Existe algum valor em verificar o MD5 de arquivos depois que eles foram descompactados?

3

Um projeto no qual estou trabalhando atualmente requer que o usuário execute uma ferramenta de verificação de hash MD5 em todo o projeto, após ter sido descompactado. No momento, eles não solicitam que o ZIP seja verificado.

Se eles mudassem para verificar o MD5 do zip, haveria algum valor em verificar a integridade dos arquivos descompactados com o MD5 - ou isso é coberto pelas verificações de CRC ao descompactar?

    
por Craig Mason 14.02.2011 / 12:31

5 respostas

1

Existe a possibilidade de o seu software de descompressão fazer algo estranho, ou os dados serem corrompidos na etapa de armazenamento. Para dados altamente críticos, você deve sempre verificar depois de armazená-lo no disco.

Na prática, zip / unzip são programas antigos e o risco de um bug no programa Zip enviado com o seu linux é bastante baixo. Isso é principalmente uma preocupação em plataformas instáveis ou quando há um problema com o armazenamento. Eu vi roteadores imagens corrompidas quando descomprimindo-los, e falhas de gravação sobre NFS pode causar corrupção de arquivos interessantes.

Se você acha que alguém pode criar um arquivo zip "malvado" para contornar seus cheques, a situação é um pouco diferente. Observe que o CRC no zip não oferece proteção contra um invasor e que o MD5 é um algoritmo bastante antigo e fraco. A maioria dos sistemas está mudando para os algoritmos SHA para verificar a integridade do arquivo (SHA256 é mais popular, eu acho). Hashing do arquivo e dos arquivos expandidos dificulta muito o ataque ao MD5.

    
por 14.02.2011 / 14:14
1

Tecnicamente sim, praticamente provavelmente não.

    
por 14.02.2011 / 12:39
0

As somas de verificação de arquivos individuais devem ser verificadas para impedir colisões Ataque de Aniversário ... se você tiver motivos para se preocupar com tais coisas.

    
por 14.02.2011 / 13:17
0

como eu sei que cada arquivo no arquivo zip tem sua própria soma de verificação, quando você extrai o arquivo do arquivo, o zip calcula a soma de verificação do arquivo extraído e o compara à soma de verificação no arquivo. Se a soma de verificação for diferente, ela pressupõe que o arquivo zip está corrompido. também a soma de verificação não é md5 soma de verificação e eu acho que sua soma de verificação CRC também não tenho certeza eu acho que é confiável o suficiente, mas se você quer ser 100% de certeza que o arquivo que você tem é o mesmo arquivo que o provedor de arquivos distribui por exemplo CentOS iso. e não é modificado por terceiros do que você pode querer verificar a soma md5

    
por 14.02.2011 / 13:30
0

A única maneira que eu vejo isso sendo válido é a verificação dupla de segurança e garantia de que o arquivo não foi corrompido quando gravado no disco (que seria extremamente má sorte ou disco ruim!).

    
por 14.02.2011 / 13:34