「md5sum」と「sha256sum」の違いは何ですか?


13

ISOを検証するために2つのツールが必要な理由。それらの間に考慮すべき特定のものはありますか?

回答:


11

簡単な答え: ISOを検証するための実用的な違いはありません。合計を提供するソースを信頼している限り、必要なものを使用してください。MD5は標準として使用されていますが、コンピューティングの世界はSHAの採用に向けて動き始めています。したがって、SHAの合計は多くの場合、代替手段として提供されます。

  • md5sumそして、sha256sumそれぞれMD5およびSHA-256ハッシュアルゴリズムを実装するプログラムです
  • 一般に、ハッシュアルゴリズムは任意の(任意の)長さの入力を受け取り、その上で数学的計算を実行して、「ハッシュ」(または「合計」)と呼ばれる比較的小さな固定長の出力を生成します。
  • データの整合性(ISOなど)の検証は、ハッシュの多くの用途の1つにすぎません
  • 古いMD5ハッシュと新しいSHA-256ハッシュの主な違いは、MD5は128ビットの出力を生成し、SHA-256は256ビットの出力を生成することです。
  • 動作するデータ(ISO)を検証するには、他のデータが同じMD5サムまたはSHA-256サムを生成しないように、データのハッシュが事実上一意である必要があります。
    • 理論的には、これは可能です。つまり、2組の入力データが「衝突」と呼ばれる同じ出力ハッシュを生成します。
    • そのような衝突の可能性は、256ビットハッシュがMD5の128ビットハッシュのサイズの2倍であるため、MD5と比較してSHA-256では低くなります。
    • 実際には、ISOの検証時に衝突が発生する可能性は、100 MBを超えるサイズのISOの場合、MD5を使用してもゼロになります。
  • それでも、コンピューティングの世界は将来のためのより新しい「より良い」ハッシュであるため、SHAに移行しているため、ISOチェックサムは多くの場合複数の形式で提供されます。

3
記録に関しては、SHAが単に「より新しく、より良い」と言うのはやや誤解を招きます。MD5は、コリジョンを生成するのが非常に簡単であるため、完全に暗号的に安全ではないと考えられています(これにより、ISOを検証するのに間違いなく役に立たなくなります)。MD5は、もはや何のためにも使われるべきではありません。Wikipediaのページには、実際には、今MD5と間違って何の良い要約を持っています。
-chazomaticus

4

どのようにするにはSHA256 SUMページ

sha256sumプログラムは、SHA-256(256ビットのダイジェスト長を持つSHA-2ファミリー)を使用してデータの整合性を検証するように設計されています。適切に使用されたSHA-256ハッシュは、ファイルの整合性と信頼性の両方確認できます。SHA-256は、Ubuntuが推奨する従来のアルゴリズムであるMD5と同様の目的を果たしますが、攻撃に対して脆弱ではありません。セキュリティの観点から、SHA-256などの暗号化ハッシュは、安全でないミラーから取得したデータの認証を可能にします。

どのようにMD5SUMへ

md5sumプログラムは、MD5(メッセージダイジェストアルゴリズム5)128ビット暗号化ハッシュを使用してデータの整合性を検証するように設計されています。適切に使用されたMD5ハッシュは、ファイルの整合性と信頼性の両方を確認できます。MD5ハッシュは、署名するか、信頼する組織の安全なソース(HTTPSページ)から取得する必要があります。 一方でMD5アルゴリズムにおけるセキュリティ上の欠陥が発見されている、あなたがそれらを生産する組織を信頼するとき、MD5ハッシュはまだ便利です。

基本的に、これはセキュリティ上の懸念の尺度です。ISOのダウンロードに非公式ミラーを使用している場合は、おそらく両方を使用してファイルの整合性を確認できます。


0

MD5とSHA-2は異なるハッシュアルゴリズムです。データの整合性をチェックする簡単な方法として、使用するものを決定するのは開発者次第です。

この場合、同じことを「達成する」ために使用されますが、結果(ハッシュ)は完全に異なります。


0

md5sum検証の代替方法は、上記で説明したsha1およびsha256の合計です。

Raringのようにリリースサイトから最新のisoをダウンロードまたはトレントするとします。通知は、上部に呼ばれるファイルがありますSHA1SUMSなどSHA256SUMS、それぞれの.isoファイルのための長い番号のそれぞれが。

.isoファイルのダウンロードが完了したら、sha1またはsha256の合計を計算して、SHA1SUMSファイルの値と一致することを確認できます。rhashでこれを行うことができます。

最初にインストールします。Ubuntuの場合:

sudo apt-get install rhash

他のオペレーティングシステムについては、こちらからダウンロードできます。

次に、ダウンロードしたファイルのsha1またはsha256の合計を計算します。たとえば、ダウンロードしたubuntu-13.04-desktop-amd64.isoの場合:

$ rhash --sha1 ubuntu-13.04-desktop-amd64.iso
ffed440f1dc1b43d9c170bd21e5ff669a59447f8  ubuntu-13.04-desktop-amd64.iso
$
$ rhash --sha256 ubuntu-13.04-desktop-amd64.iso
b4b20e0293c2305e83a60c605d39cabf43115794d574c68f1492d49fee0ab3d8  ubuntu-13.04-desktop-amd64.iso
$ 

値は、それぞれでのものと一致しSHA1SUMSSHA256SUMSのダウンロードを検証し、ファイル。

MD5SUMSファイルrhash --md5 ubuntu-13.04-desktop-amd64.isoを実行して比較することもできます。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.