November 9
Come fai a sapere che il file scaricato non è stato riprogrammato con malware o riscritto dal momento che l'autore ha creato? Senza un meccanismo per verificare che il file non è cambiato, non si può. Questo è il motivo per cui le applicazioni ei documenti importanti sulle firme, file di utilizzo di Internet compilati o stringhe di caratteri la cui compilazione dipende l'esatto contenuto dei dati. Quando si controlla un file contro la sua firma, non si sa se è cambiato.
Essere in grado di verificare che il file che state per scaricare è esattamente lo stesso di quello del suo creatore presunta rilasciato evita due problemi principali: Man in the middle e dati corrotti. Un attacco man in the middle è una tecnica di hacking in cui l'hacker ottiene un file dal suo creatore originale, lo modifica per includere codice dannoso, e poi passa a un utente finale, che non si rende conto che un hacker ha modificato il file. In alternativa, un file di programma che ha subito il danneggiamento dei dati in transito potrebbe soffrire di difetti o incidente nel mezzo di utilizzo.
Un metodo di firmare contenuto di un file è di lanciarlo attraverso un programma di controllo sum. Questi programmi creano una stringa di caratteri e lettere che sono unici per i dati esatti in un particolare file. Qualsiasi modifica del file causerà lo stesso programma per produrre una stringa alfanumerica diversa. Quando uno sviluppatore rilascia somma di controllo originale del file come una firma, gli utenti finali possono eseguire il file si scarica attraverso lo stesso programma. Se la somma di controllo del file produce sul proprio computer soddisfa il suo checksum firma, quindi il file non è stato manomesso o danneggiato.
Un altro metodo di firma file è quello di utilizzare un file di firma distaccata. Questo metodo si basa sull'utilizzo di chiavi di crittografia asimmetrica, in cui un utente ha una chiave privata tiene a se stesso e una chiave pubblica che rilascia al pubblico. Quando uno sviluppatore crea un file di firma per un documento o un'applicazione che sarà il rilascio, la sua chiave privata e il software di crittografia creare contenuti di crittografia per il file di firma. Chiunque scarica il documento o applicazione può anche scaricare la chiave pubblica del suo creatore. Lo stesso software di crittografia può quindi dire se il documento o applicazione è stata modificata dai suoi contenuti, la chiave pubblica del suo creatore e il contenuto del file di firma.
firme compilate sono modi comuni di verificare il contenuto di un programma, in particolare con il software open source. Quando un utente finale è sempre una firma - che si tratti di un file o di una somma di controllo - per un programma ha scaricato, ha bisogno di assicurarsi che sta ottenendo quello giusto. La firma per la versione Windows del software sarà diverso dalla versione Mac del software, ed entrambi sarà diverso dalla versione Linux del software. Infine, la firma per il codice sorgente del software sarà diverso da tutti e tre.