Apa perbedaan antara "md5sum" dan "sha256sum"?

13

Mengapa kita membutuhkan dua alat untuk memverifikasi ISO. Adakah hal khusus yang perlu dipertimbangkan di antara mereka?

rɑːdʒɑ
sumber

Jawaban:

11

Jawaban singkat: Untuk memverifikasi ISO, tidak ada perbedaan praktis, gunakan mana yang Anda inginkan, selama Anda mempercayai sumber yang menyediakan jumlah. MD5 / dulu adalah standar, tetapi dunia komputasi bergerak menuju adopsi SHA karena lebih baru dan "lebih baik" untuk masa depan; karenanya, jumlah SHA sering diberikan sebagai alternatif.

  • md5sumdan sha256summerupakan program yang mengimplementasikan algoritma hash MD5 dan SHA-256 secara berurutan
  • Secara umum, algoritma hash mengambil input dari setiap panjang (arbitrer) dan menjalankan perhitungan matematis untuk menghasilkan output yang relatif kecil, panjang tetap, yang disebut "hash" (atau "jumlah")
  • Memverifikasi integritas data (misalnya ISO) hanyalah satu dari banyak kegunaan untuk hash
  • Perbedaan utama antara MD5 yang lebih lama dan hash SHA-256 yang lebih baru adalah bahwa MD5 menghasilkan output 128-bit sementara SHA-256 menghasilkan output 256-bit
  • Agar data verifikasi (ISO) berfungsi, hash data harus unik secara efektif, sehingga tidak ada data lain yang menghasilkan jumlah MD5 atau SHA-256 yang sama.
    • Secara teori, ini mungkin, yaitu dua set data input menghasilkan hash output yang sama, yang disebut "tabrakan".
    • Kemungkinan tabrakan tersebut lebih rendah dengan SHA-256 dibandingkan dengan MD5 karena hash 256-bit-nya dua kali lipat ukuran hash 128-bit MD5.
    • Dalam praktiknya , peluang tabrakan saat memverifikasi ISO, bahkan dengan MD5 adalah nol mengingat ukuran ISO 100+ MB.
  • Namun, karena dunia komputasi bergerak menuju SHA karena hash yang lebih baru dan "lebih baik" untuk masa depan, checksum ISO sering disediakan dalam berbagai format.
ish
sumber
3
Sebagai catatan, agak menyesatkan untuk mengatakan SHA hanya "lebih baru dan 'lebih baik'". MD5 dianggap sama sekali tidak aman secara kriptografis karena mudahnya menghasilkan tabrakan (yang juga membuatnya kurang berguna untuk memverifikasi ISO). MD5 seharusnya tidak lagi digunakan, titik, untuk apa pun. The halaman Wikipedia memiliki ringkasan yang baik dari apa yang salah dengan MD5 sekarang, dalam prakteknya.
chazomaticus
4

Dari halaman How To SHA256 SUM

Program sha256sum dirancang untuk memverifikasi integritas data menggunakan SHA-256 (keluarga SHA-2 dengan panjang digest 256 bit). Hash SHA-256 yang digunakan dengan benar dapat mengkonfirmasi integritas dan keaslian file . SHA-256 memiliki tujuan yang mirip dengan algoritma sebelumnya yang direkomendasikan oleh Ubuntu, MD5, tetapi kurang rentan terhadap serangan . Dalam hal keamanan, hash kriptografi seperti SHA-256 memungkinkan untuk otentikasi data yang diperoleh dari mirror yang tidak aman.

Dari How to MD5SUM

Program md5sum dirancang untuk memverifikasi integritas data menggunakan hash kriptografis 128-bit MD5 (Message-Digest 5) . Hash MD5 yang digunakan dengan benar dapat mengkonfirmasi integritas dan keaslian file. Hash MD5 harus ditandatangani atau berasal dari sumber yang aman (halaman HTTPS) dari organisasi yang Anda percayai. Sementara kelemahan keamanan dalam algoritma MD5 telah terungkap , hash MD5 masih berguna ketika Anda mempercayai organisasi yang menghasilkannya.

Pada dasarnya itu adalah ukuran masalah keamanan. Jika Anda menggunakan Mirror Tidak Resmi untuk mengunduh ISO maka mungkin keduanya dapat digunakan untuk memastikan integritas file.

atenz
sumber
0

MD5 dan SHA-2 adalah algoritma hashing yang berbeda. Terserah pengembang untuk memutuskan apa yang ingin mereka gunakan sebagai cara mudah untuk memeriksa integritas data.

Dalam hal ini mereka digunakan untuk 'mencapai' hal yang sama namun hasilnya (hash) sama sekali berbeda.

Gibbs
sumber
0

Alternatif untuk validasi md5sum adalah jumlah sha1 dan sha256 seperti yang dijelaskan di atas.

Misalkan Anda mengunduh atau torrent iso terbaru dari situs rilis , katakanlah Raring . Perhatikan di atas ada file yang disebut SHA1SUMS serta SHA256SUMS , masing-masing dengan nomor panjang untuk setiap file .iso.

Setelah unduhan file .iso Anda selesai, Anda dapat menghitung jumlah sha1 atau sha256 untuk memastikannya cocok dengan nilai dalam file SHA1SUMS. Anda dapat melakukan ini dengan rhash .

Pertama instal. Jika di ubuntu:

sudo apt-get install rhash

Untuk sistem operasi lain, Anda dapat mengunduhnya di sini .

Kemudian hitung jumlah sha1 atau sha256 untuk file yang Anda unduh. Misalnya untuk ubuntu-13.04-desktop-amd64.iso yang saya unduh:

$ rhash --sha1 ubuntu-13.04-desktop-amd64.iso
ffed440f1dc1b43d9c170bd21e5ff669a59447f8  ubuntu-13.04-desktop-amd64.iso
$
$ rhash --sha256 ubuntu-13.04-desktop-amd64.iso
b4b20e0293c2305e83a60c605d39cabf43115794d574c68f1492d49fee0ab3d8  ubuntu-13.04-desktop-amd64.iso
$ 

Nilai masing-masing cocok dengan yang ada di file SHA1SUMS dan SHA256SUMS , memvalidasi pengunduhan.

Anda juga dapat menjalankan rhash --md5 ubuntu-13.04-desktop-amd64.isodan membandingkan dengan file MD5SUMS .

yuvilio
sumber