¿Cuáles son las diferencias entre "md5sum" y "sha256sum"?

13

Por qué necesitamos dos herramientas para verificar ISO. ¿Hay alguna cosa específica a considerar entre ellos?

iso md5sum rɑːdʒɑ
fuente

Respuestas:

11

Respuesta corta: para verificar los ISO, no existe una diferencia práctica, use lo que desee, siempre y cuando confíe en la fuente que proporciona las sumas. MD5 es / solía ser el estándar, pero el mundo de la informática se está moviendo hacia la adopción de SHA ya que es más nuevo y "mejor" para el futuro; por lo tanto, las sumas SHA a menudo se proporcionan como una alternativa.

  • md5sumy sha256sumson programas que implementan los algoritmos hash MD5 y SHA-256 respectivamente
  • En general, un algoritmo hash toma una entrada de cualquier longitud (arbitraria) y ejecuta cálculos matemáticos para producir una salida relativamente pequeña de longitud fija, llamada "hash" (o "suma")
  • Verificar la integridad de los datos (por ejemplo, ISO) es solo uno de los muchos usos para los hashes
  • La principal diferencia entre el MD5 anterior y los hash SHA-256 más nuevos es que MD5 produce una salida de 128 bits, mientras que SHA-256 produce una salida de 256 bits
  • Para que los datos de verificación (ISO) funcionen, el hash de los datos debe ser efectivamente único, de modo que ningún otro dato produzca la misma suma MD5 o suma SHA-256.
    • En teoría, esto es posible, es decir, dos conjuntos de datos de entrada producen el mismo hash de salida, denominado "colisión".
    • La posibilidad de tales colisiones es menor con SHA-256 en comparación con MD5 porque su hash de 256 bits es el doble del tamaño del hash de 128 bits de MD5.
    • En la práctica , la posibilidad de una colisión al verificar ISO, incluso con MD5 es cero dado el tamaño de más de 100 MB de ISO.
  • Aún así, dado que el mundo de la informática se está moviendo hacia SHA porque es un hash más nuevo y "mejor" para el futuro, las sumas de verificación ISO a menudo se proporcionan en múltiples formatos.
ish
fuente
3
Para el registro, es algo engañoso decir que SHA es simplemente "más nuevo y" mejor ". MD5 se considera completamente criptográficamente inseguro debido a lo fácil que es producir colisiones (lo que también lo hace posiblemente menos útil para verificar ISO). MD5 ya no debe usarse, punto, para nada. La página de Wikipedia tiene un buen resumen de lo que está mal con MD5 en este momento, en la práctica.
chazomaticus
4

Desde la página SUMA SHA256

El programa sha256sum está diseñado para verificar la integridad de los datos utilizando el SHA-256 (familia SHA-2 con una longitud de resumen de 256 bits). Los hash SHA-256 utilizados correctamente pueden confirmar la integridad y autenticidad del archivo . SHA-256 tiene un propósito similar a un algoritmo anterior recomendado por Ubuntu, MD5, pero es menos vulnerable a los ataques . En términos de seguridad, los hashes criptográficos como SHA-256 permiten la autenticación de datos obtenidos de espejos inseguros.

De cómo a MD5SUM

El programa md5sum está diseñado para verificar la integridad de los datos utilizando el hash criptográfico de 128 bits MD5 (algoritmo de resumen de mensaje 5) . Los hash MD5 utilizados correctamente pueden confirmar tanto la integridad como la autenticidad del archivo. El hash MD5 debe estar firmado o provenir de una fuente segura (una página HTTPS) de una organización en la que confíe. Si bien se han descubierto fallas de seguridad en el algoritmo MD5 , los hash MD5 siguen siendo útiles cuando confía en la organización que los produce.

Básicamente es una medida de preocupación de seguridad. Si está utilizando espejos no oficiales para descargar los ISO, entonces probablemente ambos puedan usarse para garantizar la integridad del archivo.

atenz
fuente
0

MD5 y SHA-2 son algoritmos de hash diferentes. Depende de los desarrolladores decidir qué quieren usar como una manera fácil de verificar la integridad de los datos.

En este caso, se utilizan para 'lograr' lo mismo, sin embargo, los resultados (el hash) son completamente diferentes.

Gibbs
fuente
0

Una alternativa a la validación de md5sum son las sumas sha1 y sha256 como se explicó anteriormente.

Suponga que descarga o torrent el último iso del sitio de lanzamientos , digamos Raring . Observe que en la parte superior hay un archivo llamado SHA1SUMS , así como un SHA256SUMS , cada uno con un número largo para cada archivo .iso.

Una vez completada la descarga del archivo .iso, puede calcular la suma sha1 o sha256 para asegurarse de que coincida con el valor en el archivo SHA1SUMS. Puedes hacer esto con rhash .

Primero instálalo. Si en ubuntu:

sudo apt-get install rhash

Para otros sistemas operativos, puede descargarlo aquí .

Luego calcule la suma sha1 o sha256 para el archivo que descargó. Por ejemplo para el ubuntu-13.04-desktop-amd64.iso que descargué:

$ rhash --sha1 ubuntu-13.04-desktop-amd64.iso
ffed440f1dc1b43d9c170bd21e5ff669a59447f8  ubuntu-13.04-desktop-amd64.iso
$
$ rhash --sha256 ubuntu-13.04-desktop-amd64.iso
b4b20e0293c2305e83a60c605d39cabf43115794d574c68f1492d49fee0ab3d8  ubuntu-13.04-desktop-amd64.iso
$

Los valores coinciden respectivamente con los de los archivos SHA1SUMS y SHA256SUMS , validando la descarga.

También puede ejecutar rhash --md5 ubuntu-13.04-desktop-amd64.isoy comparar con el archivo MD5SUMS .

yuvilio
fuente