如何验证下载文件是否被篡改？哈希校验教程

下载的文件，你确定没被改过？

从网上下载软件、系统镜像或重要文件时，文件可能在传输过程中损坏，或者被攻击者篡改植入恶意代码。2023年就有多起知名软件供应链攻击事件。如果不验证文件完整性，你可能不知不觉安装了被篡改的软件。哈希校验是验证文件完整性的黄金标准，简单、快速、可靠。

用文件哈希校验工具一键搞定

文件哈希校验工具 是验证文件完整性的一站式方案。只需拖拽上传文件，工具会自动算出MD5、SHA-1、SHA-256等多种哈希值，你把计算结果跟官方提供的哈希值比对一下就行，不一致就说明文件被篡改或损坏了。

操作很简单：

• 从官方网站找到文件的哈希值（通常在下载页面提供）
• 用工具计算下载文件的哈希值
• 比对两个哈希值是否完全一致
• 一致则文件完整，不一致则需重新下载

MD5校验：快但不够安全

MD5是最早广泛使用的哈希算法，生成128位（32个十六进制字符）的哈希值。用 MD5加密工具 可以对文本或文件计算MD5哈希值。

MD5的优点是计算速度快，缺点是已发现碰撞漏洞（两个不同文件可能产生相同的MD5值）。因此，MD5适用于一般性的文件校验和去重，但不建议用于高安全场景。

SHA-256校验：更安全的选择

SHA-256是目前最推荐的哈希算法，生成256位哈希值，安全性远高于MD5和SHA-1。用 SHA加密工具 支持SHA-1、SHA-256、SHA-384、SHA-512等多种算法。

大多数开源项目和软件厂商现在都提供SHA-256哈希值用于文件校验。如果你只校验一种哈希值，请优先选择SHA-256。

HMAC带密钥校验：验证来源

在某些高级场景中，你需要验证文件不仅未被篡改，还要确认它确实来自可信来源。HMAC通过密钥对哈希值进行签名，既验证完整性又验证来源。用 HMAC生成器 可以生成HMAC签名。

举个例子，即使攻击者修改了文件并重新计算哈希值，没有密钥也无法生成有效的HMAC签名，因此可以同时验证完整性和真实性。

养成文件校验的好习惯

文件哈希校验是一项简单但极其重要的安全实践。下载重要文件后花30秒校验哈希值，可以避免安装被篡改软件的严重后果。日常使用推荐 文件哈希校验工具 一键完成，高安全场景用SHA-256，需要验证来源时用HMAC。所有工具均支持本地处理，文件不会离开你的设备。