LocalUtils logo
LocalUtils
Files stay local for processing. Account, billing, and ads use separate network services. Saber más

Calcule sumas de verificación de archivos y compárelas exactamente

Una comparación de suma de verificación es sólida sólo cuando la referencia es confiable

El hash responde a una pregunta concreta: ¿estos bytes producen este resumen? No responde quién creó los bytes ni si ejecutarlos es seguro.

Calcule sumas de verificación de archivos y compárelas exactamente

Una suma de comprobación es una huella digital repetible de bytes de archivo. Hacer coincidir un valor publicado por una fuente confiable puede mostrar que los bytes descargados coinciden con la referencia de esa fuente.

Una suma de verificación no prueba que un archivo sea inofensivo, que el editor sea confiable o que un atacante no reemplazó un valor de referencia. La comparación es tan confiable como el canal que proporcionó el resumen esperado.

Comience con el origen del valor esperado.

Un resumen copiado de la misma página de descarga comprometida que el archivo puede reemplazarse junto con él. Prefiera una autorización firmada, un repositorio autenticado, un anuncio separado u otro canal confiable.

Registre el nombre de archivo, la versión, la plataforma, la arquitectura y el algoritmo exactos. Los editores suelen proporcionar varios archivos con nombres similares y sumas de comprobación diferentes.

Los algoritmos no son intercambiables

Un valor SHA-256 no se puede comparar con SHA-512 o MD5. Seleccione exactamente el algoritmo publicado y compare la salida hexadecimal completa.

CRC32 detecta errores de transferencia comunes pero es fácil de manipular. MD5 y SHA-1 tienen debilidades de colisión y no deben elegirse para nuevos diseños de integridad adversarios, aunque los editores heredados aún pueden proporcionarlos por compatibilidad.

Entender lo que establece una coincidencia

Una coincidencia indica que los bytes del archivo local coinciden con los bytes a los que se hace referencia según ese algoritmo. Normalmente, cambiar el nombre del archivo no importa porque el nombre del archivo no tiene hash.

Una coincidencia no analiza en busca de malware, no audita el código fuente ni establece la identidad del editor. Si la referencia confiable describe un archivo dañino, el resumen coincidente identifica fielmente ese archivo dañino.

Combine sumas de verificación con firmas y revisión de fuentes

Para el software, verifique la firma de la plataforma, la firma del paquete o la versión firmada cuando esté disponible. Consulte el dominio del editor y las notas de la versión, así como el resumen.

Mantenga un registro del valor esperado y su fuente cuando la verificación sea importante más adelante. Vuelva a calcular después de cualquier operación que cambie los bytes del archivo, incluido el rearchivo o las actualizaciones de metadatos.

Proteja el valor de referencia, no solo el paso de comparación

La verificación de la suma de comprobación es tan confiable como el valor esperado. Prefiere un resumen publicado a través de un canal autenticado controlado por el software o el editor de datos. Si el archivo y la suma de comprobación provienen del mismo mensaje que no es de confianza o del mismo sitio web comprometido, un atacante puede reemplazar ambos. Registre el algoritmo junto con el valor, porque cadenas hexadecimales de apariencia idéntica pueden representar diferentes familias y longitudes de resumen. Para software de alta seguridad, verifique una versión firmada o la firma del paquete cuando esté disponible. Luego, una suma de verificación coincidente confirma que los bytes recibidos coinciden con los bytes referenciados; todavía no certifica que esos bytes sean seguros o adecuados.

Inicio rápido: LocalUtils

  1. Obtenga la suma de verificación esperada del editor del software u otro canal autenticado.
  2. Elija el mismo algoritmo nombrado por el editor; los valores de diferentes algoritmos no se pueden comparar.
  3. Seleccione el archivo y deje que el trabajador termine sin modificarlo ni volver a descargarlo.
  4. Compare las cadenas hexadecimales completas, preferiblemente copiando y pegando en una comparación de texto exacto o de tiempo constante en lugar de verificar solo los primeros caracteres.

Qué hace el navegador

Un Web Worker lee el archivo y calcula los algoritmos seleccionados, incluidas las variantes CRC32, MD5, SHA-1, SHA-256, SHA-384, SHA-512 y SHA-3 implementadas por las bibliotecas incluidas.

Los bytes del archivo permanecen en la ruta de procesamiento del navegador. Los algoritmos más antiguos siguen siendo útiles para las comprobaciones de compatibilidad y corrupción accidental, pero MD5 y SHA-1 no son opciones adecuadas para los nuevos diseños de seguridad resistentes a colisiones.

Entradas y salidas

  • Entrada: cualquier archivo local legible por la API de archivos del navegador.
  • Salida: cadenas de resumen hexadecimales para los algoritmos seleccionados.
  • Un resumen identifica bytes exactos; cambiar un byte, un campo de metadatos o una marca de tiempo de archivo normalmente cambia el resultado.

Límites que debes conocer antes de empezar

  • Un resumen coincidente no puede detectar malware cuando la referencia confiable describe el mismo archivo malicioso.
  • CRC32 es una suma de verificación de detección de errores, no una prueba de integridad criptográfica.
  • MD5 y SHA-1 tienen debilidades de colisión conocidas.
  • Los archivos grandes tardan en leerse y aun así consumen E/S del dispositivo y recursos de procesamiento.

Lista de verificación de verificación

  • Confirme que la suma de verificación de referencia se obtuvo a través de HTTPS o un canal de publicación firmado.
  • Compare el resumen completo con las mayúsculas coincidentes ignoradas solo cuando la representación es hexadecimal.
  • Para software de alta seguridad, verifique una firma digital además de la suma de verificación.

Solución de problemas

  • Si los valores difieren, confirme el algoritmo, la versión del archivo, la arquitectura, el estado de descompresión y si el editor aplica hash a un archivo o a su contenido.
  • Copie la suma de comprobación sin espacios, etiquetas ni saltos de línea ocultos.
  • Vuelva a calcular después de una nueva descarga solo cuando el valor esperado provenga de una fuente independiente confiable.

Preguntas que hace la gente

¿Las sumas de verificación deberían distinguir entre mayúsculas y minúsculas?

Las letras hexadecimales generalmente se pueden comparar sin mayúsculas y minúsculas, pero de lo contrario, cada dígito y posición de letra deben coincidir.

¿Por qué dos archivos visualmente idénticos tienen un hash diferente?

Los metadatos, la configuración de compresión, el orden de los objetos, las marcas de tiempo o los bytes invisibles pueden diferir incluso cuando el contenido renderizado tiene el mismo aspecto.

¿Es SHA-256 suficiente?

Es un resumen moderno ampliamente utilizado, pero su distribución confiable también depende de cómo se autentican el valor esperado y la identidad del editor.