MD5ハッシュ自体も潜在的に操作された可能性がある場合、MD5チェックサムの値は何ですか？

WebサイトでのダウンロードにはMD5チェックサムが含まれることがあり、ファイルの整合性を確認できるようになっています。これは、問題が発生する前に破損したファイルを即座に特定できるようにするだけでなく、悪意のある変更を簡単に検出できるようにするためだと聞きました。

ファイルの破損に関する限りロジックに従いますが、悪意のあるファイルを意図的にアップロードしたい場合、対応するMD5チェックサムを生成し、変更されたファイルとともにダウンロードサイトに投稿することができます。これは、ファイルをダウンロードする人をだまして、変更されていないと考えさせます。

チェックサム自体が侵害されているかどうかを知る方法がない場合、MD5チェックサムは意図的に変更されたファイルに対する保護をどのように提供できますか？

これは、悪意のある変更も検出できるようにすることです[...]。

さて、あなたは間違って聞いた。MD5（またはSHAなど）チェックサムは、正しいダウンロードを確認するためにのみ提供されます（具体的には、ダウンロードリンクの隣）。彼らが保証しようとしているのは、サーバーと同じファイルを持っていることだけです。これ以上でもそれ以下でもありません。サーバーが危険にさらされている場合、あなたはSOLです。それは本当にそれと同じくらい簡単です。

dpkgなどの一部のパッケージ管理システムで使用される解決策は、ハッシュに署名することです。公開鍵署名アルゴリズムの1つへの入力としてハッシュを使用します。http://www.pgpi.org/doc/pgpintro/#p12を参照してください

署名者の公開鍵を持っている場合、ハッシュを変更していないことを証明する署名を検証できます。これにより、適切な公開キーを事前に取得するという問題が発生しますが、誰かがキー配布を改ざんした場合、検証する可能性のあるすべてを改ざんする必要があります。そうしないと、奇妙なことが起こっていることがわかります。

あなたの仮定は正しいです。ただし、例外があります。ファイルを提供するサーバーとハッシュが存在するページが同じエンティティによって管理されていない場合。その場合、ソフトウェア開発者は「ほら人々はその場所からこれをダウンロードしますが、hash = xxxxの場合のみ信じる」と言いたいかもしれません。（これは、例としてCDNに役立つかもしれません）。これが最初に誰かがそれをした理由だと思います。他の人よりも、ハッシュを表示するのがどれほどクールかと考えただけです。ファイルとハッシュの両方が同じ場所にあっても、それがどれほど便利であるかを考えさえしません。

これを言って、これはそれが何の価値があります。他の人がすでに述べたように、セキュリティについてあまり考えすぎないでください。元のハッシュを完全に信頼できる場合にのみ、ファイルが適切です。そうしないと、十分な動機と知識を持つ攻撃者は、ファイルとハッシュが異なるサーバーにあり、異なるエンティティによって管理されている場合でも、ファイルとハッシュの両方を改ざんできます。

時々、チェックサムは安全に提供されますが、ダウンロードは提供されません。以来、MD5が破壊され、MD5チェックサムが提供するセキュリティは、MD5の一致したことを確実に提供MD5（例えば、PGPまたはGPGまたはゲートキーパーで署名されたもの、またはHTTPS上フェッチ）、より安全なチェックサムよりも弱いが、MD5が破壊される前でありますダウンロードは、受信したダウンロードがサーバーが利用可能にしていたという強力な証拠でした。

ここで、何年もの間、安全なチェックサムの嘆かわしい欠如について書いてきました。

MITM攻撃のリスクがあるため、ユーザーは信頼できないネットワーク経由で信頼できない実行可能ファイルをダウンロードして実行しないでください。たとえば、P。Ruissen、R。Vloothuisによる「自動更新システム内のセキュリティ」を参照してください。

2014補遺：いいえ、「Webページに投稿されたチェックサムが悪意のある変更を検出するために使用される」ことは間違いではありません。それらは偶発的な破損から保護するのに役立ち、HTTPSまたは検証済みの署名（またはそれ以上）で提供される場合、悪意のある破損から保護するのに役立ちます！HTTPS経由でチェックサムを取得し、HTTPダウンロードと何度も一致することを確認しました。

現在、バイナリは多くの場合、自動的に署名された署名付きハッシュで配布されますが、これでも完全に安全ではありません。

上記のリンクからの抜粋：「KeRangerアプリケーションは有効なMacアプリ開発証明書で署名されているため、AppleのGatekeeper保護をバイパスできました。」...「Appleはその後、悪用された証明書を取り消し、XProtectウイルス対策署名を更新しました。TransmissionProjectはWebサイトから悪意のあるインストーラーを削除しました。PaloAlto Networksは、

KeRangerに感染した2つのTransmissionインストーラーは、Appleが発行した正当な証明書で署名されました。この証明書をリストした開発者は、IDがZ7276PX673のトルコ企業であり、以前のバージョンのTransmissionインストーラーの署名に使用された開発者IDとは異なりました。コード署名情報では、これらのインストーラーが3月4日の朝に生成され署名されていることがわかりました。」

2016補遺：

@Cornstalks：Re。以下のコメント：間違っています。リンク先の衝突攻撃ウィキペディアの記事で現在指摘されているように、「2007年、MD5に対して選択されたプレフィックス衝突攻撃が見つかりました」と「攻撃者は任意の異なる2つのドキュメントを選択し、異なる計算値を追加して、全体として等しいハッシュ値を持つドキュメント。」したがって、MD5が安全に提供され、攻撃者がそれを変更できない場合でも、攻撃者は選択されたプレフィックスを含むマルウェアと選択されたプレフィックスの衝突攻撃を使用できます。つまり、MD5は暗号化の目的では安全ではありません。これが主に、US-CERTがMD5を「暗号が破られており、今後の使用に適さないと考えるべきだ」と述べた理由です。

さらに2つ：CRC32はチェックサムです。MD5、SHAなどはチェックサム以上のものです。安全なハッシュにすることを目的としています。つまり、衝突攻撃に対して非常に抵抗力があるはずだということです。チェックサムとは異なり、安全に通信されるセキュアハッシュは、サーバーとユーザーの間にMITMが存在する中間者（MITM）攻撃から保護します。サーバー自体が危険にさらされる攻撃に対する保護はありません。それを防ぐために、人々は通常、PGP、GPG、ゲートキーパーなどに依存しています。

これは、チェックサムに投稿される際に「ファイルの悪意のある変更から保護できない」という免責事項が記載されている理由です。したがって、簡単な答えは「意図的に変更されたファイルに対する保護は一切提供できません」（ただし、ページがHTTPS経由で配信される場合、HTTPS自体は変更から保護されます。ファイルがHTTPS経由では配信されず、チェックサムですから、それはいくつかの助けになるかもしれませんが、一般的なケースではありません）。Webページに投稿されたチェックサムが悪意のある変更を検出するために使用されると言った人は誰でも、これは彼らが実行できる役割ではないためです。彼らがするのは、偶発的な破損と怠zyな悪意のある破損から保護するのを助けることだけです（誰かがチェックサムを与えるページを妨害することを気にしない場合）。

意図的な変更から保護する場合は、ユーザーがチェックサムに干渉しないようにするか、他の誰かが有効なチェックサムを生成できないようにする必要があります。前者は、直接または同様の方法で配布する必要があります（したがって、チェックサム自体が信頼されます）。後者はデジタル署名アルゴリズムに進みます（公開鍵をダウンローダーに安全に取得する必要がある場合、TLSでは、これは最終的に認証局を直接信頼し、他の全員を検証させることによって行われます。また、信頼の網を通じて行うこともできます。 、しかし、ポイントは、ある時点で何かを安全に転送する必要があり、サイトに何かを投稿するだけでは十分ではないということです。

これは本当に問題です。ダウンロードするファイルと同じサイトにチェックサムを表示することは安全ではありません。ファイルを変更できる人は、チェックサムも変更できます。チェックサムは完全に分離されたシステムで表示する必要がありますが、チェックサムが見つかる場所を安全な方法でユーザーに伝える方法はほとんど不可能です。

可能な解決策は、署名されたファイルの使用です。

（ところで：MD5はどこでも安全ではないため、使用しないでください。）

チェックサム自体が侵害されているかどうかを知る方法がない場合、MD5チェックサムは意図的に変更されたファイルに対する保護をどのように提供できますか？

あなたは完全に正しいです。したがって、目標は、「if」を間違ったものにすることです。ファイルの安全な暗号化ハッシュが侵害されていないことがわかっていれば、ファイルも侵害されていないことがわかります。

たとえば、Webサイトにファイルのハッシュを投稿し、サードパーティのミラーサーバー上のファイルのコピーにリンクする場合（昔ながらのフリーソフトウェア配布の一般的なプラクティス）、ユーザーはいくつかのタイプから保護されます攻撃の。ミラーサーバーが悪意のある、または侵害されていても、Webサイトに問題がない場合、ミラーはファイルを破壊できません。

WebサイトでHTTPSを使用する場合、またはでハッシュに署名する場合、gpgファイルは（ほとんど）悪意のあるWi-Fiホットスポット、不正なTor出口ノード、またはNSAなどのネットワーク攻撃者からも保護されます。

ファイルを変更せずにMD5チェックサムを変更することはできません。ファイルをダウンロードしてからハッシュをダウンロードしても、ファイルの計算が与えられたものと一致しない場合、ハッシュまたはファイルが間違っているか不完全です。

ファイルを作成者、マシンなどの外部の何かに「結び付ける」場合は、証明書付きのPKIタイプのプロセスを使用して署名する必要があります。ファイルの作成者などは、自分の秘密鍵でファイルに署名できます。公開鍵で署名を検証できます。公開鍵は、公開鍵である必要があります。複数の場所。

ファイルを変更すると署名が無効になるため、これを使用してファイルの整合性を検証することもできます。

ハッシュは、ファイルのバージョン（「ダウンロード」）がサーバーのバージョンと異なるかどうかを示します。ファイルの信頼性を保証するものではありません。

デジタル署名（非対称暗号化+ハッシュ関数）を使用して、対応する秘密キーを持たないユーザーによってファイルが変更されていないことを確認できます。

ファイルの作成者はファイルをハッシュし、その（秘密の）秘密鍵を使用してハッシュを暗号化します。そのようにして、対応する（非秘密）公開鍵を持つ人は誰でもハッシュがファイルに一致することを確認できますが、ファイルの内容は変更できますが、対応するハッシュをファイルに一致するものに置き換えることはできません（ハッシュが公開鍵）-秘密鍵を総当たり攻撃したり、何らかの方法でアクセスしたりしない限り。

「A.Hacker」氏が単にファイルを変更し、それから自分の秘密鍵で署名するのを止めるのは何ですか？

ファイルを検証するには、そのハッシュを、関連するデジタル署名を復号化して取得したハッシュと比較する必要があります。ファイルが「IMAwesome」からのものであると思われる場合、ハッシュはA.Hackerのキーを使用して暗号化されているため、彼のキーを使用してハッシュを復号化しますが、ハッシュはファイルと一致しません。

したがって、デジタル署名により、偶発的な変更と悪意のある変更の両方を検出できます。

しかし、そもそもどうやってIMAwesomeの公開キーを取得するのでしょうか？キーを取得したときに、実際にA.Hackerのキーが侵害されたサーバーや中間者攻撃によって提供されていなかったことをどのようにして確認できますか？ここで証明書チェーンと信頼されたルート証明書が出てきますが、どちらも問題に対する完全に安全な解決策ではありません[1]。どちらもウィキペディアやSOに関する他の質問でおそらく十分に説明されるべきです。

[1]検査時に、作業用PCのMicrosoft OSに同梱されているルート証明書には、米国政府からの証明書が含まれています。したがって、対応する秘密キーの咳 NSA 咳にアクセスできる人は誰でも、「アドレスバーに南京錠があります」チェックに合格したコンテンツをWebブラウザに提供できます。実際に何人の人が南京錠をクリックして、接続を「保護」するために誰のキーペアが使用されているのかわからないでしょうか？

チェックサムが侵害されていないかどうかを知る方法がない場合、MD5チェックサムは意図的に変更されたファイルに対する保護をどのように提供できますか？

これは本当に良い質問です。一般に、MD5操作の評価はスポットオンです。しかし、ダウンロードのMD5チェックサムの価値は、せいぜい表面的なものにすぎないと考えています。おそらくファイルをダウンロードした後、ウェブサイトに対してMD5を確認できますが、サイドバイサイドMD5ストレージは「領収書」または持っているのは良いが信頼できないものとして見る傾向があります。そのため、私は通常、ダウンロードしたファイルからのMD5チェックサムを気にかけたことはありませんが、アドホックなサーバーベースのMD5プロセスを作成した経験から話すことができます。

基本的に、クライアントがMD5チェックサムのファイルシステムをスイープしたいときに行ったことは、ファイル名、パス、MD5、およびその他の雑多なファイル情報をマッピングしたCSVファイルに生成し、それを取り込みました比較と保存のためにデータベースに保存します。

したがって、例を使用すると、MD5チェックサムはそれ自体のテキストファイル内のファイルの隣にあるかもしれませんが、権限レコードMD5チェックサムは接続されていないデータベースシステムに格納されます。したがって、誰かが何らかの方法でファイル共有にハッキングしてデータを操作した場合、その侵入者はMD5権限レコードまたは接続された履歴にアクセスできなくなります。

最近、ACE Audit Managerと呼ばれるライブラリアーカイブソフトウェアの素晴らしい部分を発見しました。これは基本的に、ファイルシステムの変更を監視するために設計されたJavaアプリケーションです。MD5の変更を介して変更を記録します。そして、それは私のアドホックプロセスと同様の哲学で動作します-チェックサムをデータベースに保存しますが、さらに一歩進んでいますが、MD5チェックサムのハッシュツリーまたはマークルツリーとして知られるMD5チェックサムを作成します。

コレクションに5つのファイルがあるとします。ACE Auditマネージャーのこれらの5つのファイルは、各ファイルの5つのMD5チェックサムから生成されたハッシュである別のチェックサム（「親」と呼びましょう）を取得します。したがって、誰かが1つのファイルだけを改ざんすると、ファイルのハッシュが変更され、「親」コレクション全体のハッシュも変更されます。

一般に、MD5チェックサムと関連する整合性ハッシュを調べる必要があるのは、MD5ハッシュ自体の非直接ストレージに接続されていない限り、破損する可能性があります。また、長期的なデータ整合性ツールとしての価値は、新しい荷物に「無料」で提供される安価なロックと同等です。荷物のロックを真剣に考えている場合は、クリップで5秒以内に開けることができないロックを受け取ります。

速度

多くの場合、（a）信頼できない「近くの」コンテンツ配信ネットワーク（CDN）、ミラーサイト、トレントピアなどから大きなファイルをダウンロードし、対応する短いチェックサムファイル（多くの場合、SHA256、古いソフトウェア）よく使用されるMD5）いくつかの信頼できるソースから。彼らは、（b）信頼できるソースから直接大きなファイル全体をダウンロードするのは耐えられないほど遅いと感じています。

検証

多くの場合、その人はすべてが検証されていることを発見します-ソース（信頼できるものと信頼できないもの）は同じチェックサムに同意し、それらの短いチェックサムファイルのいずれかとshasum（またはmd5sum）を実行します）は、大きなファイルに一致するチェックサムがあることを示します。

変形

マロリーがダウンロードサイトにある大きなファイルを悪意を持って変更すると、マロリーが同じダウンロードサイトでそのファイルのチェックサムを悪意を持って簡単に変更し、その悪意のあるチェックサムファイルでshasum（またはmd5sum）が実行されるのは簡単です大きなファイルを検証するようです。ただし、そのチェックサムファイルは、ダウンローダーが検証に使用する（唯一の）ファイルではありません。

ダウンローダーがその悪意のあるチェックサムファイルを信頼できるソースからダウンロードされたチェックサムファイルと比較するとき、元のチェックサムが一度でもすり抜けると、ダウンローダーはすべてが検証されないことを確認し、何かが間違っていることを知ります。

前に述べたように、信頼できる接続を介して適切な暗号チェックサムが送信された場合、セキュリティを提供できます（これは信頼できる接続から派生します）。

supercatが以前に言ったように、あるサイトのチェックサムファイルは、同じサイトから大きなファイルをダウンロードする人や、同じ方法でチェックサムファイルをダウンロードする人を助けません-他のサイトからファイルをダウンロードしたい人を助けます。

「セキュリティの観点から、MD5などの暗号化ハッシュは、安全でないミラーから取得したデータの認証を可能にします。MD5ハッシュは、署名するか、信頼する組織の安全なソース（HTTPSページ）から取得する必要があります。」- https://help.ubuntu.com/community/HowToMD5SUM

暗号化チェックサムは、実用的な公開鍵署名の重要な部分です（GnuPGおよびその他のOpenPGP準拠のソフトウェアで実装されています）。公開鍵署名には、チェックサムだけに比べていくつかの利点があります。

この[MD5チェックサム]は、悪意のある変更も簡単に検出できるようにする[...]と聞いています。

まあ、あなたは全く間違って聞いたことがない。デジタル署名は、実際には悪意のある変更を検出するために使用されるものです。いくつかの重要な理由により、ハッシュは元のファイル全体ではなく、ハッシュのみが実際に署名されるという点で、デジタル署名の基本的な部分です。

つまり、ソースがハッシュの署名とそれを検証する信頼できる方法を提供しない場合、あなたは正しいです、意図的に変更されたファイルに対する保護は与えられませんが、ハッシュは偶然に対するチェックサムとしてまだ有用です腐敗。

全体を明確にする可能性のある実世界の例を次に示します。次の文章は、このテーマに関して特に重要です。

古いアーカイブCDリリースでは、MD5チェックサムのみが生成されました[...]新しいリリースでは、より新しく暗号的に強力なチェックサムアルゴリズム（SHA1、SHA256、SHA512）が使用されます