web-dev-qa-db-fra.com

Quelles sont les différences entre "md5sum" et "sha256sum"?

Pourquoi avons-nous besoin de deux outils pour vérifier l’ISO? Y a-t-il des points particuliers à considérer entre eux?

13
rɑːdʒɑ

Réponse courte: Pour vérifier les ISO, il n'y a pas de différence pratique, utilisez celui que vous voulez, comme tant que vous faites confiance à la source fournissant les sommes. MD5 est/était utilisé pour être la norme, mais le monde de l'informatique s'oriente vers l'adoption de SHA puisqu'il est plus récent. et "meilleur" pour l'avenir; par conséquent, SHA sommes sont souvent fournies à titre d'alternative.

  • md5sum et sha256sum sont des programmes qui implémentent respectivement les algorithmes de hachage MD5 et SHA-256
  • En général, un algorithme de hachage prend une entrée de n'importe quelle longueur (arbitraire) et exécute des calculs mathématiques sur celle-ci pour produire une sortie de longueur fixe relativement petite, appelée "hachage" (ou "somme").
  • La vérification de l’intégrité des données (ISO, par exemple) n’est qu’une des nombreuses utilisations des hachages
  • La différence principale entre l'ancien hachage MD5 et le nouveau hachage SHA-256 est que MD5 génère une sortie 128 bits, tandis que SHA-256 génère une sortie 256 bits.
  • Pour que la vérification des données (ISO) fonctionne, le hachage des données doit en réalité être unique, afin qu'aucune autre donnée ne produise la même somme MD5 ou SHA-256.
    • En théorie, cela est possible, c’est-à-dire que deux ensembles de données en entrée produisent le même hachage en sortie, appelé "collision".
    • Le risque de telles collisions avec SHA-256 est inférieur à celui de MD5 car son hachage à 256 bits est le double de celui du hachage à 128 bits de MD5.
    • En pratique, le risque de collision lors de la vérification des fichiers ISO, même avec MD5, est nul étant donné la taille des fichiers ISO de plus de 100 Mo.
  • Cependant, comme le monde informatique est en train de se rapprocher de SHA, car il s'agit d'un hachage plus récent et "meilleur" pour l'avenir, les sommes de contrôle ISO sont souvent fournies sous plusieurs formats.
11
ish

De page Comment SHA256 SUM

Le programme sha256sum est conçu pour vérifier l'intégrité des données à l'aide du SHA-256 (famille SHA-2 avec une longueur de résumé de 256 bits). Les hachages SHA-256 utilisés correctement peuvent confirmer l'intégrité du fichier et l'authenticité . SHA-256 sert un objectif similaire à un algorithme antérieur recommandé par Ubuntu, MD5, mais est moins vulnérable aux attaques . En termes de sécurité, les hachages cryptographiques tels que SHA-256 permettent l’authentification des données obtenues à partir de miroirs non sécurisés.

De Comment MD5SUM

Le programme md5sum est conçu pour vérifier l'intégrité des données à l'aide du hachage cryptographique MD5 (algorithme Message-Digest 5) de 128 bits . Les hachages MD5 utilisés correctement peuvent confirmer l'intégrité et l'authenticité du fichier. Le hachage MD5 doit être signé ou provenir d'une source sécurisée (une page HTTPS) d'une organisation en laquelle vous avez confiance. While des failles de sécurité dans l'algorithme MD5 ont été découvertes , les hachages MD5 sont toujours utiles lorsque vous faites confiance à l'organisation qui les produit.

Fondamentalement, c'est une mesure de préoccupation de sécurité. Si vous utilisez des miroirs non officiels pour le téléchargement des images ISO, vous pouvez probablement utiliser les deux pour vous assurer de l'intégrité du fichier.

4
atenz

Une alternative à la validation md5 est la somme sha1 et sha256 comme expliqué ci-dessus.

Supposons que vous téléchargiez ou torriez la dernière image ISO du site releases , par exemple Raring . Notez en haut qu'il y a un fichier appelé SHA1SUMS ainsi qu'un SHA256SUMS , chacun avec un long numéro pour chaque fichier .iso.

Une fois le téléchargement du fichier .iso terminé, vous pouvez calculer la somme sha1 ou sha256 correspondante pour vous assurer qu'il correspond à la valeur du fichier SHA1SUMS. Vous pouvez le faire avec rhash .

Tout d'abord l'installer. Si sur Ubuntu:

Sudo apt-get install rhash

Pour les autres systèmes d'exploitation, vous pouvez le télécharger ici .

Calculez ensuite la somme sha1 ou sha256 du fichier que vous avez téléchargé. Par exemple, pour ubuntu-13.04-desktop-AMD64.iso, j'ai téléchargé:

$ rhash --sha1 ubuntu-13.04-desktop-AMD64.iso
ffed440f1dc1b43d9c170bd21e5ff669a59447f8  ubuntu-13.04-desktop-AMD64.iso
$
$ rhash --sha256 ubuntu-13.04-desktop-AMD64.iso
b4b20e0293c2305e83a60c605d39cabf43115794d574c68f1492d49fee0ab3d8  ubuntu-13.04-desktop-AMD64.iso
$ 

Les valeurs correspondent respectivement à celles des fichiers SHA1SUMS et SHA256SUMS , validant le téléchargement.

Vous pouvez également exécuter rhash --md5 ubuntu-13.04-desktop-AMD64.iso et comparer le fichier MD5SUMS .

0
yuvilio

MD5 et SHA-2 sont des algorithmes de hachage différents. Il appartient au (x) développeur (s) de décider de ce qu’ils souhaitent utiliser comme moyen simple de vérifier l’intégrité des données.

Dans ce cas, ils sont utilisés pour "obtenir" la même chose, mais les résultats (le hachage) sont complètement différents.

0
Gibbs