¿Cuál es la diferencia entre los archivos "sig" y los archivos de suma de comprobación, como en la página de descarga de PuTTY?

  

¿Cuál es la diferencia funcional entre estos tipos de archivos?

• Las sumas de comprobación garantizan la integridad de los datos .
• Las firmas digitales además aseguran la autenticidad de los datos .

Al descargar un archivo, pueden ocurrir errores durante ese proceso. El malware también podría modificar el archivo descargado si la máquina está infectada. La huella digital del archivo (suma de comprobación) está allí para indicarle que el archivo no está alterado.

Un atacante puede alojar una versión maliciosa de PuTTY en su sitio web y puede descargarla. La verificación de la suma de comprobación en este caso es inútil: la única forma de asegurarse de no haber descargado una versión maliciosa de PuTYY es verificar su signature (s).

  

Además, si bien sé cómo comprobar las sumas de comprobación de los archivos descargados   archivos, ¿cómo se pueden usar los archivos sig (en Windows)?

Esto es más una pregunta de Superusuario . Usted tiene allí el misma pregunta que la tuya.

Las sumas de verificación validan las comprobaciones de paridad simples; básicamente pueden decirte que dos bits se han volteado en alguna parte y que el archivo está dañado. No proporcionan ninguna seguridad criptográfica , porque los algoritmos están diseñados solo para detectar cambios accidentales en un archivo.

Las firmas , sin embargo, están basadas en PGP (Pretty Good Privacy). Los algoritmos funcionan en una idea criptográfica bastante estándar: hay dos claves, una clave privada y una clave pública. Puede determinar que una clave privada es legítima dado el archivo de entrada y la clave pública, pero no tiene ninguna manera para determinar cuál fue la clave privada. De esta manera, podemos probar la autenticidad. Sin embargo, eso no es suficiente, ya que notará que las claves públicas y las firmas están en el mismo sitio. PGP aborda esto al establecer trust , que se realiza al contar con personas de otros lugares que confían en que firmen la clave original con sus claves.

Eso significa que, si está utilizando PGP para verificar la autenticidad de PuTTY, lo que muchas personas que toman en serio la seguridad son, un pirata informático no puede forjar un ejecutable que sea confiable sin que (a) robe la clave privada, que no se almacena en ese servidor, o (b) hackea el servidor, reemplaza los archivos, las sumas de comprobación, las firmas y las claves, y luego se roba una cantidad significativa de claves privadas para establecer la confianza para esa clave privada. Cualquiera de los dos escenarios es básicamente imposible (o, al menos, altamente inverosímil); incluso si la clave privada única fuera robada, los autores podrían simplemente revocarla, lo que disolvería toda la cadena de confianza, etc., que luego podrían configurar nuevamente sin demasiados problemas.

RSA simplemente usa números demasiado grandes para calcularlos en cualquier cantidad de tiempo razonable; las estimaciones actuales sugieren que no hay suficiente confianza en el universo para aplicar ingeniería inversa a una clave privada, por lo que, a menos que sea robada, es bastante segura. Junto con la capacidad de establecer confianza, es una forma de lograr una confianza muy alta de que los archivos no se han manipulado maliciosamente.

Debería poder verificar firmas usando algo como Gpg4win , que le permite verificar firmas usando keys que se encuentra en el sitio web de PuTTY. También, vea Cómo ¿Uno verifica las firmas de suma de comprobación de PGP RSA y / o DSA para PuTTY? .