ソフトと一緒にハッシュ値を公開しても意味なくね?

2021.02.08

今まで、ハッシュ値とソフトを同時に公開している意味がわかりませんでした。

というのも「ソフトが改ざんされるような状況であるなら、当然ハッシュ値も改ざんされるだろうから意味なくね?」と思っていたからです。

 

例えば、GIMPのサイトでは、以下のようにGIMP本体と一緒にハッシュ値も公開しています。

GIMPのハッシュ値

 

でもこれって意味なくね?と。

ハッシュ値を公開する意味なくない?

▲GIMP本体を改ざんできる状況なら、ハッシュ値も当然改ざんできるのでは?

 

しかし、実際は以下のようにいくつかのミラーサイトで配布されているソフトのためだと気づきました↓。

ハッシュ値を一緒に公開する意味

▲GIMPのような有名ソフトでは、ミラーサイトが無数にある。そのミラーサイトがすべてセキュリティ万全というわけではない。なので念のためにGIMP公式でハッシュ値を公開して、ミラーサイトからダウンロードする場合にチェックできるようにしていると思われる。

 

もちろん、GIMPの公式がハッキングされて、GIMP公式で公開している

  • GIMP本体
  • ハッシュ値

の両方が改ざんされてしまった場合は、正真性(改ざんされていないか)をチェックすることはできなくなってしまうので

そうならないためにも公式サイトでは特にセキュリティに気を配っていると思われます。

 

でも実際、ハッシュ値をいちいちチェックしている人って存在するんですかね・・・?

「GIMPが認めているミラーサイトだからきちんとしたサイトだろう」みたいな感じで、何の疑いもせずにダウンロードする人が大多数ですよね多分。

それにセキュリティを気にする人なら、ミラーサイトを使わずに公式からダウンロードするだろうし、だとしたらハッシュ値って誰が使ってるんだ?っていう・・・。

 

 

おわり

暗号
スポンサーリンク
この記事を書いた人
penpen
penpen

1991生まれ。WEBエンジニア。

技術スタック:TypeScript/Next.js/Express/Docker/AWS

フォローする
シェアする
フォローする
penpen
スポンサーリンク

コメント

タイトルとURLをコピーしました