এমডি 5 চেকসামের মান কী হবে যদি এমডি 5 হ্যাশ নিজেই সম্ভাব্যভাবে ম্যানিপুলেট করা যেতে পারে?

ওয়েবসাইটগুলিতে ডাউনলোডগুলির মাঝে মাঝে একটি MD5 চেকসাম থাকে যা লোকেদের ফাইলের অখণ্ডতা নিশ্চিত করতে দেয়। আমি শুনেছি এটি হ'ল কেবল দূষিত ফাইলগুলি ত্রুটিযুক্ত হওয়ার আগেই তাত্ক্ষণিকভাবে চিহ্নিত করার অনুমতি দেওয়া নয় তবে কোনও দূষিত পরিবর্তনগুলি সহজে সনাক্ত করা যায়।

ফাইল দুর্নীতির বিষয়ে আমি যুক্তিটি অনুসরণ করি তবে কেউ যদি ইচ্ছাকৃতভাবে কোনও দূষিত ফাইল আপলোড করতে চায় তবে তারা সংশ্লিষ্ট MD5 চেকসাম তৈরি করতে পারে এবং পরিবর্তিত ফাইলের সাথে ডাউনলোড সাইটে পোস্ট করতে পারে। এটি ফাইলটি ডাউনলোড করা যেহেতু এটি অপরিবর্তিত ছিল ভেবে প্রতারিত করবে।

চেকসাম নিজেই আপস করা হয়েছে কিনা তা জানার উপায় না থাকলে এমডি 5 চেকসাম ইচ্ছাকৃতভাবে পরিবর্তিত ফাইলগুলির বিরুদ্ধে কোনও সুরক্ষা সরবরাহ করতে পারে ?

আমি শুনেছি এটি কোনও হ'ল দূষিত পরিবর্তনগুলি সনাক্ত করার জন্য [...] কে অনুমতি দেওয়া।

আচ্ছা আপনি ভুল শুনেছেন। MD5 (বা SHA বা যাই হোক না কেন) চেকসাম সরবরাহ করা হয় ( ডাউনলোডের লিঙ্কগুলির পরে, বিশেষত ) কেবলমাত্র একটি সঠিক ডাউনলোড যাচাই করার জন্য। কেবলমাত্র তারা গ্যারান্টি দেওয়ার লক্ষ্য রাখে তা হ'ল সার্ভারের মতো আপনারও একই ফাইল রয়েছে। বেশিও না কমও না. যদি সার্ভারটি আপোস করা হয় তবে আপনি SOL। এটা সত্যিই হিসাবে সহজ।

কিছু প্যাকেজ ম্যানেজমেন্ট সিস্টেম যেমন dpkg দ্বারা ব্যবহৃত সমাধানটি হ্যাশকে স্বাক্ষর করা : হ্যাশটিকে সর্বজনীন কী স্বাক্ষরকারী অ্যালগরিদমগুলিতে ইনপুট হিসাবে ব্যবহার করুন। Http://www.pgpi.org/doc/pgpintro/#p12 দেখুন

আপনার যদি স্বাক্ষরকারীর সর্বজনীন কী থাকে তবে আপনি স্বাক্ষরটি যাচাই করতে পারবেন, যা প্রমাণ করে যে হ্যাশটি সংশোধিত নয়। এটি আপনাকে ঠিক আগেই সঠিক পাবলিক কী পাওয়ার সমস্যাটি ছেড়ে দেয়, যদিও কেউ একবার যদি মূল বিতরণে টেম্পার করে তবে আপনি যা যা যা যা যাচাই করতে পারেন তার সাথেও তারা হস্তক্ষেপ করতে হবে অন্যথায় আপনি দেখতে পাবেন যে অদ্ভুত কিছু চলছে।

আপনার অনুমানটি সঠিক। যদিও একটি ব্যতিক্রম আছে। যদি সার্ভারটি ফাইল সরবরাহ করে এবং পৃষ্ঠা যেখানে হ্যাশ একই অস্তিত্ব দ্বারা পরিচালিত হয় না। সেক্ষেত্রে সফ্টওয়্যার বিকাশকারী বলতে পারে "আরে লোকেরা সে জায়গা থেকে এটি ডাউনলোড করে তবে হ্যাশ = এক্সএক্সএক্সএক্সএক্সএক্স কেবলমাত্র বিশ্বাস"। (এটি উদাহরণস্বরূপ সিডিএন এর জন্য দরকারী হতে পারে)। আমার ধারণা, এই কারণেই কেউ প্রথমে এটি করেছিলেন। হ্যাশটি প্রদর্শন করা কতটা শীতল হবে তা ভেবে অন্যরা কেবল এই অনুসারে অনুসরণ করেছিল। এমনকি ফাইল এবং হ্যাশ উভয়ই একই জায়গায় নয় এটি কতটা কার্যকর তা চিন্তা করেও নয়।

এটি বলার পরে, এটি এটির মূল্য। অন্যরা ইতিমধ্যে বলেছে যেমন সুরক্ষা সম্পর্কে খুব বেশি অনুমান করবেন না। ফাইলটি ভাল হওয়ার চেয়ে এবং যদি আপনি একেবারে মূল হ্যাশকে বিশ্বাস করতে পারেন তবেই। অন্যথায় পর্যাপ্ত প্রেরণা এবং জ্ঞান সহ একটি আক্রমণকারী ফাইল এবং হ্যাশ উভয়কেই হস্তক্ষেপ করতে পারে, যদিও এগুলি বিভিন্ন সার্ভারে থাকে এবং বিভিন্ন সংস্থার দ্বারা পরিচালিত হয়।

কখনও কখনও চেকসামগুলি নিরাপদে সরবরাহ করা হয়, তবে ডাউনলোড হয় না। যেহেতু এমডি 5 নষ্ট হয়ে গেছে , এমডি 5 চেকসামগুলি সরবরাহ করা সুরক্ষিত চেকসামগুলির চেয়ে দুর্বল, তবে এমডি 5 ভাঙ্গার আগে একটি সুরক্ষিতভাবে সরবরাহ করা এমডি 5 (যেমন পিজিপি বা জিপিজি বা গেটকিপারের সাথে স্বাক্ষরিত একটি, বা এইচটিটিপিএসের সাথে সজ্জিত একটি) যা এমডি 5 এর সাথে মিলেছিল ডাউনলোডটি দৃ strong় প্রমাণ ছিল যে ডাউনলোডটি প্রাপ্ত হওয়াটাই সার্ভারের জন্য উপলব্ধ ছিল।

আমি এখানে বছরের পর বছর ধরে সুরক্ষিত চেকসামের বিলাপের অভাব সম্পর্কে লিখছি ।

এমআইটিএম আক্রমণের ঝুঁকির কারণে ব্যবহারকারীদের অবিশ্বাস্য নেটওয়ার্কগুলিতে অবিশ্বস্ত এক্সিকিউটেবলগুলি ডাউনলোড করা এবং সেগুলি চালানো উচিত নয়। দেখুন, যেমন পি। রুইসেন, আর ভ্লুথুইস দ্বারা "স্বয়ংক্রিয় আপডেট সিস্টেমের মধ্যে অনিরাপদ"।

2014 সংযোজন: না, এটি ভুল নয় "যে ওয়েব পৃষ্ঠাগুলিতে পোস্ট করা চেকসামগুলি দূষিত পরিবর্তনগুলি সনাক্ত করতে ব্যবহৃত হয়," কারণ এটি এমন একটি ভূমিকা যা তারা সম্পাদন করতে পারে। তারা দুর্ঘটনাকবলিত দুর্নীতির বিরুদ্ধে রক্ষা করতে সহায়তা করে এবং এইচটিটিপিএসের মাধ্যমে বা কোনও যাচাইকৃত স্বাক্ষরের (অথবা আরও ভাল, উভয়) দূষিত দুর্নীতির বিরুদ্ধে রক্ষা করতে সহায়তা করে! আমি এইচটিটিপিএস-এর মাধ্যমে চেকসাম পেয়েছি এবং যাচাই করেছি যে তারা বেশিরভাগ সময় এইচটিটিপি ডাউনলোডের সাথে মিলেছে।

আজকাল, বাইনারিগুলি প্রায়শই স্বাক্ষরিত, স্বয়ংক্রিয়ভাবে যাচাই করা হ্যাশগুলির সাথে বিতরণ করা হয়, তবুও এটি পুরোপুরি নিরাপদ নয় ।

উপরের লিঙ্কটি থেকে উদ্ধৃত অংশ: "কেরেঞ্জার অ্যাপ্লিকেশনটি একটি বৈধ ম্যাক অ্যাপ্লিকেশন বিকাশের শংসাপত্রের সাথে স্বাক্ষরিত হয়েছিল; সুতরাং, এটি অ্যাপলের গেটকিপার সুরক্ষা বাইপাস করতে সক্ষম হয়েছিল।" ... "অ্যাপল আপত্তিজনক শংসাপত্র বাতিল করেছে এবং এক্সপ্রোটেক্ট অ্যান্টিভাইরাস স্বাক্ষরকে আপডেট করেছে এবং ট্রান্সমিশন প্রকল্পটি তার ওয়েবসাইট থেকে দূষিত ইনস্টলারগুলি সরিয়ে নিয়েছে Pal

দুটি কেরেঞ্জার সংক্রামিত ট্রান্সমিশন ইনস্টলারের অ্যাপল ইস্যু করা বৈধ শংসাপত্রের সাথে স্বাক্ষরিত হয়েছিল। এই শংসাপত্রটির তালিকাভুক্ত বিকাশকারী একটি তুর্কি সংস্থা Z7276PX673 আইডি সহ, যা সংক্রমণ ইনস্টলারটির পূর্ববর্তী সংস্করণগুলিতে স্বাক্ষর করতে ব্যবহৃত বিকাশকারী আইডি থেকে আলাদা ছিল। কোড সাইন ইন তথ্যতে আমরা দেখতে পেলাম যে এই ইনস্টলারগুলি 4 মার্চ সকালে উত্পন্ন এবং স্বাক্ষরিত হয়েছিল। "

2016 অ্যাডেন্ডা:

পুনঃটুইট আপনার মন্তব্য নীচে: ভুল। যে সংঘর্ষের আক্রমণ উইকিপিডিয়া নিবন্ধটিতে আপনি লিঙ্ক করেছেন সে হিসাবে বর্তমানে উল্লিখিত হয়েছে, "2007 সালে একটি নির্বাচিত-উপসর্গের সংঘর্ষের আক্রমণ এমডি 5 এর বিরুদ্ধে পাওয়া গিয়েছিল" এবং "আক্রমণকারী দুটি নির্বিচারে ভিন্ন ভিন্ন নথি চয়ন করতে পারে, এবং তারপরে বিভিন্ন গণনা করা মানগুলি সংযোজন করে যা সম্পূর্ণরূপে ফলাফল দেয় সমান হ্যাশ মানযুক্ত নথি documents " এমডি 5 সুরক্ষিতভাবে সরবরাহ করা হলেও এবং আক্রমণকারী এটি পরিবর্তন করতে না পারলেও, আক্রমণকারী এখনও ম্যালওয়্যারযুক্ত একটি নির্বাচিত উপসর্গের সাথে একটি নির্বাচিত উপসর্গ সংঘর্ষ আক্রমণ ব্যবহার করতে পারে, যার অর্থ MD5 ক্রিপ্টো উদ্দেশ্যে সুরক্ষিত নয়। মূলত এই কারণেই ইউএস-সিইআরটি বলেছিল যে এমডি 5 "আরও ক্রিপ্টোগ্রাফিকভাবে ভাঙ্গা এবং আরও ব্যবহারের জন্য অনুপযুক্ত বিবেচনা করা উচিত।"

আরও কয়েকটি জিনিস: সিআরসি 32 একটি চেকসাম। MD5, SHA ইত্যাদি চেকসামের চেয়ে বেশি; তারা নিরাপদ হ্যাশ হওয়ার উদ্দেশ্যে're তার মানে তারা সংঘর্ষের আক্রমণগুলির জন্য খুব প্রতিরোধী হওয়ার কথা। চেকসামের বিপরীতে, একটি নিরাপদে যোগাযোগযুক্ত সুরক্ষিত হ্যাশ একটি ম্যান-ইন-দ্য মিডল (এমআইটিএম) আক্রমণ থেকে সুরক্ষা দেয় যেখানে সার্ভার এবং ব্যবহারকারীর মধ্যে এমআইটিএম থাকে। এটি কোনও আক্রমণ থেকে সুরক্ষা দেয় না যেখানে সার্ভার নিজেই আপোস করা হয়েছে। এর থেকে সুরক্ষার জন্য, লোকেরা সাধারণত পিজিপি, জিপিজি, গেটকিপার ইত্যাদির উপর নির্ভর করে something

"এই ফাইলের দূষিত পরিবর্তনের বিরুদ্ধে সুরক্ষা দিতে পারে না" বলে এই পোস্টটি চেকসামগুলি প্রায়শই একটি অস্বীকৃতি বহন করে বলেছিল reason সুতরাং, সংক্ষিপ্ত উত্তরটি "তারা ইচ্ছাকৃতভাবে পরিবর্তিত ফাইলের বিরুদ্ধে কোনও সুরক্ষা দিতে পারে না" (যদিও পৃষ্ঠাটি এইচটিটিপিএসের মাধ্যমে সরবরাহ করা হয় তবে এইচটিটিপিএস নিজেই পরিবর্তনের বিরুদ্ধে সুরক্ষা দেয়; যদি এইচটিটিপিএসের মাধ্যমে ফাইলটি সরবরাহ করা হয় না তবে চেকসামটি হয়) হ'ল, তবে এটি কারওর পক্ষে সহায়তা করতে পারে তবে সাধারণ ঘটনা নয়)। যে কেউ আপনাকে বলেছিল যে ওয়েব পৃষ্ঠাগুলিতে পোস্ট করা চেকসামগুলি দূষিত পরিবর্তনগুলি সনাক্ত করতে ব্যবহৃত হয় তা ভুল ছিল, কারণ এটি এমন কোনও ভূমিকা নয় যা তারা সম্পাদন করতে পারে; তারা যা করে তা হ'ল দুর্ঘটনাজনিত দুর্নীতি, এবং অলস দূষিত দুর্নীতির বিরুদ্ধে রক্ষা করতে সহায়তা করে (যদি কেউ আপনাকে চেকসাম দেওয়ার পৃষ্ঠাটি আটকাতে বিরত না করে)।

আপনি যদি ইচ্ছাকৃত পরিবর্তনের হাত থেকে রক্ষা করতে চান তবে আপনার উচিত হয় লোককে চেকসামের সাথে গোলমাল করা থেকে বিরত রাখা বা অন্য কারও পক্ষে বৈধ চেকসাম তৈরি করা অসম্ভব করে তোলা। প্রাক্তন এটি ব্যক্তিগতভাবে বা অনুরূপ প্রদানের সাথে জড়িত থাকতে পারে (তাই চেকসাম নিজেই বিশ্বাসযোগ্য); পরবর্তীটি ডিজিটাল স্বাক্ষর অ্যালগরিদমগুলিতে যায় (যেখানে আপনাকে সুরক্ষার সাথে ডাউনলোডের কাছে আপনার পাবলিক কীটি পেতে হবে; টিএলএসে, এটি শেষ পর্যন্ত শংসাপত্র কর্তৃপক্ষের উপর সরাসরি বিশ্বাস করে এবং তাদের প্রত্যেককে যাচাই করে দেখানো হয়; এটি বিশ্বাসের ওয়েবের মাধ্যমেও করা যেতে পারে , তবে মুল বক্তব্যটি হ'ল কিছু কিছু নিরাপদে কোনও কোনও মুহুর্তে স্থানান্তর করতে হবে এবং কেবলমাত্র আপনার সাইটে কিছু পোস্ট করা যথেষ্ট নয়)।

এটি আসলেই একটি সমস্যা। ডাউনলোড করার জন্য ফাইল হিসাবে একই সাইটে চেকসামগুলি দেখানো নিরাপদ। যে ব্যক্তি ফাইলটি পরিবর্তন করতে পারে সে চেকসামটিও পরিবর্তন করতে পারে। একটি সম্পূর্ণ পৃথক ব্যবস্থার মাধ্যমে চেকসামটি দেখানো উচিত তবে এটি খুব কমই সম্ভবপর হয়, কারণ ব্যবহারকারীকে কীভাবে নিরাপদ উপায়ে বলতে হবে যেখানে চেকসাম পাওয়া যাবে।

একটি সম্ভাব্য সমাধান হ'ল স্বাক্ষরিত ফাইল ব্যবহার।

(বিটিডাব্লু: এমডি 5 কোথাও অনিরাপদ এবং এটি আর ব্যবহার করা উচিত নয়))

চেকসাম নিজেই আপস করা হয়েছে কিনা তা জানার উপায় না থাকলে এমডি 5 চেকসাম ইচ্ছাকৃতভাবে পরিবর্তিত ফাইলগুলির বিরুদ্ধে কোনও সুরক্ষা সরবরাহ করতে পারে ?

আপনি সম্পূর্ণ সঠিক। তারপরে লক্ষ্যটি হ'ল আপনার "যদি" ভুল করে তোলা - যদি আমরা জানি যে কোনও ফাইলের একটি সুরক্ষিত ক্রিপ্টোগ্রাফিক হ্যাশ আপোস করা হয়নি, তবে আমরা জানি যে ফাইলটি কোনওভাবেই আপস করা হয়নি।

উদাহরণস্বরূপ, আপনি যদি নিজের ওয়েবসাইটে কোনও ফাইলের একটি হ্যাশ পোস্ট করেন এবং তারপরে কোনও তৃতীয় পক্ষের মিরর সার্ভারে ফাইলটির অনুলিপিটিতে লিঙ্ক করেন - পুরানো ফ্যাশনযুক্ত ফ্রি সফটওয়্যার বিতরণে প্রচলিত অনুশীলন - আপনার ব্যবহারকারীরা কিছু ধরণের বিরুদ্ধে রক্ষা পেতে পারেন আক্রমণ। যদি মিরর সার্ভারটি দূষিত বা আপোসযুক্ত হয় তবে আপনার ওয়েবসাইটটি ঠিক আছে, আয়না আপনার ফাইলটিকে বিকল করতে সক্ষম হবে না।

যদি আপনার ওয়েবসাইটটি এইচটিটিপিএস ব্যবহার করে বা আপনি হ্যাশ দিয়ে স্বাক্ষর করেন তবে gpgআপনার ফাইলটি (বেশিরভাগ ক্ষেত্রে) দূষিত ওয়াই-ফাই হটস্পটস, দুর্বৃত্ত টর প্রস্থান নোড বা এনএসএ জাতীয় নেটওয়ার্ক আক্রমণকারী থেকে সুরক্ষিত হতে পারে।

আপনি ফাইল পরিবর্তন না করে MD5 চেকসামটি পরিবর্তন করতে পারবেন না। আপনি যদি ফাইলটি ডাউনলোড করেন তবে হ্যাশটি ডাউনলোড করুন এবং তারপরে আপনার ফাইলের গণনা যা দেওয়া হচ্ছে তার সাথে মেলে না, হ্যাশ বা ফাইলটি ভুল বা অসম্পূর্ণ।

আপনি যদি বাহ্যিক কোনও কিছুর সাথে লেখক, মেশিন ইত্যাদির সাথে ফাইলটি "টাই" করতে চান তবে শংসাপত্র সহ একটি পিকেআই-টাইপ প্রক্রিয়া ব্যবহার করে এটিতে স্বাক্ষর করা দরকার । ফাইল লেখক ইত্যাদি ফাইলটি তার / তার ব্যক্তিগত কী দিয়ে স্বাক্ষর করতে পারে এবং আপনি পাবলিক কী দিয়ে স্বাক্ষরগুলি যাচাই করতে পারেন, যা সর্বজনীনভাবে উপলভ্য হওয়া উচিত, নিজেই সিএ দ্বারা স্বাক্ষরিত আপনি এবং লেখক বিশ্বাস, এবং ডাউনলোডযোগ্য, সম্ভবতঃ একাধিক অবস্থান

ফাইলটি পরিবর্তন করা স্বাক্ষরটিকে অবৈধ করে তুলবে, সুতরাং এটি ফাইলের অখণ্ডতাও যাচাই করতে ব্যবহৃত হতে পারে।

আপনার ফাইলের সংস্করণটি ("ডাউনলোড") সার্ভারের সংস্করণ থেকে আলাদা কিনা তা হ্যাশগুলি নির্দেশ করে। তারা ফাইলটির সত্যতার কোনও গ্যারান্টি দেয় না।

ডিজিটাল স্বাক্ষর (অ্যাসিম্যাট্রিক এনক্রিপশন + হ্যাশ ফাংশন) যাচাই করাতে ব্যবহার করা যেতে পারে যে যার কাছে প্রাইভেট কী নেই তার যার দ্বারা ফাইলটি সংশোধন করা হয়নি।

ফাইলটির স্রষ্টা ফাইলটি হ্যাশ করে এবং তাদের (গোপনীয়) ব্যক্তিগত কী ব্যবহার করে হ্যাশটিকে এনক্রিপ্ট করে। এইভাবে, সম্পর্কিত (অ-গোপনীয়) পাবলিক কী সহ যে কেউ হ্যাশটি ফাইলটির সাথে মিলেছে কিনা তা যাচাই করতে পারে, তবে ফাইলের বিষয়বস্তুগুলি সংশোধন করা যেতে পারে, ফাইলটির সাথে মিলে এমন কোনও হ্যাশ প্রতিস্থাপন করতে পারে না (হ্যাশ ব্যবহারের পরে ডিক্রিপ্ট করার পরে) সর্বজনীন কী) - যতক্ষণ না তারা প্রাইভেট কীটি জোর করে পরিচালনা করতে বা কোনওভাবে এটিকে অ্যাক্সেস না করে তা পরিচালনা করে।

মিঃ "এ। হ্যাকার" কে কেবল ফাইলটি সংশোধন করা, তারপরে তাদের নিজস্ব ব্যক্তিগত কী দিয়ে স্বাক্ষর করা থেকে বিরত রাখা উচিত?

ফাইলটি বৈধতা দেওয়ার জন্য, আপনার সম্পর্কিত হ্যাশটির সাথে সম্পর্কিত ডিজিটাল স্বাক্ষরটি ডিক্রিপ্ট করে যা আপনি পেয়েছেন তার সাথে তার তুলনা করতে হবে। যদি আপনি মনে করেন যে ফাইলটি "আইএমএইউইউইস" থেকে এসেছে, তবে আপনি তার কীটি ব্যবহার করে হ্যাশটি ডিক্রিপ্ট করেছেন এবং হ্যাশটি ফাইলটির সাথে মেলে না, যেহেতু হ্যাশটি এ.হ্যাকারের কীটি ব্যবহার করে এনক্রিপ্ট করা হয়েছিল।

ডিজিটাল স্বাক্ষরগুলির ফলে একজনকে দুর্ঘটনাক্রমে এবং দূষিত উভয় পরিবর্তন সনাক্ত করতে দেওয়া হয়।

তবে আমরা কীভাবে প্রথম স্থানে আইএমএইউভাসির পাবলিক কী পাব? আমরা কীভাবে এটি নিশ্চিত করতে পারি যে যখন আমরা তার কীটি পেয়েছি, এটি আসলে এ। হ্যাকারের কীটি কোনও আপোসযুক্ত সার্ভার বা মধ্য-আক্রমণে চালিত দ্বারা সরবরাহ করা হয়নি? এটি যেখানে শংসাপত্র শৃঙ্খলা এবং বিশ্বাসযোগ্য মূল শংসাপত্রগুলি আসে, সেগুলির উভয়ই পুরোপুরি সুরক্ষিত নয় [1] সমস্যার সমাধান, এবং উভয়ই সম্ভবত উইকিপিডিয়া এবং এসও সম্পর্কিত অন্যান্য প্রশ্নের উপর ভালভাবে ব্যাখ্যা করা উচিত।

[1] পরিদর্শন করার পরে, আমার ওয়ার্ড পিসিতে মাইক্রোসফ্ট ওএসের সাথে যে মূল শংসাপত্রগুলি প্রেরণ করা হয়েছিল সেগুলিতে মার্কিন যুক্তরাষ্ট্রের একটি শংসাপত্র অন্তর্ভুক্ত রয়েছে। সংশ্লিষ্ট বেসরকারী কী কাশি এনএসএ কাশি অ্যাক্সেস সহ যে কেউ তাই আমার ওয়েব ব্রাউজারে এমন সামগ্রী সরবরাহ করতে পারে যা "অ্যাড্রেস বারে একটি প্যাডলক আছে" যাচাই করে passes কত মানুষ আসলে প্যাডলক এ ক্লিক করুন এবং দেখতে বিরক্ত হবে কে কী জুড়ি করার জন্য ব্যবহৃত হচ্ছে 'নিরাপদ' সংযোগ নেই?

চেকসামের সাথে আপস করা হয়নি কিনা তা জানার উপায় না থাকলে এমডি 5 চেকসাম ইচ্ছাকৃতভাবে পরিবর্তিত ফাইলগুলির বিরুদ্ধে কীভাবে সুরক্ষা সরবরাহ করতে পারে?

এই সত্যিই একটি ভাল প্রশ্ন। সাধারণভাবে, MD5 ম্যানিপুলেশন সম্পর্কে আপনার মূল্যায়ন স্পট। তবে আমি বিশ্বাস করি যে ডাউনলোডগুলিতে MD5 চেকসামের মান সর্বোপরি পৃষ্ঠের। সম্ভবত আপনি কোনও ফাইল ডাউনলোড করার পরে আপনি কোনও ওয়েবসাইটের বিপরীতে থাকা MD5 যাচাই করতে পারেন, তবে আমি পাশাপাশি "এমসি 5" স্টোরেজটি "রসিদ" বা এমন কিছু হিসাবে দেখতে চাই যা বিশ্বাসযোগ্য তবে বিশ্বাসযোগ্য নয়। এর মতো, আমি সাধারণত ডাউনলোড করা ফাইলগুলি থেকে এমডি 5 চেকসামগুলি সম্পর্কে কখনই যত্ন নিই না, তবে আমি অ্যাড-হক সার্ভার-ভিত্তিক MD5 প্রক্রিয়াগুলি তৈরির অভিজ্ঞতা থেকে বলতে পারি।

মূলত আমি কী করেছি যখন কোনও ক্লায়েন্ট MD5 চেকসামগুলির জন্য একটি ফাইল সিস্টেম স্যুইপ করতে চান সেগুলি CSV ফাইলগুলিতে তৈরি করা উচিত যা ফাইলের নাম, পথ, MD5 — এবং অন্যান্য পৃথক ফাইলের তথ্য মানচিত্রকে কাঠামোগত ডেটা ফর্ম্যাটে মানচিত্র দেয় যা আমি পরে ইনজেক্ট করেছি তুলনা এবং স্টোরেজ জন্য একটি ডাটাবেস মধ্যে।

সুতরাং আপনার উদাহরণটি ব্যবহার করে, যখন কোনও MD5 চেকসাম তার নিজস্ব পাঠ্য ফাইলটিতে কোনও ফাইলের পাশে বসতে পারে, অথরিটি রেকর্ড MD5 চেকসামটি একটি নন-সংযুক্ত ডেটাবেস সিস্টেমে সংরক্ষণ করা হবে। সুতরাং কেউ যদি কোনওভাবে ডেটা ম্যানিপুলেট করার জন্য কোনও ফাইল শেয়ারে হ্যাক করে, তবে সেই অনুপ্রবেশকারীটির MD5 কর্তৃপক্ষের রেকর্ড বা সংযুক্ত ইতিহাসে কোনও অ্যাক্সেস থাকবে না।

সম্প্রতি আমি ACE অডিট ম্যানেজার নামে পরিচিত একটি লাইব্রেরি আর্কাইভ সফ্টওয়্যার আবিষ্কার করেছি যা মূলত একটি জাভা অ্যাপ্লিকেশন যা পরিবর্তনের জন্য একটি ফাইল সিস্টেম বসে এবং দেখার জন্য ডিজাইন করা হয়েছিল। এটি MD5 পরিবর্তনগুলির মাধ্যমে পরিবর্তনগুলি লগ করে। এবং এটি আমার অ্যাডহক প্রক্রিয়া হিসাবে একটি অনুরূপ দর্শনে কাজ করে - একটি ডাটাবেসে চেকসামগুলি সঞ্চয় করে — তবে এটি আরও একধাপ এগিয়ে নেয় তবে MD5 চেকসামের একটি MD5 চেকসাম তৈরি করে যা হ্যাশ ট্রি বা মের্কেল ট্রি হিসাবে পরিচিত ।

সুতরাং আসুন ধরা যাক আপনার কাছে একটি সংগ্রহে 5 টি ফাইল রয়েছে। এসিই অডিট ম্যানেজারের এই 5 টি ফাইল এর পরে অন্যটি আসবে - আসুন একে "প্যারেন্ট" বলুন - চেকসাম যা প্রতিটি ফাইলের 5 এমডি 5 চেকসাম থেকে উত্পন্ন হ্যাশ। সুতরাং কেউ যদি কেবল একটি ফাইল নিয়ে টেম্পার করতে থাকে তবে ফাইলটির হ্যাশ বদলে যেত এবং পুরো "প্যারেন্ট" সংগ্রহের জন্য হ্যাশটি বদলে যায়।

সাধারণভাবে আপনাকে এমডি 5 চেকসামগুলি এবং সম্পর্কিত সততা হ্যাশগুলিকে দেখার প্রয়োজন হয় যদি না তারা নিজেরাই MD5 হ্যাশগুলির জন্য কিছু অ-প্রত্যক্ষ সঞ্চয়স্থানের সাথে সংযুক্ত না থাকে তবে সেগুলি দুর্নীতিগ্রস্থ হতে পারে। এবং দীর্ঘমেয়াদী ডেটা অখণ্ডতার সরঞ্জাম হিসাবে তাদের মান একটি সস্তা লকের সমতুল্য যা নতুন লাগেজের "ফ্রি" আসে; আপনি যদি আপনার লাগেজ লক করার বিষয়ে গুরুতর হন তবে আপনি একটি লক পাবেন যা একটি পেপারক্লিপ দিয়ে 5 সেকেন্ডে খোলা যাবে না।

দ্রুততা

প্রায়শই লোকেরা এটি দেখতে পান যে (ক) কিছু অবিশ্বস্ত "কাছাকাছি" সামগ্রী বিতরণ নেটওয়ার্ক (সিডিএন), আয়না সাইট, টরেন্ট পিয়ারস ইত্যাদি থেকে একটি বৃহত ফাইল ডাউনলোড করা এবং সংশ্লিষ্ট সংক্ষিপ্ত চেকসাম ফাইলটি ডাউনলোড করা (প্রায়শই SHA256; পুরানো সফ্টওয়্যার) কয়েকটি বিশ্বস্ত উত্স থেকে প্রায়শই MD5 ব্যবহার করা হয়। তারা এটিকে অসহনীয়ভাবে ধীর বলে মনে করে (খ) কোনও বিশ্বস্ত উত্স থেকে সরাসরি পুরো বড় ফাইলটি ডাউনলোড করতে।

বৈধতা

প্রায়শই সেই ব্যক্তিটি দেখতে পান যে সমস্ত কিছু বৈধ হয়ে গেছে - উত্সগুলি (বিশ্বাসযোগ্য এবং অবিশ্বস্ত) একই চেকসামের সাথে একমত হয় এবং শরসাম (বা এমডি 5সাম) এই সংক্ষিপ্ত চেকসাম ফাইলগুলির সাথে চলমান থাকে (এটি কোনটিই বিবেচনা করে না, যখন তারা সমস্ত অভিন্ন হয় ) ইঙ্গিত দেয় যে বড় ফাইলটিতে একটি ম্যাচিং চেকসাম রয়েছে।

অদলবদল

আপনি ঠিক বলেছেন যে ম্যালরি দূষিতভাবে কোনও ডাউনলোড সাইটে বসে একটি বড় ফাইল পরিবর্তন করে, ম্যালোরির পক্ষে একই ডাউনলোড সাইটে সেই ফাইলটির জন্য চেকসামটি দূষিতভাবে করা সহজ হবে যাতে সেই দূষিত চেকসাম ফাইলটিতে চালিত শসুম (বা এমডি 5সাম) চালিত হত বড় ফাইলটি বৈধ বলে মনে হচ্ছে। তবে সেই চেকসাম ফাইলটি ডাউনলোডের একমাত্র (কেবল) বৈধতার জন্য ব্যবহার করা উচিত নয়।

যখন ডাউনলোডকারী সেই দূষিত চেকসাম ফাইলটিকে বিশ্বস্ত উত্স থেকে ডাউনলোড করা চেকসাম ফাইলগুলির সাথে তুলনা করে, মূল চেকসামটি যদি এক সময়ের মধ্যেও পিছলে যায়, তবে ডাউনলোডার দেখবেন যে সবকিছু বৈধ নয় , এবং জেনে যাবে যে কিছু ভুল হয়েছে।

যেমন সিপিস্ট আগে বলেছে, কোনও ভাল ক্রিপ্টোগ্রাফিক চেকসাম যদি কোনও বিশ্বস্ত সংযোগের মাধ্যমে প্রেরণ করা হয় তবে এটি সুরক্ষা সরবরাহ করতে পারে (যা বিশ্বস্ত সংযোগ থেকে প্রাপ্ত)।

সুপারক্যাট যেমনটি আগেই বলেছে, চেকসাম ফাইলগুলি একটি সাইট সেই ব্যক্তিদের যারা একই সাইট থেকে বৃহত ফাইল ডাউনলোড করে এবং চেকসাম ফাইলগুলি একইভাবে ডাউনলোড করে সেইভাবে তাদের সহায়তা করে না - তারা অন্য কোনও সাইট থেকে ফাইল ডাউনলোড করতে চায় এমন লোকদের সহায়তা করে।

"সুরক্ষার ক্ষেত্রে, এমডি 5 এর মতো ক্রিপ্টোগ্রাফিক হ্যাশগুলি অনিরাপদ আয়নাগুলি থেকে প্রাপ্ত ডেটার প্রমাণীকরণের অনুমতি দেয় The এমডি 5 হ্যাশটিতে স্বাক্ষর করতে হবে বা আপনার বিশ্বাসী কোনও প্রতিষ্ঠানের সুরক্ষিত উত্স (একটি HTTPS পৃষ্ঠা) থেকে আসতে হবে।" - https://help.ubuntu.com/commune/HowToMD5SUM

ক্রিপ্টোগ্রাফিক চেকসামগুলি ব্যবহারিক পাবলিক-কি স্বাক্ষরের একটি গুরুত্বপূর্ণ অংশ (যেমন GnuPG এবং অন্যান্য ওপেনজিপি-কমপ্লায়েন্ট সফ্টওয়্যারে প্রয়োগ করা হয়)। পাবলিক-কি স্বাক্ষরগুলির একা চেকসামগুলির চেয়ে কিছু সুবিধা রয়েছে।

আমি শুনেছি এই [MD5 চেকসাম] হ'ল [...] এছাড়াও যে কোনও দূষিত পরিবর্তন সহজে সনাক্ত করা যায়।

ঠিক আছে, আপনি সম্পূর্ণ ভুল শুনেন নি । ডিজিটাল স্বাক্ষর আসলে দূষিত পরিবর্তনগুলি সনাক্ত করতে ব্যবহৃত হয়। কিছু গুরুত্বপূর্ণ কারণে, হ্যাশিং হ'ল ডিজিটাল স্বাক্ষরের একটি মৌলিক অংশ, এতে কেবলমাত্র হ্যাশই স্বাক্ষরিত হয় , পুরো আসল ফাইল নয়।

বলা হচ্ছে, যদি উত্সটি হ্যাশের স্বাক্ষর এবং এটি যাচাই করার কোনও বিশ্বাসযোগ্য উপায় না সরবরাহ করে তবে আপনি ঠিক বলেছেন, ইচ্ছাকৃতভাবে পরিবর্তিত ফাইলগুলির বিরুদ্ধে কোনও সুরক্ষা দেওয়া হয়নি , তবে হ্যাশটি এখনও দুর্ঘটনার বিরুদ্ধে চেকসাম হিসাবে কার্যকর দুর্নীতি ।

এখানে একটি বাস্তব বিশ্বের উদাহরণ যা পুরো বিষয়টি স্পষ্ট করে দিতে পারে। নিম্নলিখিত প্যাসেজ বিশেষভাবে তাৎপর্যপূর্ণ:

পুরানো সংরক্ষণাগারভুক্ত সিডি প্রকাশের জন্য, কেবল এমডি 5 চেকসাম তৈরি করা হয়েছিল [...] নতুন রিলিজের জন্য, আরও নতুন এবং ক্রিপ্টোগ্রাফিকভাবে শক্তিশালী চেকসাম অ্যালগরিদম (এসএএএ 1, এসএএএ 256 এবং এসএএএচ 512) ব্যবহৃত হয়