¿Por qué hay Hashes junto a las descargas? [duplicar]

1

He visto varios sitios donde pondrían el hash del archivo descargable junto al archivo. ¿Por qué hacen esto?

Comprendo el propósito de comparar el hash de tu archivo con el hash en línea, pero si un atacante podría cambiar el archivo de descarga, no debería tener ningún problema para cambiar el sitio o el hash en el sitio.

¿No hace que el hash sea casi inútil?

    
pregunta Lexu 27.01.2016 - 14:43
fuente

3 respuestas

2

Estás pensando en el problema de manera incorrecta.

Una de las razones para tener los hashes cerca de la descarga es detectar si la descarga se ha dañado. No es raro tener una descarga dañada, por lo que el hash verificará si descargaste de forma limpia.

La otra razón es que es común en un sitio que hospeda los archivos en otro host, como una red de distribución de contenido. En esos casos, el propietario del sitio tiene menos control sobre los archivos, por lo que alguien podría manipularlos, incluso teniendo control directo sobre los archivos principales del sitio. Esto asegurará que nadie manipule los archivos en el host remoto.

    
respondido por el ThoriumBR 27.01.2016 - 14:52
fuente
1

Depende si la descarga y el hash están en el mismo servidor: no es raro que las descargas provengan de proveedores de CDN o sistemas como S3, que proporcionan alojamiento de archivos estáticos, mientras que el resto de la página proviene de un CMS en un servidor web Con contenido dinámico. En este caso, o cuando un archivo puede descargarse de una fuente alternativa, proporciona un buen indicador de que el archivo se generó originalmente.

Lo mismo se aplica a cosas como las distribuciones de Linux, donde Bittorrent podría usarse para la distribución. Al verificar la suma, proporciona seguridad de que se ha descargado el archivo correcto.

Si el archivo y el hash están en el mismo servidor, es menos útil aunque, como usted dice, si puede cambiar uno, probablemente pueda cambiar el otro.

    
respondido por el Matthew 27.01.2016 - 14:53
fuente
1
  

¿No hace que el hash sea casi inútil?

  1. Los elementos hash sirven para propósitos de integridad además de propósitos de seguridad. Publicar los hashes es una forma para que las personas se aseguren de que su descarga no esté dañada. Esto solía ser más problemático que hoy, pero aún así ...
  2. Cambiar el contenido de un archivo en el servidor no es un cambio visible. Cambiar el hash publicado junto a él es un cambio visible. Si bien el atacante podría cambiar el hash publicado, aumenta la posibilidad de detección.
  3. Cualquier persona que se preocupe (por ejemplo, las distribuciones de sistemas operativos) firma criptográficamente sus paquetes además del hash. Por supuesto, las claves de firma también se han comprometido . No hay seguridad perfecta; lo perfecto es el enemigo de lo bueno.

Así que no, los hashes no son inútiles. No son perfectos, pero son una pieza del rompecabezas necesario para asegurar la distribución de software.

    
respondido por el gowenfawr 27.01.2016 - 14:56
fuente

Lea otras preguntas en las etiquetas