Bazen sağlama toplamı güvenli bir şekilde sağlanır, ancak indirme işlemi yapılmaz. Yana MD5 bozuldu , MD5 sağlama sağlayan güvenlik daha güvenli sağlama daha zayıf olmakla birlikte, MD5 kırıldı önce, bir güvenle temin MD5 MD5 ait eşleşen (örneğin bir PGP veya GPG veya Gatekeeper ile imzalanan veya HTTPS üzerinden getirilen olduğunu) indirme işlemi, indirme işleminin sunucunun kullanılabilir duruma getirdiğinin bir kanıtı olduğunun kanıtıydı.
Burada yıllardır lamine edilebilir güvenli sağlama toplamı eksikliği hakkında yazıyorum .
Kullanıcılar, güvenilmeyen ağları üzerinden güvenilmeyen çalıştırılabilir dosyaları indirmemeli ve MITM saldırıları riski nedeniyle çalıştırmamalıdır. Bakınız örneğin, "Otomatik güncelleme sistemleri içindeki güvenlikler", P. Ruissen, R. Vloothuis.
2014 Eki: Hayır, yanlış DEĞİL "web sayfalarında yayınlanan sağlama toplamlarının kötü amaçlı değişiklikleri tespit etmek için kullanılması", çünkü bu onların gerçekleştirebileceği bir roldür. Yanlışlıkla yolsuzluğa karşı korunmaya yardımcı olurlar ve HTTPS üzerinden veya doğrulanmış bir imza ile servis yapılırsa (veya her ikisinden de iyisi) kötü amaçlı yolsuzluğa karşı korunmaya yardımcı olurlar! HTTPS üzerinden sağlama toplamı aldım ve HTTP indirmelerini birçok kez eşleştirdiklerini doğruladım.
Günümüzde, ikili dosyalar genellikle imzalı, otomatik olarak doğrulanan karmalar ile dağıtılmaktadır, ancak bu bile tam olarak güvenli değildir .
Yukarıdaki bağlantıdan alıntı: "KeRanger uygulaması geçerli bir Mac uygulaması geliştirme sertifikasıyla imzalandı; bu nedenle, Apple'ın Gatekeeper korumasını atlayabildi." ... "Apple o zamandan beri kötüye kullanılan sertifikayı iptal etti ve XProtect antivirüs imzasını güncelledi ve İletim Projesi kötü amaçlı yükleyicileri web sitesinden kaldırdı. Palo Alto Networks, KeRanger'in sistemleri etkilemesini engellemek için URL filtreleme ve Tehdit Önleme özelliğini de güncelledi. Teknik Analiz
İki KeRanger bulaşmış Transmission kurucusu Apple tarafından verilen yasal bir sertifika ile imzalandı. Geliştirici bu sertifikayı listeledi, Z7276PX673 kimliği olan ve İletim yükleyicisinin önceki sürümlerini imzalamak için kullanılan geliştirici kimliğinden farklı olan bir Türk şirketi. Kod imzalama bilgilerinde, bu yükleyicilerin 4 Mart sabahı oluşturulduğunu ve imzalandığını gördük. "
2016 Addenda:
@Cornstalks: Re. Aşağıdaki yorumunuz: Yanlış. Şu anda belirtildiği gibi, "2007'de MD5'e karşı seçilmiş bir önek çarpışma saldırısı bulundu" ve "saldırgan rasgele iki farklı belge seçebilir ve daha sonra tümüyle sonuçlanan farklı hesaplanmış değerler ekleyebilir. eşit değere sahip belgeler. " Bu nedenle, MD5 güvenli bir şekilde sağlansa ve bir saldırgan değiştiremezse bile, saldırgan yine de kötü amaçlı yazılım içeren bir seçili önekle seçilen önek çarpışma saldırısını kullanabilir, bu da MD5'in kripto amaçlı güvenli olmadığı anlamına gelir. Bu büyük ölçüde US-CERT’in MD5’in “daha fazla kullanım için kriptografik olarak kırılmış ve uygun görülmemesi gerektiğini” söyledi.
Birkaç şey daha: CRC32 bir sağlama toplamıdır. MD5, SHA vb. Sağlama toplamından daha fazlasıdır; güvenli karma olmaları amaçlanmaktadır. Bu, çarpışma saldırılarına karşı çok dayanıklı olmaları gerektiği anlamına gelir. Bir sağlama toplamından farklı olarak, güvenli bir şekilde iletilen güvenli bir karma, MITM'nin sunucu ile kullanıcı arasında olduğu ortadaki bir adam (MITM) saldırısına karşı koruma sağlar. Sunucunun kendisinin tehlikeye attığı bir saldırıya karşı koruma sağlamaz. Buna karşı korumak için, insanlar genellikle PGP, GPG, Gatekeeper vb. Gibi şeylere güvenirler.