Facebook
PinterestHoe MD5, SHA256 checksum van een cryptocurrency wallet / software te verifiëren
Onlangs vroeg een van onze gebruikers: “Op de Github-pagina zie ik verschillende Windows 64-bestanden; een .exe-bestand, een .md5sum-bestand en een .sha256sum-bestand; welke moet ik downloaden? ” We vertelden hen om het .exe-bestand of het .zip-bestand te downloaden, dat groter is. De bestanden met een grotere bestandsgrootte zijn de daadwerkelijke portefeuillebestanden en de rest zijn allemaal controlesommen. Oké! Maar wat zijn al deze MD5sum- en SHA256sum-bestanden en waarom plaatsen de ontwikkelaars deze bestanden naast de downloadbare bestanden??
MD5- en SHA256-hash
SHA256sum en MD5sum zijn programma’s die respectievelijk SHA256- en MD5-hash-algoritmen implementeren, die voornamelijk worden gebruikt om de bestandsintegriteit en authenticiteit te bevestigen.
Zowel MD5 als SHA256 zijn twee verschillende hash-algoritmen en het is aan de ontwikkelaars om te beslissen welke hash ze op de downloadpagina willen aanbieden. Zoals je hierboven kunt zien; de ontwikkelaars van het Ravencoin-project hebben zowel MD5-hash als SHA256-hash geleverd voor het verifiëren van het wallet-downloadbestand. Maar dit is niet iets dat u zult vinden op de downloadpagina van alle andere cryptocurrency-portefeuillesoftware. Vanwege beveiligingsfouten in het MD5-algoritme leveren de meeste ontwikkelaars geen MD5-hash. Momenteel worden alleen SHA256-hashwaarden op grote schaal gebruikt.
Op de Monero-website heb je misschien SHA256-hashes opgemerkt naast de software.
Terwijl sommige ontwikkelaars hashes maken en distribueren naast elke softwareversie; sommige ontwikkelaars ondertekenen elke nieuwe versie van het installatiepakket digitaal met de officiële handtekening van de ontwikkelaar.
In Bitcoin core vind je iets dat release-handtekeningen wordt genoemd, of met andere woorden, ze worden ook release-hashes genoemd. Het zijn ASC-bestanden die meestal SHA256-hash en een PGP-handtekening bevatten.
Download het bestand en open het met Kladblok of bij voorkeur in Kladblok ++. U ziet een willekeurige reeks letters en cijfers die er ongeveer zo uitziet.
—–BEGIN PGP ONDERTEKEND BERICHT—–
Hash: SHA256
5659c436ca92eed8ef42d5b2d162ff6283feba220748f9a373a5a53968975e34 bitcoin-0.17.1-aarch64-linux-gnu.tar.gz
aab3c1fb92e47734fadded1d3f9ccf0ac5a59e3cdc28c43a52fcab9f0cb395bc bitcoin-0.17.1-arm-linux-gnueabihf.tar.gz
b1e1dcf8265521fef9021a9d49d8661833e3f844ca9a410a9dd12a617553dda1 bitcoin-0.17.1-i686-pc-linux-gnu.tar.gz
6aa567381b95a20ac96b0b949701b04729a0c5796c320481bfa1db22da25efdb bitcoin-0.17.1-osx64.tar.gz
e3d785d800b71d277959d15b2c2b33d44dd72c1288e559928a40488dd935c949 bitcoin-0.17.1-osx.dmg
3e564fb5cf832f39e930e19c83ea53e09cfe6f93a663294ed83a32e194bda42a bitcoin-0.17.1.tar.gz
e9245e682126ef9fa4998eabbbdd1c3959df811dc10df60be626a5e5ffba9b78 bitcoin-0.17.1-win32-setup.exe
6464aa2d338f3697950613bb88124e58d6ce78ead5e9ecacb5ba79d1e86a4e30 bitcoin-0.17.1-win32.zip
fa1e80c5e4ecc705549a8061e5e7e0aa6b2d26967f99681b5989d9bd938d8467 bitcoin-0.17.1-win64-setup.exe
1abbe6aa170ce7d8263d262f8cb0ae2a5bb3993aacd2f0c7e5316ae595fe81d7 bitcoin-0.17.1-win64.zip
53ffca45809127c9ba33ce0080558634101ec49de5224b2998c489b6d0fc2b17 bitcoin-0.17.1-x86_64-linux-gnu.tar.gz
—–BEGIN PGP-HANDTEKENING—–
Versie: GnuPG v1.4.11 (GNU / Linux)
iQIcBAEBCAAGBQJcIeQ5AAoJEJDIAZ42wulk0NoQAIunIBT06bd2IhhxV / 48NUvf
sgTto4qYrKuX5Vkn + kfGuMBvNpmILi5CiVtnucWo7fKM6k5IPMyBQuE9iDVDzT9i
YemA9Au8Xy2aIGmVriuQoXxk8b17wAMS9uw362A3nXCz3kA + BWMDuMfBp3P3NPM /
PeOg6n04Q7seO / zNdT5i / ysaFB / XA8szrQxCRukSrXeGMUpv79UbcWOu3 + nfGit9
yYo / F2yO57Yacv597rKILlg29QxEVTqa5 + slMdwuU7NP5AdAcQV4EtFqoCOqM7C7
JL / zZWYnTywK3l0hOuCBJiY86izutWME5xgm7Eh3ORj + K6ZYT4iXw2JIkTdumeuS
X0WDE3ShH4rb35IaQX75FJLp5R7hLTXiNgng7b8Xhy / 62bJ75Ob4HVVSLG1Lkhps
vtml10br + 78qXiofzk8zaAW6KaG7G9nbBa0hfDjUEsYzA6P5iWA + 53ykupc82HNa
ZT2gk + wWhNhZOd / ANheriM0eqm / ZlK7oydYRRtf9Tamk + XJgREU1x8cWlMZcCPEE
uIUzb7 / REvYSjwcwArYLCq / eFPfjQe7jcG2WexnpxxkKJBvu2v4zVw9LLUPll094
BAmfk34iJKhN2cGVhvjO0Q9GKk0B2HzvhD5xn1Hnlp + NbXVNbKonYvkB71D3GY4W
t / eRyv7Erfi4dhHf + 8oQ
= UEoM
—–EINDE PGP HANDTEKENING—–
Dit zijn cryptografische hash en deze informatie wordt aan de gebruikers verstrekt om de bestandsintegriteit te verifiëren. Ontwikkelaars van cryptovaluta en vaak websites geven gebruikers aan om de authenticiteit van het downloadbestand te verifiëren voordat ze het gebruiken. De meeste gebruikers geven er echter niet om of weten niet wat ze met deze informatie moeten doen. Dus besloten we hier een onderwerp over te maken. Hier in deze beginnershandleiding laten we u zien hoe u checksums valideert (alleen SHA256-hash en MD5-hash en niet de PGP-handtekeningen).
Maar wacht!? Hoe dan ook, ik download de portemonnee van de officiële bron, dus waarom zou ik controleren of mijn portemonnee-download authentiek is? Ook wat is checksum en hoe helpt het verifiëren van checksum?
Wat betekent checksum en hoe het werkt?
Zoals het woord impliceert, betekent “checksum” iets controleren of de som controleren. De checksum-string is een willekeurige hash-waarde die wordt gemaakt door de inhoud van het programma te scannen. Ontwikkelaars maken en distribueren deze checksum-strings vaak bij de release van elke wallet-software. Waarom?
Een van de belangrijkste problemen en grootste zorgen van gebruikers van cryptocurrency is veiligheid en vertrouwen. Bij het online downloaden van bestanden kunnen we er niet 100% zeker van zijn dat het bestand origineel is; zelfs als je hebt gedownload vanaf de officiële bron. Er zijn kansen dat een derde partij het bestand tijdens het transport kan wijzigen of de server waarop het bestand wordt gehost kan hacken en het kan vervangen door een kwaadaardige versie. Maar hier is het ding: als een derde partij probeert om de software te wijzigen, zelfs 1 bit, dan zal de output-hash-waarde van de checksum-string compleet verschillen van degene die door de ontwikkelaar wordt geleverd. Door checksums op te geven, kunnen gebruikers verifiëren en ervoor zorgen dat ze de legitieme kopie van de portefeuillesoftware hebben gedownload die door de ontwikkelaar is gepubliceerd.
Een van de gestandaardiseerde manieren om te bepalen of een programmabestand al dan niet is gewijzigd ten opzichte van de oorspronkelijke staat, is door naar de hash-waarde te kijken (verificatiecontrolesom). Bereken eenvoudig de checksum van de software en vergelijk deze met die gedeeld door de ontwikkelaar. Als het overeenkomt, is het bestand authentiek; zo niet, dan is de download beschadigd of is er geknoeid.
Het is over het algemeen een goede beveiligingspraktijk om de hash van de downloadbestanden te verifiëren voordat u ze gebruikt. Als u niet zeker weet hoe u de checksum moet verifiëren, volg dan de onderstaande gids.
Hoe checksum (MD5 / SHA256) te verifiëren in Windows, Linux & Mac?
Om dingen beter uit te leggen; hier in deze tutorial verifiëren we de checksum van de Monero GUI-portemonnee om er zeker van te zijn dat dit inderdaad het juiste bestand is. U kunt dezelfde stappen hieronder gebruiken om de checksum van downloadbestanden voor cryptocurrency-portefeuilles te verifiëren.
Download eerst het portefeuillebestand of de software waarvoor u de checksum wilt valideren.
Ramen:
Navigeer naar de downloadmap of naar de locatie waar u het bestand heeft gedownload. Nu SHIFT + klik met de rechtermuisknop en klik vervolgens op het PowerShell-venster hier openen, waardoor de opdrachtprompt wordt geopend.
Typ “dir” zonder aanhalingstekens en druk op enter om de lijst met alle bestanden en mappen in die map weer te geven.
Markeer nu het bestand waarvoor u de checksum wilt verifiëren en klik vervolgens op CTRL + C om te kopiëren. Voer vervolgens de volgende opdracht in om de MD5-hash en SHA256-hash te verifiëren.
MD5: CertUtil -hashfile bestandsnaam MD5
SHA256: CertUtil -hashfile bestandsnaam SHA256 (Voorbeeld: CertUtil -hashfile monero-gui-win-x64-v0.14.0.0.zip SHA256)
Als je klaar bent, druk je op Enter. Het opdrachtvenster geeft nu de hash-waarde van het bestand weer, afhankelijk van het hash-algoritme dat je hebt gekozen. Als u het SHA256-algoritme hebt gekozen, wordt SHA256-hash weergegeven. Als u het MD5-algoritme hebt gekozen, wordt MD5-hash weergegeven.
Linux:
De procedure is hetzelfde voor Linux en Mac, behalve dat u hier de opdrachtprompt niet opent. In plaats daarvan gebruiken we het terminalvenster.
SHA256: sha256sum / | MD5: md5sum /
Mac: shasum -a 256 bestandsnaam
Vergelijk nu de hash-waarde die in het opdrachtvenster is gegenereerd met de hash-waarde die door de wallet-ontwikkelaar is verdeeld. Kopieer ze gewoon en verifieer het. Als je de juiste volgorde hebt, is het wallet-bestand legitiem. U kunt het nu gaan installeren. Als ze echter niet overeenkomen, installeer het bestand dan niet. Het downloadbestand is beschadigd of het kan schadelijk zijn. Vergeet niet het bestand te verwijderen, het opnieuw te downloaden en vervolgens de checksum te valideren om er zeker van te zijn dat het validatieresultaat positief is.
Notitie: Ontwikkelaars plaatsen vaak hash-waarden van de downloadbare portemonnee-installatieprogramma’s op hun website en op Github. Waar u op moet letten, is dat elke hash-waarde uniek is en voor elke versie verschilt. Het is dus belangrijk dat u de integriteit van de portefeuillesoftware controleert telkens wanneer u een nieuwe versie downloadt. Op deze manier kunt u er zeker van zijn dat de portefeuillesoftware die u gebruikt een echte kopie is.
Digitale handtekeningen: GPG / PGP-handtekeningen
Maar wacht!? Wat moet ik doen als de website gecompromitteerd is en de hacker erin slaagt om zowel het wallet-bestand als de hash-waarden dienovereenkomstig te wijzigen? Het gebeurt en daarom publiceren de meeste ontwikkelaars niet zowel hash-waarden als de binaire bestanden op dezelfde locatie. Bovendien zijn SHA256- en MD5-checksum iets dat mensen in het begin gebruikten. Momenteel wordt PGP op grote schaal gebruikt, wat een veiligere manier is om de bestandsintegriteit te verifiëren. Naast SHA256-hash publiceren sommige ontwikkelaars PGP-ondertekende hashes van het wallet-installatieprogramma. Sommige bieden daarentegen alleen GPG-handtekeningen.
Binnenkort zullen we in een apart artikel meer behandelen over GPG en het verifiëren van digitale handtekeningen.