Facebook
PinterestCome verificare il checksum MD5, SHA256 di un portafoglio / software di criptovaluta
Recentemente uno dei nostri utenti ha chiesto “Nella pagina Github vedo diversi file di Windows 64; un file .exe, un file .md5sum e un file .sha256sum; quale dovrei scaricare? ” Abbiamo detto loro di scaricare il file .exe o il file .zip che è di dimensioni maggiori. Quelli che sono più grandi nella dimensione del file sono i file del portafoglio effettivo e il resto sono solo checksum. Tutto a posto! Ma cosa sono tutti questi file MD5sum e SHA256sum e perché gli sviluppatori mettono questi file accanto ai file scaricabili?
Hash MD5 e SHA256
SHA256sum e MD5sum sono programmi che implementano rispettivamente gli algoritmi hash SHA256 e MD5 che vengono utilizzati principalmente per confermare l’integrità e l’autenticità del file.
Sia MD5 che SHA256 sono due diversi algoritmi di hashing e spetta agli sviluppatori decidere quale hash fornire nella pagina di download. Come puoi vedere sopra; gli sviluppatori del progetto Ravencoin hanno fornito sia l’hash MD5 che l’hash SHA256 per verificare il file di download del wallet. Ma questo non è qualcosa che troverai nella pagina di download di ogni altro software di portafoglio di criptovaluta. A causa di falle di sicurezza nell’algoritmo MD5, la maggior parte degli sviluppatori non fornisce l’hash MD5. Attualmente solo i valori hash SHA256 vengono ampiamente utilizzati.
Nel sito Web di Monero potresti aver notato gli hash SHA256 elencati insieme al software.
Mentre alcuni sviluppatori creano e distribuiscono hash insieme a ciascuna versione del software; alcuni sviluppatori firmano digitalmente ogni nuova versione del pacchetto di installazione con la firma dello sviluppatore ufficiale.
In Bitcoin core troverai qualcosa chiamato firme di rilascio o in altre parole sono anche chiamati hash di rilascio. Sono file ASC che di solito contengono hash SHA256 e una firma PGP.
Basta scaricare il file e aprirlo utilizzando Blocco note o preferibilmente in Notepad ++. Vedrai una stringa casuale di lettere e numeri simile a questa.
—–INIZIARE IL MESSAGGIO FIRMATO PGP—–
Hash: SHA256
5659c436ca92eed8ef42d5b2d162ff6283feba220748f9a373a5a53968975e34 bitcoin-0.17.1-aarch64-linux-gnu.tar.gz
aab3c1fb92e47734fadded1d3f9ccf0ac5a59e3cdc28c43a52fcab9f0cb395bc bitcoin-0.17.1-arm-linux-gnueabihf.tar.gz
b1e1dcf8265521fef9021a9d49d8661833e3f844ca9a410a9dd12a617553dda1 bitcoin-0.17.1-i686-pc-linux-gnu.tar.gz
6aa567381b95a20ac96b0b949701b04729a0c5796c320481bfa1db22da25efdb bitcoin-0.17.1-osx64.tar.gz
e3d785d800b71d277959d15b2c2b33d44dd72c1288e559928a40488dd935c949 bitcoin-0.17.1-osx.dmg
3e564fb5cf832f39e930e19c83ea53e09cfe6f93a663294ed83a32e194bda42a bitcoin-0.17.1.tar.gz
e9245e682126ef9fa4998eabbbdd1c3959df811dc10df60be626a5e5ffba9b78 bitcoin-0.17.1-win32-setup.exe
6464aa2d338f3697950613bb88124e58d6ce78ead5e9ecacb5ba79d1e86a4e30 bitcoin-0.17.1-win32.zip
fa1e80c5e4ecc705549a8061e5e7e0aa6b2d26967f99681b5989d9bd938d8467 bitcoin-0.17.1-win64-setup.exe
1abbe6aa170ce7d8263d262f8cb0ae2a5bb3993aacd2f0c7e5316ae595fe81d7 bitcoin-0.17.1-win64.zip
53ffca45809127c9ba33ce0080558634101ec49de5224b2998c489b6d0fc2b17 bitcoin-0.17.1-x86_64-linux-gnu.tar.gz
—–INIZIA LA FIRMA PGP—–
Versione: GnuPG v1.4.11 (GNU / Linux)
iQIcBAEBCAAGBQJcIeQ5AAoJEJDIAZ42wulk0NoQAIunIBT06bd2IhhxV / 48NUvf
sgTto4qYrKuX5Vkn + kfGuMBvNpmILi5CiVtnucWo7fKM6k5IPMyBQuE9iDVDzT9i
YemA9Au8Xy2aIGmVriuQoXxk8b17wAMS9uw362A3nXCz3kA + BWMDuMfBp3P3NPM /
PeOg6n04Q7seO / zNdT5i / ysaFB / XA8szrQxCRukSrXeGMUpv79UbcWOu3 + nfGit9
yYo / F2yO57Yacv597rKILlg29QxEVTqa5 + slMdwuU7NP5AdAcQV4EtFqoCOqM7C7
JL / zZWYnTywK3l0hOuCBJiY86izutWME5xgm7Eh3ORj + K6ZYT4iXw2JIkTdumeuS
X0WDE3ShH4rb35IaQX75FJLp5R7hLTXiNgng7b8Xhy / 62bJ75Ob4HVVSLG1Lkhps
vtml10br + 78qXiofzk8zaAW6KaG7G9nbBa0hfDjUEsYzA6P5iWA + 53ykupc82HNa
ZT2gk + wWhNhZOd / ANheriM0eqm / ZlK7oydYRRtf9Tamk + XJgREU1x8cWlMZcCPEE
uIUzb7 / REvYSjwcwArYLCq / eFPfjQe7jcG2WexnpxxkKJBvu2v4zVw9LLUPll094
BAmfk34iJKhN2cGVhvjO0Q9GKk0B2HzvhD5xn1Hnlp + NbXVNbKonYvkB71D3GY4W
t / eRyv7Erfi4dhHf + 8oQ
= UEoM
—–FINE FIRMA PGP—–
Questi sono hash crittografici e queste informazioni vengono fornite agli utenti per verificare l’integrità del file. Gli sviluppatori di criptovaluta e spesso i siti Web indicano agli utenti di verificare l’autenticità del file di download prima di utilizzarlo. Tuttavia alla maggior parte degli utenti non interessa o non è sicura di cosa fare con queste informazioni. Quindi abbiamo deciso di fare un argomento su questo. Qui in questa guida per principianti ti mostreremo come convalidare i checksum (solo hash SHA256 e hash MD5 e non le firme PGP).
Ma aspetta!? Comunque sto scaricando il portafoglio dalla fonte ufficiale, quindi perché dovrei verificare che il download del mio portafoglio sia autentico? Inoltre, cos’è il checksum e come aiuta la verifica del checksum?
Cosa significa checksum e come funziona?
Come la parola implica “checksum” significa controllare qualcosa o controllare la somma. La stringa di checksum è un valore hash casuale creato dalla scansione del contenuto del programma. Gli sviluppatori spesso creano e distribuiscono queste stringhe di checksum al rilascio di ciascun software di portafoglio. Perché?
Uno dei problemi principali e delle principali preoccupazioni tra gli utenti di criptovaluta è la sicurezza e la fiducia. Durante il download di file online non possiamo essere sicuri al 100% che il file sia originale; anche se l’hai scaricato dalla fonte ufficiale. È possibile che una terza parte possa modificare il file in transito o hackerare il server in cui è ospitato il file e sostituirlo con una versione dannosa. Ma ecco il punto: se una terza parte tenta di alterare il software, anche 1 bit, il valore hash di output della stringa di checksum sarà completamente diverso da quello fornito dallo sviluppatore. Fornendo i checksum, gli utenti possono verificare e assicurarsi di aver scaricato la copia legittima del software del portafoglio pubblicato dallo sviluppatore.
Uno dei modi standardizzati per determinare se un file di programma è stato modificato dal suo stato originale o meno è osservare il suo valore hash (verifica del checksum). Calcola semplicemente il checksum del software e confrontalo con quello condiviso dallo sviluppatore. Se corrisponde, il file è autentico; in caso contrario, il download è danneggiato o è stato manomesso.
La verifica dell’hash dei file scaricati prima di utilizzarli è generalmente una buona pratica di sicurezza. Se non sei sicuro di come verificare il checksum, segui la guida di seguito.
Come verificare il checksum (MD5 / SHA256) in Windows, Linux & Mac?
Per spiegare meglio le cose; qui in questo tutorial verificheremo il checksum del portafoglio della GUI Monero per assicurarci che sia effettivamente il file corretto. Puoi utilizzare gli stessi passaggi seguenti per verificare il checksum di qualsiasi file di download del portafoglio di criptovaluta.
Per prima cosa scarica il file del portafoglio o il software per il quale desideri convalidare il checksum.
Finestre:
Vai alla cartella dei download o alla posizione in cui hai scaricato il file. Ora MAIUSC + fai clic con il pulsante destro del mouse e quindi fai clic su Apri la finestra di PowerShell qui che aprirà il prompt dei comandi.
Digita “dir” senza virgolette e premi invio per visualizzare l’elenco di tutti i file e le cartelle all’interno di quella directory.
Ora evidenzia il file per il quale desideri verificare il checksum, quindi fai clic su CTRL + C per copiarlo. Quindi immettere il seguente comando di conseguenza per verificare l’hash MD5 e l’hash SHA256.
MD5: CertUtil -hashfile nomefile MD5
SHA256: CertUtil -hashfile nomefile SHA256 (Esempio: CertUtil -hashfile monero-gui-win-x64-v0.14.0.0.zip SHA256)
Una volta fatto, premi invio. La finestra di comando ora mostrerà il valore hash del file a seconda dell’algoritmo hash che hai scelto. Se scegli l’algoritmo SHA256, verrà visualizzato l’hash SHA256. Se scegli l’algoritmo MD5, verrà visualizzato l’hash MD5.
Linux:
La procedura è la stessa per Linux e Mac, tranne per il fatto che non apri il prompt dei comandi qui. Invece useremo la finestra del terminale.
SHA256: sha256sum / | MD5: md5sum /
Mac: shasum -a 256 nome file
Ora confronta il valore hash generato nella finestra di comando con il valore hash distribuito dallo sviluppatore del portafoglio. Basta copiarli e verificarli. Se hai la sequenza giusta, il file del portafoglio è legittimo. Puoi andare avanti e installarlo ora. Tuttavia, se non corrispondono, non installare il file. Il file di download è danneggiato o potrebbe essere dannoso. Assicurati di eliminare il file, scaricarlo di nuovo e quindi convalidare il checksum per assicurarti che il risultato della convalida sia positivo.
Nota: Gli sviluppatori spesso pubblicano i valori hash dei programmi di installazione del portafoglio scaricabile sul proprio sito Web e su Github. Quello che devi notare è che ogni valore hash è unico e differisce per ogni versione. Quindi è importante verificare l’integrità del software del portafoglio ogni volta che scarichi una nuova versione. In questo modo puoi essere certo che il software del portafoglio che stai utilizzando sia una copia autentica.
Firme digitali: firme GPG / PGP
Ma aspetta!? Cosa succede se il sito Web viene compromesso e l’hacker è riuscito a modificare di conseguenza sia il file del portafoglio che i valori hash? Succede ed è per questo che la maggior parte degli sviluppatori non pubblicherà sia i valori hash che i file binari nella stessa posizione. Inoltre, i checksum SHA256 e MD5 sono qualcosa che le persone usavano all’inizio. Attualmente PGP è ampiamente utilizzato, il che è un modo più sicuro per verificare l’integrità dei file. Oltre all’hash SHA256, alcuni sviluppatori pubblicano hash firmati PGP del programma di installazione del portafoglio. Alcuni d’altra parte forniscono solo firme GPG.
Presto in un articolo separato tratteremo di più su GPG e sulla verifica delle firme digitali.