LocalUtils logo
LocalUtils
Files stay local for processing. Account, billing, and ads use separate network services. En savoir plus

Calculez les sommes de contrôle des fichiers et comparez-les exactement

Une comparaison de somme de contrôle n'est solide que lorsque la référence est digne de confiance

Le hachage répond à une question précise : ces octets produisent-ils ce résumé ? Il ne répond pas qui a créé les octets ni si leur exécution est sûre.

Calculez les sommes de contrôle des fichiers et comparez-les exactement

Une somme de contrôle est une empreinte digitale répétable d’octets de fichier. Faire correspondre une valeur publiée par une source fiable peut montrer que vos octets téléchargés correspondent à la référence de cette source.

Une somme de contrôle ne prouve pas qu'un fichier est inoffensif, que l'éditeur est digne de confiance ou qu'une valeur de référence n'a pas été remplacée par un attaquant. La comparaison est aussi fiable que la chaîne qui a fourni le résumé attendu.

Commencez par l'origine de la valeur attendue

Un résumé copié à partir de la même page de téléchargement compromise que le fichier peut être remplacé à côté de celui-ci. Préférez une version signée, un référentiel authentifié, une annonce séparée ou un autre canal de confiance.

Enregistrez le nom exact du fichier, la version, la plate-forme, l'architecture et l'algorithme. Les éditeurs fournissent souvent plusieurs fichiers portant des noms similaires et des sommes de contrôle différentes.

Les algorithmes ne sont pas interchangeables

Une valeur SHA-256 ne peut pas être comparée à SHA-512 ou MD5. Sélectionnez exactement l'algorithme publié et comparez la sortie hexadécimale complète.

CRC32 détecte les erreurs de transfert courantes mais est facile à manipuler. MD5 et SHA-1 présentent des faiblesses en matière de collision et ne doivent pas être choisis pour de nouvelles conceptions d'intégrité contradictoire, bien que les éditeurs existants puissent toujours les fournir à des fins de compatibilité.

Comprendre ce qu'établit un match

Une correspondance indique que les octets du fichier local correspondent aux octets référencés sous cet algorithme. Renommer le fichier n'a normalement pas d'importance car le nom du fichier n'est pas haché.

Une correspondance ne recherche pas de logiciels malveillants, n’audite pas le code source et n’établit pas l’identité de l’éditeur. Si la référence approuvée décrit un fichier nuisible, le résumé correspondant identifie fidèlement ce fichier nuisible.

Combinez les sommes de contrôle avec les signatures et l'examen des sources

Pour les logiciels, vérifiez une signature de plate-forme, une signature de package ou une version signée lorsqu'elle est disponible. Vérifiez le domaine de l'éditeur et les notes de version ainsi que le résumé.

Conservez une trace de la valeur attendue et de sa source lorsque la vérification est importante ultérieurement. Recalculez après toute opération modifiant les octets du fichier, y compris le réarchivage ou la mise à jour des métadonnées.

Protéger la valeur de référence, pas seulement l'étape de comparaison

La vérification de la somme de contrôle est aussi fiable que la valeur attendue. Préférez un condensé publié via un canal authentifié contrôlé par l’éditeur du logiciel ou des données. Si le fichier et la somme de contrôle proviennent du même message non fiable ou du même site Web compromis, un attaquant peut remplacer les deux. Enregistrez l'algorithme à côté de la valeur, car des chaînes hexadécimales d'apparence identique peuvent représenter différentes familles et longueurs de résumé. Pour les logiciels à haute assurance, vérifiez une version signée ou une signature de package lorsqu'elle est disponible. Une somme de contrôle correspondante confirme ensuite que les octets que vous avez reçus correspondent aux octets référencés ; il ne certifie toujours pas que ces octets sont sûrs ou appropriés.

Démarrage rapide: LocalUtils

  1. Obtenez la somme de contrôle attendue auprès de l'éditeur du logiciel ou d'un autre canal authentifié.
  2. Choisissez le même algorithme nommé par l'éditeur ; les valeurs de différents algorithmes ne peuvent pas être comparées.
  3. Sélectionnez le fichier et laissez le travailleur terminer sans le modifier ni le retélécharger.
  4. Comparez les chaînes hexadécimales complètes, de préférence par copier/coller dans une comparaison de texte à temps constant ou exact plutôt que de vérifier uniquement les premiers caractères.

Ce que fait le navigateur

Un Web Worker lit le fichier et calcule les algorithmes sélectionnés, notamment les variantes CRC32, MD5, SHA-1, SHA-256, SHA-384, SHA-512 et SHA-3 implémentées par les bibliothèques fournies.

Les octets du fichier restent dans le chemin de traitement du navigateur. Les algorithmes plus anciens restent utiles pour les contrôles de compatibilité et de corruption accidentelle, mais MD5 et SHA-1 ne constituent pas des choix appropriés pour les nouvelles conceptions de sécurité résistantes aux collisions.

Entrées et sorties

  • Entrée : tout fichier local lisible par l'API de fichier du navigateur.
  • Sortie : chaînes de résumé hexadécimal pour les algorithmes sélectionnés.
  • Un résumé identifie les octets exacts ; la modification d'un octet, d'un champ de métadonnées ou d'un horodatage d'archive modifie normalement le résultat.

Limites à connaître avant de commencer

  • Un résumé correspondant ne peut pas détecter les logiciels malveillants lorsque la référence approuvée décrit le même fichier malveillant.
  • CRC32 est une somme de contrôle de détection d'erreurs, et non une preuve d'intégrité cryptographique.
  • MD5 et SHA-1 ont des faiblesses connues en matière de collision.
  • La lecture des fichiers volumineux prend du temps et consomme néanmoins des ressources d'E/S et de traitement de l'appareil.

Liste de contrôle de vérification

  • Confirmez que la somme de contrôle de référence a été obtenue via HTTPS ou un canal de version signé.
  • Comparez l'intégralité du résumé avec les majuscules correspondantes ignorées uniquement lorsque la représentation est hexadécimale.
  • Pour les logiciels à haute assurance, vérifiez une signature numérique en plus de la somme de contrôle.

Dépannage

  • Si les valeurs diffèrent, confirmez l'algorithme, la version du fichier, l'architecture, l'état de décompression et si l'éditeur hache une archive ou son contenu.
  • Copiez la somme de contrôle sans espaces, étiquettes ou sauts de ligne masqués.
  • Recalculez après un nouveau téléchargement uniquement lorsque la valeur attendue provient d'une source indépendante fiable.

Les questions que les gens posent

Les sommes de contrôle doivent-elles être sensibles à la casse ?

Les lettres hexadécimales peuvent généralement être comparées sans casse, mais sinon, chaque position de chiffre et de lettre doit correspondre.

Pourquoi deux fichiers visuellement identiques sont-ils hachés différemment ?

Les métadonnées, les paramètres de compression, l'ordre des objets, les horodatages ou les octets invisibles peuvent différer même lorsque le contenu rendu est identique.

SHA-256 est-il suffisant ?

Il s’agit d’un condensé moderne largement utilisé, mais sa distribution fiable dépend également de la manière dont la valeur attendue et l’identité de l’éditeur sont authentifiées.