Un file è crittografato e posizionato su un server FTP sicuro. Un hash MD5 è preso dal file e anche posizionato sul server FTP. Un utente accede al server e scarica entrambi i file, tuttavia l'hash non corrisponde all'archivio. In questo caso, quale obiettivo di base di un sistema crittografico è fallito?
Ho cercato di rispondere a questa domanda. Qualcuno potrebbe darmi un suggerimento su questo? ho provato numerose ricerche su Google.
Si tratta di un sistema imperfetto se intende garantire che i dati non siano stati manomessi da un utente malintenzionato.
Qualsiasi utente malintenzionato in grado di manomettere la trasmissione del file (o il file sul sito FTP), potrebbe aver manomesso in modo simile la trasmissione di md5sum (o la memorizzazione di md5sum sul sito) e averlo modificato in qualcosa quello corrisponde al valore manomesso. Quindi lo schema anche nel suo migliore fornisce poca sicurezza. Nella migliore delle ipotesi garantisce che il file è stato completamente scaricato.
In realtà è necessario stabilire fiducia nella trasmissione di md5.
Concesso se si è ottenuto l'md5 da un'origine attendibile (ad esempio, scaricato su HTTPS dal sito attendibile e si presuppone che HTTPS non sia danneggiato, tale sito non ha alterato maliziosamente) rispetto a sì questo potrebbe indicare che i dati non erano manomesso (Mentre md5 subisce attacchi di collisione - è possibile costruire due file diversi (modificando entrambi) in modo tale che md5 (f1) = md5 (f2), nessun attacco pubblicato ha mostrato che md5 è vulnerabile agli attacchi di pre-immagine - se ho un hash arbitrario h1, genera un file che avrà quell'hash.)
Ci sono molti modi per esaminare le domande di sicurezza e raramente una risposta "giusta".
In questo caso, potresti iniziare elencando quali sono gli obiettivi di base del cryptosystem; cioè "qual è il punto?". Da lì, puoi considerare cosa non viene soddisfatto se l'hash non corrisponde.
In questo caso, stai guardando un sistema che funziona pubblicando un hash insieme al contenuto. Perché questo potrebbe essere desiderabile? Quali garanzie / attestazioni sei non più in grado di fare se l'hash non corrisponde al contenuto?
Spero che ti aiuti!
Questo perché l'hash calcolato è del file originale e non del file crittografato. Tuttavia, se l'individuo scarica il file crittografato e calcola l'hash, non corrisponderà perché il primo valore di hash sarà del file originale, non del file crittografato
Leggi altre domande sui tag cryptography hash md5