校验和可用于验证文件(例如下载的 dmg)是否未更改。但是检查整个校验和很乏味,因为 SHA-256 校验和有 64 个十六进制字符。幸运的是,该算法的设计使得内容差异很小的两个文件具有非常不同的校验和。
不过,我想确定一下,我需要比较多少个字符才能安全地验证两个文件是否相同?例如,比较前 5 个字符或后 5 个字符就足够了吗?
【问题讨论】:
快速
你应该检查每个字符。你不应该自己检查它。对于 Windows/Powershell,请使用:
get-filehash ./relativeLocationOfFileToCompare | select -expandproperty hash | compare-object theHashYouWantToCompare
即
get-filehash ./kali-linux-2020.4-vbox-i386.ova | select -expandproperty hash | compare-object 64f6ca69ccb3efc79e350977d33109c380a744c26158c4e3956141535242e2ca
更多
您需要检查每个字符,因为恶意方可能会造成部分冲突,即前 20 个字符是相同的。
我对为什么使用校验和的理解
您需要软件。您访问实际的供应商网站,即 kali.org。您点击下载软件。 Kali.org 实际上并没有向您发送软件。他们告诉您的浏览器转到他们的 CDN 并下载该软件。 cdn 是一个稍微不受信任的第三方。 cdn 可能已经失控,或者 cdn 可能受到损害。怎么办。
Kali.org 没有受到影响(如果 kali 受到影响,则存在更大的问题,并且校验和并未用于解决它们)。因此,您可以从 Kali.org 获取有效的校验和。你得到哈希并将每个字符与我提供的单行进行比较。您已经保护自己免受非碰撞、部分碰撞的影响,并且您可能通过不手动比较每个字符而节省了一些时间。
【讨论】:
如果不检查所有字节,为什么要使用 SHA-256?还有更短的函数,如 SHA1、MD5 等。
最终您要检查多少个字符取决于您想要正确的程度以及您拥有多少个文件。可能没有正确的答案。
但我认为是的 - 对于大多数实际目的,检查前 5 个字符就足够了。我不知道 SHA256 背后的数学原理,但如果我们假设所有字符的概率相同,那么不同文件获得相同 5 个哈希字母的概率将是 16⁵ 中的 1 个(大约百万分之一)。如果您有 100 个文件,这将是一个不错的机会。
PS:Git 选择使用 7 个字符作为 SHA1 的短版本。
PPS:SHA256 用于加密/安全。如果它只是关于典型动手任务的文件完整性 - 较短且不太安全的哈希函数将非常适合。
【讨论】: