিরোধ করতে পারে তবে সার্ভারের সাথে আপস না করা হলেও তারা আপনার প্রাপ্ত ফাইল এবং চেকসাম উভয়ই সংশোধন করতে পারে।
cpast

3
প্রসারিত করার জন্য: যদি এটির গ্যারান্টি না দেয় যে সার্ভারের মতো আপনারও একই ফাইল রয়েছে, তবে এটি বৈধ সুরক্ষা ব্যবস্থা হবে কারণ এর অর্থ হ'ল আপনাকে নেটওয়ার্কে বিশ্বাস করতে হবে না। টিএলএস-এর ম্যাকগুলি ঠিক সেটাই করে - প্রমাণিত করে যে আপনি যা পেয়েছেন তা হ'ল সার্ভারটি যা প্রেরণ করেছে, তবে টিএলএস কোনও আপোষযুক্ত সার্ভার সম্পর্কে কিছুই করতে পারে না। কোনও ভাল হ্যাশ যদি কোনও বিশ্বস্ত সংযোগের মাধ্যমে প্রেরণ করা হয় তবে এটি সুরক্ষা সরবরাহ করতে পারে (যা বিশ্বস্ত সংযোগ থেকে প্রাপ্ত); যদি এটি ফাইলের মতো একই সংযোগের উপরে প্রেরণ করা হয় তবে এটি অকেজো কারণ এটি ফাইলের চেয়ে আর কোনও হতাশা-প্রতিরোধী নয়।
সিপাস্ট

2
এটা ভুল. কখনও কখনও চেকসামগুলি নিরাপদে সরবরাহ করা হয়, তবে ডাউনলোড হয় না। যেহেতু এমডি 5 নষ্ট হয়ে গেছে, এমডি 5 চেকসামগুলি সরবরাহ করা সুরক্ষিত চেকসামগুলির চেয়ে দুর্বল, তবে এমডি 5 ভাঙ্গার আগে একটি সুরক্ষিতভাবে সরবরাহিত এমডি 5 (যেমন একটি যা এইচটিটিপিতে স্বাক্ষরিত বা প্রেরিত হয়েছিল) ডাউনলোডের এমডি 5 এর সাথে মিলেছিল তার দৃ strong় প্রমাণ ছিল ডাউনলোডটি হ'ল সার্ভার উপলব্ধ ছিল। আমি নীচে আরও বিশদ সহ একটি উত্তর যুক্ত করব।
ম্যাথু এলভি

15

কিছু প্যাকেজ ম্যানেজমেন্ট সিস্টেম যেমন dpkg দ্বারা ব্যবহৃত সমাধানটি হ্যাশকে স্বাক্ষর করা : হ্যাশটিকে সর্বজনীন কী স্বাক্ষরকারী অ্যালগরিদমগুলিতে ইনপুট হিসাবে ব্যবহার করুন। Http://www.pgpi.org/doc/pgpintro/#p12 দেখুন

আপনার যদি স্বাক্ষরকারীর সর্বজনীন কী থাকে তবে আপনি স্বাক্ষরটি যাচাই করতে পারবেন, যা প্রমাণ করে যে হ্যাশটি সংশোধিত নয়। এটি আপনাকে ঠিক আগেই সঠিক পাবলিক কী পাওয়ার সমস্যাটি ছেড়ে দেয়, যদিও কেউ একবার যদি মূল বিতরণে টেম্পার করে তবে আপনি যা যা যা যা যাচাই করতে পারেন তার সাথেও তারা হস্তক্ষেপ করতে হবে অন্যথায় আপনি দেখতে পাবেন যে অদ্ভুত কিছু চলছে।


9

আপনার অনুমানটি সঠিক। যদিও একটি ব্যতিক্রম আছে। যদি সার্ভারটি ফাইল সরবরাহ করে এবং পৃষ্ঠা যেখানে হ্যাশ একই অস্তিত্ব দ্বারা পরিচালিত হয় না। সেক্ষেত্রে সফ্টওয়্যার বিকাশকারী বলতে পারে "আরে লোকেরা সে জায়গা থেকে এটি ডাউনলোড করে তবে হ্যাশ = এক্সএক্সএক্সএক্সএক্সএক্স কেবলমাত্র বিশ্বাস"। (এটি উদাহরণস্বরূপ সিডিএন এর জন্য দরকারী হতে পারে)। আমার ধারণা, এই কারণেই কেউ প্রথমে এটি করেছিলেন। হ্যাশটি প্রদর্শন করা কতটা শীতল হবে তা ভেবে অন্যরা কেবল এই অনুসারে অনুসরণ করেছিল। এমনকি ফাইল এবং হ্যাশ উভয়ই একই জায়গায় নয় এটি কতটা কার্যকর তা চিন্তা করেও নয়।

এটি বলার পরে, এটি এটির মূল্য। অন্যরা ইতিমধ্যে বলেছে যেমন সুরক্ষা সম্পর্কে খুব বেশি অনুমান করবেন না। ফাইলটি ভাল হওয়ার চেয়ে এবং যদি আপনি একেবারে মূল হ্যাশকে বিশ্বাস করতে পারেন তবেই। অন্যথায় পর্যাপ্ত প্রেরণা এবং জ্ঞান সহ একটি আক্রমণকারী ফাইল এবং হ্যাশ উভয়কেই হস্তক্ষেপ করতে পারে, যদিও এগুলি বিভিন্ন সার্ভারে থাকে এবং বিভিন্ন সংস্থার দ্বারা পরিচালিত হয়।


8

কখনও কখনও চেকসামগুলি নিরাপদে সরবরাহ করা হয়, তবে ডাউনলোড হয় না। যেহেতু এমডি 5 নষ্ট হয়ে গেছে , এমডি 5 চেকসামগুলি সরবরাহ করা সুরক্ষিত চেকসামগুলির চেয়ে দুর্বল, তবে এমডি 5 ভাঙ্গার আগে একটি সুরক্ষিতভাবে সরবরাহ করা এমডি 5 (যেমন পিজিপি বা জিপিজি বা গেটকিপারের সাথে স্বাক্ষরিত একটি, বা এইচটিটিপিএসের সাথে সজ্জিত একটি) যা এমডি 5 এর সাথে মিলেছিল ডাউনলোডটি দৃ strong় প্রমাণ ছিল যে ডাউনলোডটি প্রাপ্ত হওয়াটাই সার্ভারের জন্য উপলব্ধ ছিল।

আমি এখানে বছরের পর বছর ধরে সুরক্ষিত চেকসামের বিলাপের অভাব সম্পর্কে লিখছি ।

এমআইটিএম আক্রমণের ঝুঁকির কারণে ব্যবহারকারীদের অবিশ্বাস্য নেটওয়ার্কগুলিতে অবিশ্বস্ত এক্সিকিউটেবলগুলি ডাউনলোড করা এবং সেগুলি চালানো উচিত নয়। দেখুন, যেমন পি। রুইসেন, আর ভ্লুথুইস দ্বারা "স্বয়ংক্রিয় আপডেট সিস্টেমের মধ্যে অনিরাপদ"।

2014 সংযোজন: না, এটি ভুল নয় "যে ওয়েব পৃষ্ঠাগুলিতে পোস্ট করা চেকসামগুলি দূষিত পরিবর্তনগুলি সনাক্ত করতে ব্যবহৃত হয়," কারণ এটি এমন একটি ভূমিকা যা তারা সম্পাদন করতে পারে। তারা দুর্ঘটনাকবলিত দুর্নীতির বিরুদ্ধে রক্ষা করতে সহায়তা করে এবং এইচটিটিপিএসের মাধ্যমে বা কোনও যাচাইকৃত স্বাক্ষরের (অথবা আরও ভাল, উভয়) দূষিত দুর্নীতির বিরুদ্ধে রক্ষা করতে সহায়তা করে! আমি এইচটিটিপিএস-এর মাধ্যমে চেকসাম পেয়েছি এবং যাচাই করেছি যে তারা বেশিরভাগ সময় এইচটিটিপি ডাউনলোডের সাথে মিলেছে।

আজকাল, বাইনারিগুলি প্রায়শই স্বাক্ষরিত, স্বয়ংক্রিয়ভাবে যাচাই করা হ্যাশগুলির সাথে বিতরণ করা হয়, তবুও এটি পুরোপুরি নিরাপদ নয়

উপরের লিঙ্কটি থেকে উদ্ধৃত অংশ: "কেরেঞ্জার অ্যাপ্লিকেশনটি একটি বৈধ ম্যাক অ্যাপ্লিকেশন বিকাশের শংসাপত্রের সাথে স্বাক্ষরিত হয়েছিল; সুতরাং, এটি অ্যাপলের গেটকিপার সুরক্ষা বাইপাস করতে সক্ষম হয়েছিল।" ... "অ্যাপল আপত্তিজনক শংসাপত্র বাতিল করেছে এবং এক্সপ্রোটেক্ট অ্যান্টিভাইরাস স্বাক্ষরকে আপডেট করেছে এবং ট্রান্সমিশন প্রকল্পটি তার ওয়েবসাইট থেকে দূষিত ইনস্টলারগুলি সরিয়ে নিয়েছে Pal

দুটি কেরেঞ্জার সংক্রামিত ট্রান্সমিশন ইনস্টলারের অ্যাপল ইস্যু করা বৈধ শংসাপত্রের সাথে স্বাক্ষরিত হয়েছিল। এই শংসাপত্রটির তালিকাভুক্ত বিকাশকারী একটি তুর্কি সংস্থা Z7276PX673 আইডি সহ, যা সংক্রমণ ইনস্টলারটির পূর্ববর্তী সংস্করণগুলিতে স্বাক্ষর করতে ব্যবহৃত বিকাশকারী আইডি থেকে আলাদা ছিল। কোড সাইন ইন তথ্যতে আমরা দেখতে পেলাম যে এই ইনস্টলারগুলি 4 মার্চ সকালে উত্পন্ন এবং স্বাক্ষরিত হয়েছিল। "

2016 অ্যাডেন্ডা:

পুনঃটুইট আপনার মন্তব্য নীচে: ভুল। যে সংঘর্ষের আক্রমণ উইকিপিডিয়া নিবন্ধটিতে আপনি লিঙ্ক করেছেন সে হিসাবে বর্তমানে উল্লিখিত হয়েছে, "2007 সালে একটি নির্বাচিত-উপসর্গের সংঘর্ষের আক্রমণ এমডি 5 এর বিরুদ্ধে পাওয়া গিয়েছিল" এবং "আক্রমণকারী দুটি নির্বিচারে ভিন্ন ভিন্ন নথি চয়ন করতে পারে, এবং তারপরে বিভিন্ন গণনা করা মানগুলি সংযোজন করে যা সম্পূর্ণরূপে ফলাফল দেয় সমান হ্যাশ মানযুক্ত নথি documents " এমডি 5 সুরক্ষিতভাবে সরবরাহ করা হলেও এবং আক্রমণকারী এটি পরিবর্তন করতে না পারলেও, আক্রমণকারী এখনও ম্যালওয়্যারযুক্ত একটি নির্বাচিত উপসর্গের সাথে একটি নির্বাচিত উপসর্গ সংঘর্ষ আক্রমণ ব্যবহার করতে পারে, যার অর্থ MD5 ক্রিপ্টো উদ্দেশ্যে সুরক্ষিত নয়। মূলত এই কারণেই ইউএস-সিইআরটি বলেছিল যে এমডি 5 "আরও ক্রিপ্টোগ্রাফিকভাবে ভাঙ্গা এবং আরও ব্যবহারের জন্য অনুপযুক্ত বিবেচনা করা উচিত।"

আরও কয়েকটি জিনিস: সিআরসি 32 একটি চেকসাম। MD5, SHA ইত্যাদি চেকসামের চেয়ে বেশি; তারা নিরাপদ হ্যাশ হওয়ার উদ্দেশ্যে're তার মানে তারা সংঘর্ষের আক্রমণগুলির জন্য খুব প্রতিরোধী হওয়ার কথা। চেকসামের বিপরীতে, একটি নিরাপদে যোগাযোগযুক্ত সুরক্ষিত হ্যাশ একটি ম্যান-ইন-দ্য মিডল (এমআইটিএম) আক্রমণ থেকে সুরক্ষা দেয় যেখানে সার্ভার এবং ব্যবহারকারীর মধ্যে এমআইটিএম থাকে। এটি কোনও আক্রমণ থেকে সুরক্ষা দেয় না যেখানে সার্ভার নিজেই আপোস করা হয়েছে। এর থেকে সুরক্ষার জন্য, লোকেরা সাধারণত পিজিপি, জিপিজি, গেটকিপার ইত্যাদির উপর নির্ভর করে something


আমি এই উত্তরটি পছন্দ করি কারণ এটি চেকসামের একটি মৌলিক অংশটি হাইলাইট করে - কোনও ফাইলের সামগ্রীর বৈধতা পরীক্ষা করার জন্য এটি কেবল একটি মেট্রিক many যদি নেটওয়ার্কটি নিজেই অবিশ্বস্ত থাকে তবে MD5- হ্যাশগুলি প্রতিস্থাপন করে এবং ফ্লাইতে প্যাচিং বাইনারিগুলি প্রতিস্থাপন করা কল্পনা করা এতটা অসম্ভব নয় (অবশ্যই আমরা ইতিমধ্যে কিছু টর প্রস্থান নোডে দেখেছি) ... তবে অবশ্যই MD5 এর বিরুদ্ধে কোনও সুরক্ষা সরবরাহ করে না ইচ্ছাকৃত ফাইলগুলি সংশোধন করা হয়েছে কারণ আপনি ইতিমধ্যে ফাইলগুলির সরবরাহকারীর উপর বিশ্বাস স্থাপন করছেন trust
ব্রেকথ্রু

2
এমডি 5 পুরোপুরি ভাঙা নয়: এটির আক্রমণ একটি সংঘর্ষের আক্রমণ , প্রিমেজ সংযুক্তি নয় (যা অনেক বেশি, আরও খারাপ হবে)। যদি এমডি 5 সুরক্ষিতভাবে সরবরাহ করা হয় এবং কোনও আক্রমণকারী এটিকে সংশোধন করতে না পারে তবে আক্রমণকারী কোনও সংঘর্ষের আক্রমণ ব্যবহার করতে পারে না (এবং অবশ্যই প্রিমাইজ আক্রমণ ব্যবহার করতে পারে) যার অর্থ এমডি 5 এখনও সেই উদ্দেশ্যে বেশ সুরক্ষিত। সংঘর্ষের দুর্বলতার কারণে এমডি 5 পর্যায়ক্রমে বেরিয়ে আসার মতো, তবে এটির (পরিচিত) প্রিমাইজ দুর্বলতা নেই তাই এটি সম্পূর্ণরূপে ভাঙা হয়নি। অর্ধেক ভাঙ্গা।
কর্নস্টাল্ক

+1 টি! তবে ... একটি স্বাক্ষরিত হ্যাশ কি সত্যই ঠিক নিরাপদ ( বিশ্বাসযোগ্য ) হিসাবে https (এসএসএল / টিএসএল) এর উপর স্বাক্ষরবিহীন হ্যাশ হিসাবে পাওয়া যায়? আমি মনে করি এটি এখনও পছন্দনীয় যে হ্যাশ নিজেই স্বাক্ষরিত হয়েছে ...
ম্যাটপপ

4

"এই ফাইলের দূষিত পরিবর্তনের বিরুদ্ধে সুরক্ষা দিতে পারে না" বলে এই পোস্টটি চেকসামগুলি প্রায়শই একটি অস্বীকৃতি বহন করে বলেছিল reason সুতরাং, সংক্ষিপ্ত উত্তরটি "তারা ইচ্ছাকৃতভাবে পরিবর্তিত ফাইলের বিরুদ্ধে কোনও সুরক্ষা দিতে পারে না" (যদিও পৃষ্ঠাটি এইচটিটিপিএসের মাধ্যমে সরবরাহ করা হয় তবে এইচটিটিপিএস নিজেই পরিবর্তনের বিরুদ্ধে সুরক্ষা দেয়; যদি এইচটিটিপিএসের মাধ্যমে ফাইলটি সরবরাহ করা হয় না তবে চেকসামটি হয়) হ'ল, তবে এটি কারওর পক্ষে সহায়তা করতে পারে তবে সাধারণ ঘটনা নয়)। যে কেউ আপনাকে বলেছিল যে ওয়েব পৃষ্ঠাগুলিতে পোস্ট করা চেকসামগুলি দূষিত পরিবর্তনগুলি সনাক্ত করতে ব্যবহৃত হয় তা ভুল ছিল, কারণ এটি এমন কোনও ভূমিকা নয় যা তারা সম্পাদন করতে পারে; তারা যা করে তা হ'ল দুর্ঘটনাজনিত দুর্নীতি, এবং অলস দূষিত দুর্নীতির বিরুদ্ধে রক্ষা করতে সহায়তা করে (যদি কেউ আপনাকে চেকসাম দেওয়ার পৃষ্ঠাটি আটকাতে বিরত না করে)।

আপনি যদি ইচ্ছাকৃত পরিবর্তনের হাত থেকে রক্ষা করতে চান তবে আপনার উচিত হয় লোককে চেকসামের সাথে গোলমাল করা থেকে বিরত রাখা বা অন্য কারও পক্ষে বৈধ চেকসাম তৈরি করা অসম্ভব করে তোলা। প্রাক্তন এটি ব্যক্তিগতভাবে বা অনুরূপ প্রদানের সাথে জড়িত থাকতে পারে (তাই চেকসাম নিজেই বিশ্বাসযোগ্য); পরবর্তীটি ডিজিটাল স্বাক্ষর অ্যালগরিদমগুলিতে যায় (যেখানে আপনাকে সুরক্ষার সাথে ডাউনলোডের কাছে আপনার পাবলিক কীটি পেতে হবে; টিএলএসে, এটি শেষ পর্যন্ত শংসাপত্র কর্তৃপক্ষের উপর সরাসরি বিশ্বাস করে এবং তাদের প্রত্যেককে যাচাই করে দেখানো হয়; এটি বিশ্বাসের ওয়েবের মাধ্যমেও করা যেতে পারে , তবে মুল বক্তব্যটি হ'ল কিছু কিছু নিরাপদে কোনও কোনও মুহুর্তে স্থানান্তর করতে হবে এবং কেবলমাত্র আপনার সাইটে কিছু পোস্ট করা যথেষ্ট নয়)।


2
কোনও ফাইলের বিশ্বাসযোগ্য সংস্করণটির প্রত্যাশিত হ্যাশটি কী হওয়া উচিত তা যদি কোনও স্বাধীন উত্সের মাধ্যমে কেউ জানতে পারে তবে হ্যাশগুলি দূষিত পরিবর্তন থেকে রক্ষা করতে পারে। ওয়েব সাইটটির ফাইলগুলির হ্যাশ মানগুলির তালিকা তৈরির মানটি কোনও সাইট থেকে ফাইল ডাউনলোড করা লোকে একই সাইটের বিপরীতে ডাউনলোড করা ফাইলের হ্যাশটি পরীক্ষা করতে দেয় না, বরং অন্য কোনও উত্স থেকে জানে এমন লোকদের জানাতে দেয় ফাইল তারা হ্যাশ চান জানুক প্রশ্নে ফাইল মিলিয়ে নেবে আগে তারা এটা বিনামূল্যে ডাউনলোড। বিটিডাব্লু, একটি জিনিস আমি দেখতে চাই ...
সুপারক্যাট

... ইউআরএল / ইউআরআই-এর এমন একটি রূপ যা প্রত্যাশিত হ্যাশ মান (সম্ভবত MD5 এর চেয়ে SHA) অন্তর্ভুক্ত করবে এবং উল্লেখ করবে যে একটি ব্রাউজার কেবল তখনই কোনও ফাইল গ্রহণ করতে পারে যদি হ্যাশ নির্দিষ্ট করে মেলে তবে file সেই ক্ষেত্রে যেখানে একই বৃহত ফাইলটি অনেক লোক অ্যাক্সেস করতে হবে, সেই সমস্ত লোককে https: // এর মাধ্যমে একটি ইউআরএল প্রদান করা হবে তবে তাদের প্রক্সি থেকে ফাইলটি ডাউনলোড করা তাদের সকলের https: // ব্যবহারের চেয়ে আরও কার্যকর হতে পারে cases সরাসরি উত্স থেকে।
সুপারক্যাট

@ সুপের্যাট এটিই হ'ল "চেকসামের সাথে লোকজনকে গণ্ডগোল করা থেকে বিরত রাখুন" বলতে আমি বোঝাতে চাইছি - কিছু নিরাপদে স্থানান্তরিত করতে হবে এবং যদি এটি চেকসাম হয় তবে চেকসামটি ফাইলের সাথে দূষিতভাবে হস্তক্ষেপের বিরুদ্ধে রক্ষা করতে সহায়তা করতে পারে।
cpast

একটি MD5 চেকসাম কোনও ফাইল ব্যতীত অন্য কোনও পথের মাধ্যমে প্রেরণ করা হয়, যদি না এই ধরণের छे্পछाয়ের সুবিধার্থে ফাইলটি ইচ্ছাকৃতভাবে তৈরি না করা হয় তবে তা হস্তক্ষেপের বিরুদ্ধে সুরক্ষা সরবরাহ করবে । বিপরীতে, ফাইলের মূল উত্সটি বিশ্বাসযোগ্য এবং সিআরসি 32 নিরাপদে বিতরণ করা সত্ত্বেও সিআরসি 32 এর মতো কিছু হ'ল টেম্পারিংয়ের বিরুদ্ধে প্রায় কোনও সুরক্ষা সরবরাহ করবে না।
সুপারক্যাট

4

এটি আসলেই একটি সমস্যা। ডাউনলোড করার জন্য ফাইল হিসাবে একই সাইটে চেকসামগুলি দেখানো নিরাপদ। যে ব্যক্তি ফাইলটি পরিবর্তন করতে পারে সে চেকসামটিও পরিবর্তন করতে পারে। একটি সম্পূর্ণ পৃথক ব্যবস্থার মাধ্যমে চেকসামটি দেখানো উচিত তবে এটি খুব কমই সম্ভবপর হয়, কারণ ব্যবহারকারীকে কীভাবে নিরাপদ উপায়ে বলতে হবে যেখানে চেকসাম পাওয়া যাবে।

একটি সম্ভাব্য সমাধান হ'ল স্বাক্ষরিত ফাইল ব্যবহার।

(বিটিডাব্লু: এমডি 5 কোথাও অনিরাপদ এবং এটি আর ব্যবহার করা উচিত নয়))


2

চেকসাম নিজেই আপস করা হয়েছে কিনা তা জানার উপায় না থাকলে এমডি 5 চেকসাম ইচ্ছাকৃতভাবে পরিবর্তিত ফাইলগুলির বিরুদ্ধে কোনও সুরক্ষা সরবরাহ করতে পারে ?

আপনি সম্পূর্ণ সঠিক। তারপরে লক্ষ্যটি হ'ল আপনার "যদি" ভুল করে তোলা - যদি আমরা জানি যে কোনও ফাইলের একটি সুরক্ষিত ক্রিপ্টোগ্রাফিক হ্যাশ আপোস করা হয়নি, তবে আমরা জানি যে ফাইলটি কোনওভাবেই আপস করা হয়নি।

উদাহরণস্বরূপ, আপনি যদি নিজের ওয়েবসাইটে কোনও ফাইলের একটি হ্যাশ পোস্ট করেন এবং তারপরে কোনও তৃতীয় পক্ষের মিরর সার্ভারে ফাইলটির অনুলিপিটিতে লিঙ্ক করেন - পুরানো ফ্যাশনযুক্ত ফ্রি সফটওয়্যার বিতরণে প্রচলিত অনুশীলন - আপনার ব্যবহারকারীরা কিছু ধরণের বিরুদ্ধে রক্ষা পেতে পারেন আক্রমণ। যদি মিরর সার্ভারটি দূষিত বা আপোসযুক্ত হয় তবে আপনার ওয়েবসাইটটি ঠিক আছে, আয়না আপনার ফাইলটিকে বিকল করতে সক্ষম হবে না।

যদি আপনার ওয়েবসাইটটি এইচটিটিপিএস ব্যবহার করে বা আপনি হ্যাশ দিয়ে স্বাক্ষর করেন তবে gpgআপনার ফাইলটি (বেশিরভাগ ক্ষেত্রে) দূষিত ওয়াই-ফাই হটস্পটস, দুর্বৃত্ত টর প্রস্থান নোড বা এনএসএ জাতীয় নেটওয়ার্ক আক্রমণকারী থেকে সুরক্ষিত হতে পারে।


1
জিপিজি সম্পর্কিত: মনে রাখবেন যে আপনি যদি জনসাধারণের কীটিকে সম্পূর্ণরূপে বিশ্বাস না করেন তবে আপত্তিজনক কোনওটি এবং এর সাথে সম্পর্কিত ব্যক্তিগত কীতে স্বাক্ষরিত সামগ্রী দ্বারা প্রতিস্থাপন করা হয়নি তবে এটি একই সমস্যা রয়েছে has
ডেভিড স্পিললেট

1

আপনি ফাইল পরিবর্তন না করে MD5 চেকসামটি পরিবর্তন করতে পারবেন না। আপনি যদি ফাইলটি ডাউনলোড করেন তবে হ্যাশটি ডাউনলোড করুন এবং তারপরে আপনার ফাইলের গণনা যা দেওয়া হচ্ছে তার সাথে মেলে না, হ্যাশ বা ফাইলটি ভুল বা অসম্পূর্ণ।

আপনি যদি বাহ্যিক কোনও কিছুর সাথে লেখক, মেশিন ইত্যাদির সাথে ফাইলটি "টাই" করতে চান তবে শংসাপত্র সহ একটি পিকেআই-টাইপ প্রক্রিয়া ব্যবহার করে এটিতে স্বাক্ষর করা দরকার । ফাইল লেখক ইত্যাদি ফাইলটি তার / তার ব্যক্তিগত কী দিয়ে স্বাক্ষর করতে পারে এবং আপনি পাবলিক কী দিয়ে স্বাক্ষরগুলি যাচাই করতে পারেন, যা সর্বজনীনভাবে উপলভ্য হওয়া উচিত, নিজেই সিএ দ্বারা স্বাক্ষরিত আপনি এবং লেখক বিশ্বাস, এবং ডাউনলোডযোগ্য, সম্ভবতঃ একাধিক অবস্থান

ফাইলটি পরিবর্তন করা স্বাক্ষরটিকে অবৈধ করে তুলবে, সুতরাং এটি ফাইলের অখণ্ডতাও যাচাই করতে ব্যবহৃত হতে পারে।


1

আপনার ফাইলের সংস্করণটি ("ডাউনলোড") সার্ভারের সংস্করণ থেকে আলাদা কিনা তা হ্যাশগুলি নির্দেশ করে। তারা ফাইলটির সত্যতার কোনও গ্যারান্টি দেয় না।

ডিজিটাল স্বাক্ষর (অ্যাসিম্যাট্রিক এনক্রিপশন + হ্যাশ ফাংশন) যাচাই করাতে ব্যবহার করা যেতে পারে যে যার কাছে প্রাইভেট কী নেই তার যার দ্বারা ফাইলটি সংশোধন করা হয়নি।

ফাইলটির স্রষ্টা ফাইলটি হ্যাশ করে এবং তাদের (গোপনীয়) ব্যক্তিগত কী ব্যবহার করে হ্যাশটিকে এনক্রিপ্ট করে। এইভাবে, সম্পর্কিত (অ-গোপনীয়) পাবলিক কী সহ যে কেউ হ্যাশটি ফাইলটির সাথে মিলেছে কিনা তা যাচাই করতে পারে, তবে ফাইলের বিষয়বস্তুগুলি সংশোধন করা যেতে পারে, ফাইলটির সাথে মিলে এমন কোনও হ্যাশ প্রতিস্থাপন করতে পারে না (হ্যাশ ব্যবহারের পরে ডিক্রিপ্ট করার পরে) সর্বজনীন কী) - যতক্ষণ না তারা প্রাইভেট কীটি জোর করে পরিচালনা করতে বা কোনওভাবে এটিকে অ্যাক্সেস না করে তা পরিচালনা করে।

মিঃ "এ। হ্যাকার" কে কেবল ফাইলটি সংশোধন করা, তারপরে তাদের নিজস্ব ব্যক্তিগত কী দিয়ে স্বাক্ষর করা থেকে বিরত রাখা উচিত?

ফাইলটি বৈধতা দেওয়ার জন্য, আপনার সম্পর্কিত হ্যাশটির সাথে সম্পর্কিত ডিজিটাল স্বাক্ষরটি ডিক্রিপ্ট করে যা আপনি পেয়েছেন তার সাথে তার তুলনা করতে হবে। যদি আপনি মনে করেন যে ফাইলটি "আইএমএইউইউইস" থেকে এসেছে, তবে আপনি তার কীটি ব্যবহার করে হ্যাশটি ডিক্রিপ্ট করেছেন এবং হ্যাশটি ফাইলটির সাথে মেলে না, যেহেতু হ্যাশটি এ.হ্যাকারের কীটি ব্যবহার করে এনক্রিপ্ট করা হয়েছিল।

ডিজিটাল স্বাক্ষরগুলির ফলে একজনকে দুর্ঘটনাক্রমে এবং দূষিত উভয় পরিবর্তন সনাক্ত করতে দেওয়া হয়।

তবে আমরা কীভাবে প্রথম স্থানে আইএমএইউভাসির পাবলিক কী পাব? আমরা কীভাবে এটি নিশ্চিত করতে পারি যে যখন আমরা তার কীটি পেয়েছি, এটি আসলে এ। হ্যাকারের কীটি কোনও আপোসযুক্ত সার্ভার বা মধ্য-আক্রমণে চালিত দ্বারা সরবরাহ করা হয়নি? এটি যেখানে শংসাপত্র শৃঙ্খলা এবং বিশ্বাসযোগ্য মূল শংসাপত্রগুলি আসে, সেগুলির উভয়ই পুরোপুরি সুরক্ষিত নয় [1] সমস্যার সমাধান, এবং উভয়ই সম্ভবত উইকিপিডিয়া এবং এসও সম্পর্কিত অন্যান্য প্রশ্নের উপর ভালভাবে ব্যাখ্যা করা উচিত।

[1] পরিদর্শন করার পরে, আমার ওয়ার্ড পিসিতে মাইক্রোসফ্ট ওএসের সাথে যে মূল শংসাপত্রগুলি প্রেরণ করা হয়েছিল সেগুলিতে মার্কিন যুক্তরাষ্ট্রের একটি শংসাপত্র অন্তর্ভুক্ত রয়েছে। সংশ্লিষ্ট বেসরকারী কী কাশি এনএসএ কাশি অ্যাক্সেস সহ যে কেউ তাই আমার ওয়েব ব্রাউজারে এমন সামগ্রী সরবরাহ করতে পারে যা "অ্যাড্রেস বারে একটি প্যাডলক আছে" যাচাই করে passes কত মানুষ আসলে প্যাডলক এ ক্লিক করুন এবং দেখতে বিরক্ত হবে কে কী জুড়ি করার জন্য ব্যবহৃত হচ্ছে 'নিরাপদ' সংযোগ নেই?


কেলেঙ্কারী ঘটানোর জন্য শংসাপত্র শৃঙ্খলা পরীক্ষা করে এমন একজনকেই লাগে। আপনি যদি ভাবেন যে এনএসএ বেসরকারীভাবে রাখা বা - আরও ভাল - বিদেশী শংসাপত্র কর্তৃপক্ষের (যেমন প্রশংসনীয় অস্বীকারযোগ্যতা সরবরাহকারী) থেকে চুরি হওয়া একটি ব্যবহার করার চেয়ে এমআইটিএমের জন্য সরকারী সিএ কী ব্যবহার করবে, আপনাকে বিক্রি করার জন্য আমার কাছে একটি সেতু রয়েছে।
চার্লস ডাফি 21

আমি সম্ভাবনার পরামর্শ দিচ্ছিলাম যে এটি কোনও নির্দিষ্ট ব্যবহারকারীর একটি এমআইটিএম লক্ষ্যবস্তু করতে ব্যবহার করা যেতে পারে। এটি সম্ভবত সম্ভাব্য কিনা তা নিয়ে, এটি টিন-ফয়েল লোকদের নিয়ে বিতর্ক করার জন্য
মার্ক কে কোয়ান

আমি লক্ষ্যযুক্ত এমআইটিএম সম্ভাবনা আছে কিনা তা নিয়ে প্রশ্ন করছি না। আমি জিজ্ঞাসা করছি যে এটি সম্পাদন করার জন্য সহজেই চিহ্নিত করা এবং বিশিষ্ট সিএ কী ব্যবহার করার জন্য যথেষ্ট অযত্ন থাকা সম্ভবত is বিশেষত পর্যাপ্ত উচ্চ-মানের টার্গেটের জন্য, এসএসএল হ্যান্ডশেকের সর্বজনীন অংশ পর্যন্ত মেটাডেটা অন্তর্ভুক্ত করার জন্য আউটবাউন্ড 'নেট ট্রাফিক যথেষ্ট পরিমাণে রেকর্ড করা দায়, সুতরাং ব্যবহারকারী যদি না দেখে তবে তাদের সুরক্ষা কর্মীরা বা অটোমেটেড অবকাঠামো প্রত্যাবর্তনমূলক বিশ্লেষণে এটি করতে পারে।
চার্লস ডাফি 21

1

চেকসামের সাথে আপস করা হয়নি কিনা তা জানার উপায় না থাকলে এমডি 5 চেকসাম ইচ্ছাকৃতভাবে পরিবর্তিত ফাইলগুলির বিরুদ্ধে কীভাবে সুরক্ষা সরবরাহ করতে পারে?

এই সত্যিই একটি ভাল প্রশ্ন। সাধারণভাবে, MD5 ম্যানিপুলেশন সম্পর্কে আপনার মূল্যায়ন স্পট। তবে আমি বিশ্বাস করি যে ডাউনলোডগুলিতে MD5 চেকসামের মান সর্বোপরি পৃষ্ঠের। সম্ভবত আপনি কোনও ফাইল ডাউনলোড করার পরে আপনি কোনও ওয়েবসাইটের বিপরীতে থাকা MD5 যাচাই করতে পারেন, তবে আমি পাশাপাশি "এমসি 5" স্টোরেজটি "রসিদ" বা এমন কিছু হিসাবে দেখতে চাই যা বিশ্বাসযোগ্য তবে বিশ্বাসযোগ্য নয়। এর মতো, আমি সাধারণত ডাউনলোড করা ফাইলগুলি থেকে এমডি 5 চেকসামগুলি সম্পর্কে কখনই যত্ন নিই না, তবে আমি অ্যাড-হক সার্ভার-ভিত্তিক MD5 প্রক্রিয়াগুলি তৈরির অভিজ্ঞতা থেকে বলতে পারি।

মূলত আমি কী করেছি যখন কোনও ক্লায়েন্ট MD5 চেকসামগুলির জন্য একটি ফাইল সিস্টেম স্যুইপ করতে চান সেগুলি CSV ফাইলগুলিতে তৈরি করা উচিত যা ফাইলের নাম, পথ, MD5 — এবং অন্যান্য পৃথক ফাইলের তথ্য মানচিত্রকে কাঠামোগত ডেটা ফর্ম্যাটে মানচিত্র দেয় যা আমি পরে ইনজেক্ট করেছি তুলনা এবং স্টোরেজ জন্য একটি ডাটাবেস মধ্যে।

সুতরাং আপনার উদাহরণটি ব্যবহার করে, যখন কোনও MD5 চেকসাম তার নিজস্ব পাঠ্য ফাইলটিতে কোনও ফাইলের পাশে বসতে পারে, অথরিটি রেকর্ড MD5 চেকসামটি একটি নন-সংযুক্ত ডেটাবেস সিস্টেমে সংরক্ষণ করা হবে। সুতরাং কেউ যদি কোনওভাবে ডেটা ম্যানিপুলেট করার জন্য কোনও ফাইল শেয়ারে হ্যাক করে, তবে সেই অনুপ্রবেশকারীটির MD5 কর্তৃপক্ষের রেকর্ড বা সংযুক্ত ইতিহাসে কোনও অ্যাক্সেস থাকবে না।

সম্প্রতি আমি ACE অডিট ম্যানেজার নামে পরিচিত একটি লাইব্রেরি আর্কাইভ সফ্টওয়্যার আবিষ্কার করেছি যা মূলত একটি জাভা অ্যাপ্লিকেশন যা পরিবর্তনের জন্য একটি ফাইল সিস্টেম বসে এবং দেখার জন্য ডিজাইন করা হয়েছিল। এটি MD5 পরিবর্তনগুলির মাধ্যমে পরিবর্তনগুলি লগ করে। এবং এটি আমার অ্যাডহক প্রক্রিয়া হিসাবে একটি অনুরূপ দর্শনে কাজ করে - একটি ডাটাবেসে চেকসামগুলি সঞ্চয় করে — তবে এটি আরও একধাপ এগিয়ে নেয় তবে MD5 চেকসামের একটি MD5 চেকসাম তৈরি করে যা হ্যাশ ট্রি বা মের্কেল ট্রি হিসাবে পরিচিত ।

সুতরাং আসুন ধরা যাক আপনার কাছে একটি সংগ্রহে 5 টি ফাইল রয়েছে। এসিই অডিট ম্যানেজারের এই 5 টি ফাইল এর পরে অন্যটি আসবে - আসুন একে "প্যারেন্ট" বলুন - চেকসাম যা প্রতিটি ফাইলের 5 এমডি 5 চেকসাম থেকে উত্পন্ন হ্যাশ। সুতরাং কেউ যদি কেবল একটি ফাইল নিয়ে টেম্পার করতে থাকে তবে ফাইলটির হ্যাশ বদলে যেত এবং পুরো "প্যারেন্ট" সংগ্রহের জন্য হ্যাশটি বদলে যায়।

সাধারণভাবে আপনাকে এমডি 5 চেকসামগুলি এবং সম্পর্কিত সততা হ্যাশগুলিকে দেখার প্রয়োজন হয় যদি না তারা নিজেরাই MD5 হ্যাশগুলির জন্য কিছু অ-প্রত্যক্ষ সঞ্চয়স্থানের সাথে সংযুক্ত না থাকে তবে সেগুলি দুর্নীতিগ্রস্থ হতে পারে। এবং দীর্ঘমেয়াদী ডেটা অখণ্ডতার সরঞ্জাম হিসাবে তাদের মান একটি সস্তা লকের সমতুল্য যা নতুন লাগেজের "ফ্রি" আসে; আপনি যদি আপনার লাগেজ লক করার বিষয়ে গুরুতর হন তবে আপনি একটি লক পাবেন যা একটি পেপারক্লিপ দিয়ে 5 সেকেন্ডে খোলা যাবে না।


"এমডি 5 চেকসামের এমডি 5 চেকসাম" একটি মর্কল ট্রি হিসাবে পরিচিত ।
pjc50

@ pjc50 ধন্যবাদ! রেফারেন্সের উত্তর সম্পাদনা করেছেন।
জ্যাকগল্ড

0

দ্রুততা

প্রায়শই লোকেরা এটি দেখতে পান যে (ক) কিছু অবিশ্বস্ত "কাছাকাছি" সামগ্রী বিতরণ নেটওয়ার্ক (সিডিএন), আয়না সাইট, টরেন্ট পিয়ারস ইত্যাদি থেকে একটি বৃহত ফাইল ডাউনলোড করা এবং সংশ্লিষ্ট সংক্ষিপ্ত চেকসাম ফাইলটি ডাউনলোড করা (প্রায়শই SHA256; পুরানো সফ্টওয়্যার) কয়েকটি বিশ্বস্ত উত্স থেকে প্রায়শই MD5 ব্যবহার করা হয়। তারা এটিকে অসহনীয়ভাবে ধীর বলে মনে করে (খ) কোনও বিশ্বস্ত উত্স থেকে সরাসরি পুরো বড় ফাইলটি ডাউনলোড করতে।

বৈধতা

প্রায়শই সেই ব্যক্তিটি দেখতে পান যে সমস্ত কিছু বৈধ হয়ে গেছে - উত্সগুলি (বিশ্বাসযোগ্য এবং অবিশ্বস্ত) একই চেকসামের সাথে একমত হয় এবং শরসাম (বা এমডি 5সাম) এই সংক্ষিপ্ত চেকসাম ফাইলগুলির সাথে চলমান থাকে (এটি কোনটিই বিবেচনা করে না, যখন তারা সমস্ত অভিন্ন হয় ) ইঙ্গিত দেয় যে বড় ফাইলটিতে একটি ম্যাচিং চেকসাম রয়েছে।

অদলবদল

আপনি ঠিক বলেছেন যে ম্যালরি দূষিতভাবে কোনও ডাউনলোড সাইটে বসে একটি বড় ফাইল পরিবর্তন করে, ম্যালোরির পক্ষে একই ডাউনলোড সাইটে সেই ফাইলটির জন্য চেকসামটি দূষিতভাবে করা সহজ হবে যাতে সেই দূষিত চেকসাম ফাইলটিতে চালিত শসুম (বা এমডি 5সাম) চালিত হত বড় ফাইলটি বৈধ বলে মনে হচ্ছে। তবে সেই চেকসাম ফাইলটি ডাউনলোডের একমাত্র (কেবল) বৈধতার জন্য ব্যবহার করা উচিত নয়।

যখন ডাউনলোডকারী সেই দূষিত চেকসাম ফাইলটিকে বিশ্বস্ত উত্স থেকে ডাউনলোড করা চেকসাম ফাইলগুলির সাথে তুলনা করে, মূল চেকসামটি যদি এক সময়ের মধ্যেও পিছলে যায়, তবে ডাউনলোডার দেখবেন যে সবকিছু বৈধ নয় , এবং জেনে যাবে যে কিছু ভুল হয়েছে।

যেমন সিপিস্ট আগে বলেছে, কোনও ভাল ক্রিপ্টোগ্রাফিক চেকসাম যদি কোনও বিশ্বস্ত সংযোগের মাধ্যমে প্রেরণ করা হয় তবে এটি সুরক্ষা সরবরাহ করতে পারে (যা বিশ্বস্ত সংযোগ থেকে প্রাপ্ত)।

সুপারক্যাট যেমনটি আগেই বলেছে, চেকসাম ফাইলগুলি একটি সাইট সেই ব্যক্তিদের যারা একই সাইট থেকে বৃহত ফাইল ডাউনলোড করে এবং চেকসাম ফাইলগুলি একইভাবে ডাউনলোড করে সেইভাবে তাদের সহায়তা করে না - তারা অন্য কোনও সাইট থেকে ফাইল ডাউনলোড করতে চায় এমন লোকদের সহায়তা করে।

"সুরক্ষার ক্ষেত্রে, এমডি 5 এর মতো ক্রিপ্টোগ্রাফিক হ্যাশগুলি অনিরাপদ আয়নাগুলি থেকে প্রাপ্ত ডেটার প্রমাণীকরণের অনুমতি দেয় The এমডি 5 হ্যাশটিতে স্বাক্ষর করতে হবে বা আপনার বিশ্বাসী কোনও প্রতিষ্ঠানের সুরক্ষিত উত্স (একটি HTTPS পৃষ্ঠা) থেকে আসতে হবে।" - https://help.ubuntu.com/commune/HowToMD5SUM

ক্রিপ্টোগ্রাফিক চেকসামগুলি ব্যবহারিক পাবলিক-কি স্বাক্ষরের একটি গুরুত্বপূর্ণ অংশ (যেমন GnuPG এবং অন্যান্য ওপেনজিপি-কমপ্লায়েন্ট সফ্টওয়্যারে প্রয়োগ করা হয়)। পাবলিক-কি স্বাক্ষরগুলির একা চেকসামগুলির চেয়ে কিছু সুবিধা রয়েছে।


0

আমি শুনেছি এই [MD5 চেকসাম] হ'ল [...] এছাড়াও যে কোনও দূষিত পরিবর্তন সহজে সনাক্ত করা যায়।

ঠিক আছে, আপনি সম্পূর্ণ ভুল শুনেন নিডিজিটাল স্বাক্ষর আসলে দূষিত পরিবর্তনগুলি সনাক্ত করতে ব্যবহৃত হয়। কিছু গুরুত্বপূর্ণ কারণে, হ্যাশিং হ'ল ডিজিটাল স্বাক্ষরের একটি মৌলিক অংশ, এতে কেবলমাত্র হ্যাশই স্বাক্ষরিত হয় , পুরো আসল ফাইল নয়।

বলা হচ্ছে, যদি উত্সটি হ্যাশের স্বাক্ষর এবং এটি যাচাই করার কোনও বিশ্বাসযোগ্য উপায় না সরবরাহ করে তবে আপনি ঠিক বলেছেন, ইচ্ছাকৃতভাবে পরিবর্তিত ফাইলগুলির বিরুদ্ধে কোনও সুরক্ষা দেওয়া হয়নি , তবে হ্যাশটি এখনও দুর্ঘটনার বিরুদ্ধে চেকসাম হিসাবে কার্যকর দুর্নীতি

এখানে একটি বাস্তব বিশ্বের উদাহরণ যা পুরো বিষয়টি স্পষ্ট করে দিতে পারে। নিম্নলিখিত প্যাসেজ বিশেষভাবে তাৎপর্যপূর্ণ:

পুরানো সংরক্ষণাগারভুক্ত সিডি প্রকাশের জন্য, কেবল এমডি 5 চেকসাম তৈরি করা হয়েছিল [...] নতুন রিলিজের জন্য, আরও নতুন এবং ক্রিপ্টোগ্রাফিকভাবে শক্তিশালী চেকসাম অ্যালগরিদম (এসএএএ 1, এসএএএ 256 এবং এসএএএচ 512) ব্যবহৃত হয়

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.