Las sumas de verificación validan las comprobaciones de paridad simples; básicamente pueden decirte que dos bits se han volteado en alguna parte y que el archivo está dañado. No proporcionan ninguna seguridad criptográfica , porque los algoritmos están diseñados solo para detectar cambios accidentales en un archivo.
Las firmas , sin embargo, están basadas en PGP (Pretty Good Privacy). Los algoritmos funcionan en una idea criptográfica bastante estándar: hay dos claves, una clave privada y una clave pública. Puede determinar que una clave privada es legítima dado el archivo de entrada y la clave pública, pero no tiene ninguna manera para determinar cuál fue la clave privada. De esta manera, podemos probar la autenticidad. Sin embargo, eso no es suficiente, ya que notará que las claves públicas y las firmas están en el mismo sitio. PGP aborda esto al establecer trust , que se realiza al contar con personas de otros lugares que confían en que firmen la clave original con sus claves.
Eso significa que, si está utilizando PGP para verificar la autenticidad de PuTTY, lo que muchas personas que toman en serio la seguridad son, un pirata informático no puede forjar un ejecutable que sea confiable sin que (a) robe la clave privada, que no se almacena en ese servidor, o (b) hackea el servidor, reemplaza los archivos, las sumas de comprobación, las firmas y las claves, y luego se roba una cantidad significativa de claves privadas para establecer la confianza para esa clave privada. Cualquiera de los dos escenarios es básicamente imposible (o, al menos, altamente inverosímil); incluso si la clave privada única fuera robada, los autores podrían simplemente revocarla, lo que disolvería toda la cadena de confianza, etc., que luego podrían configurar nuevamente sin demasiados problemas.
RSA simplemente usa números demasiado grandes para calcularlos en cualquier cantidad de tiempo razonable; las estimaciones actuales sugieren que no hay suficiente confianza en el universo para aplicar ingeniería inversa a una clave privada, por lo que, a menos que sea robada, es bastante segura. Junto con la capacidad de establecer confianza, es una forma de lograr una confianza muy alta de que los archivos no se han manipulado maliciosamente.
Debería poder verificar firmas usando algo como Gpg4win , que le permite verificar firmas usando keys que se encuentra en el sitio web de PuTTY. También, vea Cómo ¿Uno verifica las firmas de suma de comprobación de PGP RSA y / o DSA para PuTTY? .