Если загруженный мной MD5 совпадает с MD5 на сайте дистрибутива, значит ли это, что файл не был подделан?
Вероятно, не был подделан. У MD5 есть известные атаки на него, поэтому он не так хорош, как что-то вроде SHA-1. Для чего-то вроде проверки правильности файла, MD5 в порядке.
Где MD5 вроде не в порядке, если вы используете в качестве сохраненных хэшей паролей. Веб-сайты и тому подобное обычно не хотят хранить ваш пароль, но его хеш-код, а затем сравнивают пароль, который вы вводите для входа, с хеш-кодом. Таким образом, они не знают ваш пароль. Однако, если хакер получит список учетных записей с этими хэшами, он может сгенерировать пароль, который при передаче через MD5 генерирует тот же хеш (это называется коллизией хешей). На самом деле я не уверен, как это работает, просто то, что это с хэш-коллизиями MD5 возможно и проще, чем в прошлом.
Bittorrent использует SHA-1, чтобы «знать», какой файл он загружает, и хороши ли части, которыми торгуют одноранговые узлы. Поэтому маловероятно, что вредоносный одноранговый узел может ввести плохие данные в рой - даже если один из них знает, как взломать SHA-1, большинству других одноранговых узлов также придется сотрудничать. Вы можете быть относительно уверены, что никто из роя Bittorrent не сможет испортить загрузку, если у вас есть правильный .torrent
файл, и он не был злонамеренно изменен, чтобы указывать на другой трекер или хэши в нем.