对于文件存储库,我需要选择一种能够合理确保文件完整性的散列算法。
我需要一种算法,任何人(稍加努力)都可以轻松地使用它来验证给定散列的完整性。简而言之,文件可能会与哈希一起传输给用户,他们必须能够验证哈希是否来自文件。
我的第一选择是 MD5,因为似乎有广泛可用的实用程序来验证 MD5 哈希,但我担心 MD5 算法被密码破解(参考 Wikipedia/US-CERT:http ://en.wikipedia.org/wiki /MD5 )
我的第二个选择是 SHA-2 算法,但我担心可以轻松验证哈希的实用程序的可用性。我发现的大多数示例都显示了评估哈希的程序代码,但我发现很少(如果有的话)预先构建的实用程序(要求用户构建自己的实用程序超出了“轻松”范围)
还有哪些其他选项可用于生成和评估文件哈希,或者这两个选项是最好的?
提供两个/多个,并让用户决定他们验证哪个。或者,如果他们真的很谨慎,他们可以验证两者/全部。
已经看到下载站点使用这种方法。一个站点推荐了最安全的站点,但提供了其他站点,例如 md5 作为后备。它还提供了工具的链接。恐怕不记得具体的网站了。
既然您已经能够找到一些文件检查器,为什么不将它们作为推荐链接呢?这样,您的用户至少可以使用一种工具。他们不需要几十种不同的文件检查实用程序,他们只需要一个适用于您选择使用的算法的工具。
您可以链接到的工具: Windows:http ://securityxploded.com/download-hash-verifier.php Mac OS X: http: //www.macupdate.com/app/mac/31781/checksum
sha256sum,Linux 上包的一部分的coreutils程序将为列出的文件生成校验和。校验和输出的格式与程序的格式相同md5sum(但使用 SHA-256 散列而不是 MD5),已被广泛使用多年。您没有列出任何目标平台,但快速谷歌搜索显示有命令行程序的 Windows 端口。
如果需要生成大量校验和,可以使用 md5deep,它还支持其他哈希,包括 SHA-256。 http://md5deep.sourceforge.net/
我还没有尝试过,但从屏幕截图来看,它看起来非常巧妙地集成到 OSX 和 Windows 资源管理器中:http: //implbits.com/HashTab.aspx