使用GPG签署文件(生成校验和)的apache等网站比普通的旧MD5更安全。我不明白为什么大多数人使用MD5代替。有人可以解释普通技术英语的真正差异吗?
答案 0 :(得分:5)
任何有权访问文件的人都可以生成MD5校验和。攻击某个站点或执行中间人攻击的攻击者可以轻松更改MD5校验和,以便与受感染的文件匹配。
另一方面,GPG签名(理论上)只能由相应私钥的所有者生成。如果签名者在您的信任网中,则签名验证文件内容的完整性和表明密钥所有者担保文件内容。此外,MD5在过去几年中已开始显示出一些弱点; GPG倾向于使用更新的算法。
可能MD5校验和仍然常用,因为它们更容易。 (SHA-1优于MD5,并且变得越来越普遍。)
更新(4年后):MD5现在应该被认为是不安全的,并且已经演示了具有相同SHA-1校验和的不同文件。有更好的校验和算法,但我不会推荐具体的算法;我怀疑这个答案在它们被打破之后仍然存在。