任何有权访问文件的人都可以生成MD5校验和.闯入站点或执行中间人攻击的攻击者可以轻松更改MD5校验和,使其与受感染文件匹配.
另一方面,GPG签名(理论上)只能由相应私钥的所有者生成.如果签名者在您的信任网中,则签名将验证文件内容的完整性,并演示密钥所有者担保文件内容.
此外,MD5在过去几年中已开始显示出一些弱点; GPG倾向于使用更新的算法.
可能MD5校验和仍然常用,因为它们更容易.(SHA-1优于MD5,并且变得越来越普遍.)
更新(4年后):MD5现在应该被认为是不安全的,并且已经演示了具有相同SHA-1校验和的不同文件.有更好的校验和算法,但我不会推荐具体的算法; 我怀疑这个答案在他们被打破之后仍然会在这里.
| 归档时间: |
|
| 查看次数: |
3238 次 |
| 最近记录: |