कभी-कभी चेकसम सुरक्षित रूप से प्रदान किए जाते हैं, लेकिन डाउनलोड नहीं है। चूंकि एमडी 5 टूट गया है , सुरक्षा एमडी 5 चेकसम अधिक सुरक्षित चेकसम से कमजोर हैं, लेकिन एमडी 5 के टूटने से पहले, एक सुरक्षित रूप से प्रदान किया गया एमडी 5 (जैसे कि पीजीपी या जीपीजी या गेटकीपर के साथ हस्ताक्षर किया गया था, या एचटीपीएस से अधिक लिया गया) जो एमडी 5 से मेल खाता है डाउनलोड मजबूत सबूत था कि डाउनलोड प्राप्त किया गया था जो एक सर्वर उपलब्ध करा रहा था।
मैं यहां वर्षों से सुरक्षित चेकसमों की कमी के बारे में लिख रहा हूं ।
MITM हमलों के जोखिम के कारण, उपयोगकर्ताओं को अविश्वसनीय नेटवर्क पर अविश्वसनीय निष्पादन योग्य डाउनलोड नहीं करना चाहिए और उन्हें चलाना चाहिए। पी। रुइसेन, आर। व्लोथोसेन द्वारा उदाहरण के लिए, "स्वचालित अपडेट सिस्टम के भीतर असुरक्षा"।
2014 परिशिष्ट: नहीं, यह गलत नहीं है "वेब पृष्ठों पर पोस्ट किए गए चेकसम का उपयोग दुर्भावनापूर्ण संशोधनों का पता लगाने के लिए किया जाता है," क्योंकि यह एक भूमिका है जो वे प्रदर्शन कर सकते हैं। वे आकस्मिक भ्रष्टाचार से बचाने में मदद करते हैं, और अगर HTTPS पर सेवा की जाती है या सत्यापित हस्ताक्षर (या बेहतर अभी तक, दोनों) दुर्भावनापूर्ण भ्रष्टाचार से बचाने में मदद करते हैं! मैंने HTTPS पर चेकसम प्राप्त किए हैं और सत्यापित किया है कि वे कई बार HTTP डाउनलोड से मेल खाते हैं।
आजकल, बायनेरिज़ अक्सर हस्ताक्षरित, स्वचालित रूप से सत्यापित हैश के साथ वितरित किए जाते हैं, फिर भी यह पूरी तरह से सुरक्षित नहीं है ।
उपरोक्त लिंक से अंश: "KeRanger एप्लिकेशन को एक मान्य मैक ऐप डेवलपमेंट सर्टिफिकेट के साथ हस्ताक्षरित किया गया था; इसलिए, यह Apple के गेटकीपर सुरक्षा को बायपास करने में सक्षम था।" ... "Apple ने दुरुपयोग प्रमाणपत्र और अपडेट किए गए XProtect एंटीवायरस हस्ताक्षर को निरस्त कर दिया है, और ट्रांसमिशन प्रोजेक्ट ने अपनी वेबसाइट से दुर्भावनापूर्ण इंस्टॉलर को हटा दिया है। Palo Alto Networks ने KeRanger को सिस्टम को प्रभावित करने से रोकने के लिए URL फ़िल्टरिंग और खतरा निवारण को भी अद्यतन किया है। तकनीकी विश्लेषण
दो KeRanger संक्रमित ट्रांसमिशन इंस्टॉलर्स को Apple द्वारा जारी एक वैध प्रमाण पत्र के साथ हस्ताक्षरित किया गया था। डेवलपर ने इस प्रमाणपत्र को सूचीबद्ध किया है जो ID Z7276PX673 के साथ एक तुर्की कंपनी है, जो ट्रांसमिशन इंस्टॉलर के पिछले संस्करणों पर हस्ताक्षर करने के लिए उपयोग की जाने वाली डेवलपर आईडी से अलग थी। कोड साइनिंग जानकारी में, हमने पाया कि ये इंस्टॉलर 4. मार्च की सुबह उत्पन्न हुए और हस्ताक्षर किए गए थे। "
2016 एडेंडा:
@ कॉर्नस्टाल: रे। नीचे अपनी टिप्पणी: गलत। जैसा कि आप वर्तमान में टकराव के हमले के विकिपीडिया लेख से लिंक करते हैं, "2007 में, एमडी 5 के खिलाफ एक चुना-उपसर्ग टकराव का हमला पाया गया था" और "हमलावर दो अलग-अलग दस्तावेजों का चयन कर सकते हैं, और फिर अलग-अलग गणना मूल्यों को जोड़ सकते हैं जो पूरे परिणाम में परिणाम करते हैं।" समान हैश मूल्य वाले दस्तावेज़। " इस प्रकार, भले ही एमडी 5 सुरक्षित रूप से प्रदान किया गया हो और एक हमलावर इसे संशोधित नहीं कर सकता है, एक हमलावर अभी भी चुने हुए उपसर्ग के साथ एक चुने हुए उपसर्ग टक्कर हमले का उपयोग कर सकता है, जिसका अर्थ है कि एमडी 5 क्रिप्टो उद्देश्यों के लिए सुरक्षित नहीं है। यह काफी हद तक यूएस-सीईआरटी ने कहा है कि एमडी 5 को "आगे के उपयोग के लिए क्रिप्टोग्राफिक रूप से टूटा हुआ और अनुपयुक्त माना जाना चाहिए।"
कुछ और बातें: CRC32 एक चेकसम है। एमडी 5, एसएचए, आदि चेकसम से अधिक हैं; वे सुरक्षित हैश होने का इरादा रखते हैं। इसका मतलब है कि वे टक्कर के हमलों के लिए बहुत प्रतिरोधी हैं। एक चेकसम के विपरीत, एक सुरक्षित रूप से संप्रेषित सुरक्षित हैश एक मैन-इन-बीच (MITM) हमले से बचाता है जहां MITM सर्वर और उपयोगकर्ता के बीच होता है। यह उस हमले से बचाव नहीं करता है जहाँ सर्वर खुद समझौता करता है। उस से बचाने के लिए, लोग आमतौर पर पीजीपी, जीपीजी, गेटकीपर आदि जैसी चीजों पर भरोसा करते हैं।