Windowsでハッシを使ってみよう

今回はハッシュについて、Windowsで使用していこうと思います。

このところ、世間を騒がせているパスワードハッシュがありますが、まずはハッシュというものがどういったものか知ることがいいかなと思っています。

なお、私はこの業界に入ったばかりの頃はわかっていませんでした・・・

また、記載内容に間違っている点がある可能性もありますので、その際はご教示いただければ幸いです。

ハッシュ関数について

まずはハッシュ関数についてです。

とまあ色々書いてあります。

個人的にちゃんと分かってほしいことは「ハッシュ化≠暗号化」であることです。

ちなみにこれについては、私は業界はいりたての頃に先輩にがっつり怒られたので、皆様も気を付けましょう。

実際に使用してみる

では実際にハッシュを使ってみましょう。

昔のWindowsには実装されていなかったと記憶していますが、現在（Windows7位からかな？）はWindowsのコマンドプロンプトからハッシュ値を求めることができます。

certutil -hashfile ＜ファイルパス＞ [ハッシュアルゴリズム]

ハッシュのアルゴリズムとして指定できるのは以下です。

ハッシュ アルゴリズム: MD2 MD4 MD5 SHA1 SHA256 SHA384 SHA512

実際にコマンドプロンプトで使用してみましょう。

テキストエディタに「aaaaa」と記載した「test.txt」を作成しこのハッシュ値を求めます。

>certutil -hashfile test.txt SHA1
SHA1 ハッシュ (対象 test.txt):
df51e37c269aa94d38f93e537bf6e2020b21406c
CertUtil: -hashfile コマンドは正常に完了しました。

SHA1でハッシュを行いましたが、値は「df51e37c269aa94d38f93e537bf6e2020b21406c」となりました。

皆様のお手元の環境で、テキストファイルの内容を「aaaaa」として、同じようにハッシュ値を求めても同じ結果（値）になるかと思います。

実際の使用方法としては、例として「Ubuntu Desktopイメージ」をダウンロードするとします。

まずはサイトに行ってダウンロードするファイルを選びます。

赤枠で囲われたファイルをダウンロードします。その際に右側に「md5sum: bd606d253091edca54e56e4ffc2dce74」という文字列があるかと思います。

なんでMD5だけなんだろうかと少し思いましたが、ダウンロードしたファイルのハッシュ値（MD5）を求めてみます。

>certutil -hashfile ubuntu-ja-18.04.1-desktop-amd64.iso MD5
MD5 ハッシュ (対象 ubuntu-ja-18.04.1-desktop-amd64.iso):
bd606d253091edca54e56e4ffc2dce74
CertUtil: -hashfile コマンドは正常に完了しました。

上記のようにサイトで記載されている値とおなじ値が求められました。

これでサイトからダウンロードしたファイルはMD5で求めたハッシュ値で同じ値になったので、改ざんされている可能性が低いと判断できます。

※MD5については、ハッシュの衝突耐性について違う内容でも同じハッシュ値がでるとの問題が指摘されていますので、こういった表記にさせて頂きました。

こういった具合にダウンロードするファイルが改ざんされていないことを確認するために使用することができます。

他にもデータベースに保存されたパスワードをハッシュ化して保存する等がありますが、それはまた今度ということで・・・

まとめ

ハッシュについてと、Windowsでのハッシュ値の検証を行ってみました。

ツールやVMイメージ等を皆様もよくダウンロードすることもあるかと思いますが、その際は一度ハッシュ値を求めてみて、そのファイルが改ざんされていないか検証をすると安全かと思います。

また、いつになるかわかりませんが、MD5の衝突の検証とかもできたらいいな～と考えています。

不明点や要望やこういったこともやって欲しいとの要望があれば、お問い合わせページやコメント、ツイッターからでも結構ですので、気軽にご連絡ください。

マスタリングTCP／IP SSL／TLS編

posted with カエレバ

楽天市場

Amazon

7net