Qual è la differenza tra i file "sig" e i file di checksum, come nella pagina di download di PuTTY?

8

Riguarda le differenze funzionali tra file sig e file di checksum e come possono essere utilizzati da un utente che scarica del software.

Ad esempio, nella pagina di download di PuTTY sia i file sig sia i file di checksum sono resi disponibili per i binari compilati di Windows, come mostrato di seguito.

Qual è la differenza funzionale tra questi tipi di file? Inoltre, mentre so come controllare i checksum dei file scaricati, come possono essere usati i file sig (su Windows)?

    
posta user100487 17.10.2015 - 06:39
fonte

2 risposte

7

What is the functional difference between these file types?

Durante il download di un file, possono verificarsi errori durante tale processo. Anche il malware può modificare il file scaricato se la macchina è infetta. L'impronta digitale del file (checksum) è lì per dirti che il file non è stato alterato.

Un utente malintenzionato può ospitare una versione dannosa di PuTTY sul suo sito Web e renderla disponibile per il download. La verifica del checksum in questo caso è inutile: l'unico modo per assicurarti di non aver scaricato una versione dannosa di PuTYY è controllare il suo firma (s).

Also, while I know how to check the checksums of the downloaded files, how can the sig files be used (on Windows)?

Questa è più una domanda Super User . Hai a disposizione stessa domanda come la tua.

    
risposta data 17.10.2015 - 10:08
fonte
2

I checksum convalidano i semplici controlli di parità; in pratica possono dirti che due bit sono capovolti da qualche parte e il file è corrotto. Non forniscono alcuna sicurezza crittografica , perché gli algoritmi sono progettati solo per rilevare modifiche accidentali a un file.

Le firme , tuttavia, sono basate su PGP (Pretty Good Privacy). Gli algoritmi funzionano su un'idea crittografica abbastanza standard: ci sono due chiavi, una chiave privata e una chiave pubblica. È possibile determinare se una chiave privata è legittima, dato il file di input e la chiave pubblica, ma si ha nessun modo per determinare quale sia la chiave privata. In questo modo, possiamo dimostrare autenticità. Tuttavia, non è abbastanza buono, perché noterai che le chiavi pubbliche e le firme sono entrambe sullo stesso sito. PGP affronta questo problema stabilendo trust , che avviene facendo in modo che persone di altri luoghi abbiano fiducia nella firma della chiave originale con le loro chiavi.

Ciò significa che, se stai usando PGP per verificare l'autenticità di PuTTY, che molte persone sono seriamente preoccupate per la sicurezza, un hacker non può creare un eseguibile che sarebbe affidabile senza (a) rubare la chiave privata, che non è memorizzato su quel server, o (b) hackerando il server, sostituendo i file, i checksum, le firme e le chiavi, e quindi rubando un numero significativo di chiavi private per stabilire la fiducia per quella chiave privata. O uno scenario è praticamente impossibile (o, almeno, altamente non plausibile); anche se la singola chiave privata venisse rubata, gli autori potrebbero semplicemente revocarla, il che dissolverebbe l'intera catena di fiducia, ecc., che potrebbero poi essere ripristinati senza troppi problemi.

RSA utilizza semplicemente numeri troppo grandi per essere calcolati in qualsiasi ragionevole quantità di tempo; le stime attuali suggeriscono che non c'è abbastanza entrophy nell'universo per decodificare una chiave privata, quindi a meno che non sia rubata, è piuttosto sicuro. Accoppiato con la capacità di stabilire la fiducia, è un modo per ottenere la massima sicurezza che i file non siano stati manomessi maliziosamente.

Dovresti essere in grado di verificare le firme usando qualcosa come Gpg4win , che ti consente di verificare le firme usando keys disponibili sul sito web di PuTTY. Inoltre, vedi How si verifica la firma di checksum RSA e / o DSA PGP per PuTTY? .

    
risposta data 17.10.2015 - 07:14
fonte

Leggi altre domande sui tag