MD5: verifichiamo l’integrità dei file scaricati da Internet

In un contesto dove la sicurezza informatica non pi qualcosa di impermeabile anche agli utenti meno esperti, si nota sempre pi spesso un prolificare di siti dove si scaricano applicazioni che espongono un checksum MD5 per la verifica dei file.
Tuttavia non tutti sanno ne cosa questo MD5 sia, ne come fare per verificare quella che per molti sembra ancora una volgare stringa di numeri e testo buttata li a caso (magari per fare delle prove di funzionamento di tastiera 🙂 ).

Mi capitato giusto oggi, con un cliente ehmmm non proprio esperto in materia. Quelli che prendono il mouse a zampe di falco, con la mano incurvata per capirci. Sto seduto al suo pc per fare un p di tuning e mi domanda: Ma che cosa sono tutti quei caratteri senza senso li sotto?
Ok, di buona pazienza, sempre senza scendere troppo nel tecnico – vista la profilatura dell’utente – inizio con lo spiegargli cosa sia l’MD5. Riuncio a priori a far capire ad uno che fino al giorno prima non aveva l’antivirus cosa sia la sicurezza.

L’MD5 (Message Digest Algorithm 5) un sistema crittogradare dei dati a senso unico, realizzato da Ronald Rivest nel 1991 e standardizzato con la RFC 1321. Questo tipo di codifica prende in input una stringa di lunghezza variabile e ne produce in output un’altra a 128 bit, ovvero 32 valori esadecimali noti come MD5 Checksum o MD5 Hash.
Il principale uso che ne stato quello di questo algoritmo stato per la firma dei file, cio fare in modo che lo sviluppatore verifichi a priori l’MD5 del file e pubblichi i 32 caratteri come stringa di testo in un punto ben visibile del sito, vicino al link per il download.

Chi scarica il file pu – non detto che debba – verificare che il file scaricato, durante il processo di ricomposizione dei pacchetti non sia stato alterato in alcun modo. Non mi soffermo a spiegare come funziona il protocollo IP, non questa la sede. Presupponendo che quello scaricato sia lo stesso file, il risultato dell’algoritmo deve produrre la stessa identica stringa, verificabile con un qualsiasi editor di testo, comando cerca/trova e chi pi ne ha pi ne metta.
Si ritiene che la probabilit di ottenere con due diverse stringhe in input una stessa firma digitale in output sia estremamente bassa visto il numero di combinazioni possibili pari a 16 alla 32esima potenza.

Ok, il cliente sembra aver capito … almeno spero. Magari domani mi chiamer di nuovo, ma questo un altro problema. Veniamo, invece, al successivo. Come verifico l’MD5 di un file.

Gi, perch a parte sistemi Unix, Windows di suo non ha un tool per questa verifica. Magari in Windows 20 lo metteranno. E anche Mac OS X, nonostante derivi da una distribuzione Unix, da Terminale non mi risponde con quel comando. Magari l’avr cercato dentro alla cartella sbagliata.

Indipendentemente da tutto, esiste una piccolissima applicazione tanto per Windows che per Mac, che in maniera grafica permette la selezione del file e dopo pochisismi secondi restituisce l’hash MD5 del file selezionato, che a quel punto verificabile con quello presente sul sito del download. Questa applicazione la trovate sul sito della PenguinByte.

Technorati tags: sicurezza, cheksum, md5