Cara memverifikasi integritas berkas dengan hash
Saat Anda mengunduh perangkat lunak, firmware, atau dokumen penting, bagaimana Anda tahu bahwa berkas tersebut persis seperti yang dimaksudkan oleh penerbit? Hashing berkas memberi Anda sidik jari kriptografis, string unik yang berubah segera setelah satu byte berkas berbeda.
Bagaimana hashing berkas bekerja
Fungsi hash membaca setiap byte berkas dan menghasilkan string panjang tetap. Berkas yang sama selalu menghasilkan hash yang sama. Modifikasi satu byte dan hash sepenuhnya berubah.
Contoh:
- Hash berkas asli:
e3b0c44298fc1c14... - Berkas yang sama, satu byte dimodifikasi:
d7a8fbb307d7809c...
Ini membuat verifikasi sederhana: hasilkan hash, bandingkan dengan yang dipublikasikan, dan Anda segera tahu apakah berkas asli.
Cara memverifikasi berkas
- Temukan hash resmi, penerbit perangkat lunak biasanya mencantumkan hash di halaman unduhan mereka (sering diberi label «SHA-256 checksum» atau «MD5 sum»).
- Unggah berkas yang diunduh, pilih di kalkulator hash. Hash dihitung secara lokal di peramban Anda.
- Bandingkan hash, jika hash yang dihitung Anda persis cocok dengan hash resmi, berkas otentik dan tidak rusak.
Kapan memverifikasi hash berkas
- Unduhan perangkat lunak, verifikasi bahwa installer dan pembaruan tidak diubah atau rusak selama unduhan
- Pembaruan firmware, firmware yang rusak dapat «mem-brick» perangkat. Selalu verifikasi sebelum mem-flash
- Image ISO, image sistem operasi harus diverifikasi sebelum dibakar ke USB atau diinstal
- Dokumen hukum dan keuangan, verifikasi bahwa dokumen penting tidak dimodifikasi setelah ditandatangani atau dibagikan
- Verifikasi cadangan, konfirmasikan bahwa berkas cadangan identik dengan aslinya
Algoritma yang didukung
| Algoritma | Panjang | Rekomendasi |
|---|---|---|
| MD5 | 32 karakter | Lawas saja, tidak aman |
| SHA-1 | 40 karakter | Lawas saja, tidak aman |
| SHA-256 | 64 karakter | Standar yang direkomendasikan |
| SHA-384 | 96 karakter | Keamanan tinggi |
| SHA-512 | 128 karakter | Keamanan maksimum |
Tips
- Gunakan algoritma yang sama, jika penerbit menyediakan SHA-256, hasilkan SHA-256 dari berkas Anda. Algoritma yang berbeda menghasilkan hash yang sepenuhnya berbeda untuk berkas yang sama.
- Salin-tempel untuk membandingkan, jangan mencoba membandingkan string panjang secara visual. Tempel kedua hash ke dalam alat perbandingan atau cari satu di yang lain.
- Berkas besar lulus, karena hashing berjalan di peramban Anda, tidak ada batas ukuran atau pengiriman. Satu-satunya kendala adalah kecepatan perangkat Anda.
- Hash sebelum menginstal, biasakan memverifikasi unduhan kritis sebelum menjalankannya. Membutuhkan beberapa detik dan dapat menghindari penginstalan perangkat lunak yang disusupi.
Pertanyaan yang sering diajukan
Bagaimana membandingkan hash berkas dengan yang resmi?
Setelah menghasilkan hash, bandingkan karakter demi karakter dengan hash yang dipublikasikan oleh sumber (umumnya di halaman unduhan). Jika semua karakter cocok, berkas otentik dan tidak rusak. Satu perbedaan saja berarti berkas telah dimodifikasi.
Algoritma hash apa yang harus saya gunakan?
SHA-256 adalah standar untuk verifikasi berkas. Gunakan yang disediakan penerbit. Jika Anda memiliki pilihan, SHA-256 menawarkan keseimbangan keamanan/kinerja yang baik.
Bisakah berkas yang rusak memiliki hash yang benar?
Secara teoritis mungkin (tabrakan) tetapi statistik dapat diabaikan dengan SHA-256. Peluangnya secara astronomis kecil sehingga, dalam praktiknya, hash yang identik menjamin berkas yang identik.
Apakah berkas saya dikirim ke server?
Tidak. Hash dihitung sepenuhnya di peramban Anda. Berkas Anda tidak pernah meninggalkan perangkat Anda, yang aman untuk segala jenis dokumen, termasuk yang sensitif.
What is the difference between a hash and a digital signature?
A hash proves a file has not changed since the hash was computed; anyone can verify it. A digital signature proves both integrity AND identity, the publisher signs the hash with their private key, and you verify with their public key. Hashes alone do not protect against a hacker who replaced both the file and the published hash on the same compromised mirror.
Why are MD5 and SHA-1 considered insecure?
Researchers have demonstrated practical collision attacks for both. In 2017 Google produced two different PDFs with identical SHA-1 hashes (the SHAttered attack), and MD5 collisions can be generated in seconds on a laptop. For deliberate-tamper detection use SHA-256 or stronger; MD5 and SHA-1 still work for catching accidental corruption but should never be trusted as security boundaries.