下载应用程序时MD5哈希的目的是什么？

我从未在程序主页上检查并比较MD5哈希与真实的MD5哈希.我下载的程序一直都有效.

有人可以在下载过程中放置​​自己的代码吗？

1> Anthony..：

---

哈希根据文件的内容为文件提供(某种)唯一标识符.由于有损连接和差的传输方法以及漂浮的恶意文件副本,哈希提供了一种证明文件与您尝试从服务器下载的文件相同的方法.

您可以通过散列所获文件的副本来验证它,并查看散列是否相同.

人们可以注入令人讨厌的代码,更改正在下载的文件,或者您可能只是获得了损坏的下载.

---

它在理论上很容易,很少在实践中完成.但是,如果它发生在你身上,你会感到沮丧.所以检查.从技术上讲,这是一个非常糟糕的安全措施 - 如果恶意攻击者可以替换某个服务器上的二进制文件,他们可以替换在同一服务器上发布的校验和来匹配.有各种方案来分发校验和,所以你可以比较; 但在实践中,这主要是防止不完整下载的预防措施.

---

网络上有多少这种攻击？我想知道概率.

---

Ubuntu的包管理器(基于apt)做了两件事.首先,它验证所有包的主列表,这些包通过系统知道信任的密钥使用GnuPG进行签名.此程序包列表包含可供下载的每个程序包的校验和(SHA1).PKI方法(如GPG)比简单地提供哈希要好得多.您不知道是谁提供了哈希,但*可能*能够确定谁控制签名密钥.