حاسبة بصمات الملفات

تقرأ الأداة ملفك محلياً وتُنتج أربعة مُلخَّصات قياسية دفعةً واحدة — MD5 وSHA-1 وSHA-256 وSHA-512. استخدم SHA-256 لكل جديد؛ ولا تستخدم MD5 أو SHA-1 إلا إذا كان الناشر الذي تتحقق من ملفه لا يزال ينشرها. يقبل صندوق «تحقَّق» أي سلسلة hex، ويُخبرك بأيٍّ من الخوارزميات الأربع (إن وُجدت) تتطابق، فلا تحتاج إلى معرفة أيها مسبقاً.

مثال

حساب بصمة الملف ubuntu-24.04.1-desktop-amd64.iso (‏6,114,656,256 بايت) يُنتج:

MD5     e3a5c61d27d541e09ef0e894c514ad54
SHA-1   0bc9a82a4f7fc19f97cefc8a62e5ef10d2d65f80
SHA-256 c2e6f4dbefb08d47d3e3b41e4bcadce9dcebdf3a47f8c08390d6b8b10b35b1ab
SHA-512 bd4a8f30...d14e97c2 (128 hex chars)

الصق سطر SHA-256 من SHA256SUMS الخاص بـ Ubuntu في صندوق «تحقَّق»، ومن المفترض أن ترى تطابقاً.

لماذا تختلف بصمة SHA-256 عن تلك التي يُبلغها الخادم؟

بعض الأسباب الشائعة لعدم تطابق البصمات، وحدود تستحق المعرفة:

• حدود ملف خاطئة. حساب بصمة archive.zip يختلف عن بصمة ملف داخله. غالباً ما يحسب الناشر بصمة الأرشيف الخارجي.
• إعادة كتابة أسطر النهايات. يغيِّر Git على ويندوز مع core.autocrlf=true الرمز \n إلى \r\n عند السحب، فلا يعود ملف العمل مطابقاً للبصمة الأصلية. استخدم core.autocrlf=false أو نزِّل الـ blob خاماً.
• Hex مقابل Base64. تُخرج sha256sum بصيغة hex. بعض ETag في S3 أو مانيفستات موقَّعة تستخدم Base64. لصق إحداهما مكان الأخرى يفشل دائماً.
• حدود ذاكرة المتصفح. تقرأ عائلة SHA الملف كاملاً في ArrayBuffer، لذا قد يتسبب ISO بحجم 4 غيغابايت في نفاد الذاكرة على متصفح جوال. جرِّب على سطح المكتب، أو استخدم sha256sum في سطر الأوامر للملفات الكبيرة جداً.
• مقارنة عبر خوارزميات مختلفة. SHA-256 (64 محرف hex) لا يُقارن بـ SHA-1 (40 محرفاً). طابِق طول الخوارزمية قبل النظر حتى إلى المحتوى.
• فراغات متبقية عند اللصق. نسخ سطر جديد مع الـ hex يجعل السلسلة 65 محرفاً بدل 64. قَلِّم قبل المقارنة.

ما الفرق بين MD5 وSHA-1 وSHA-256 وSHA-512؟

تختلف في طول المخرجات ومقاومة التصادم. MD5 طولها 128 بِت، وSHA-1 ‏160، وSHA-256 ‏256، وSHA-512 ‏512. MD5 وSHA-1 مكسورتان أمام هجمات التصادم المتعمَّدة، فلا تُستخدمان للتوقيعات أو تخزين كلمات المرور — لكنهما تبقيان صالحتين للتحقق من تنزيل تلِف عرضاً. SHA-256 هو الافتراضي الحديث، وتُستخدم SHA-512 حين يلزم ملخَّص أطول.

لماذا تختلف بصمة SHA-256 عن تلك التي يُبلغها الخادم؟

عادةً واحد من ثلاثة: عُدِّل الملف أثناء التنزيل (شبكة CDN أعادت تشفيره، أو برنامج مكافحة فيروسات أضاف تذييلاً، أو Git على ويندوز غيَّر نهايات الأسطر)؛ أو حسَب الناشر بصمة الأرشيف بينما حسبتَ أنت بصمة الملف المستخرج (أو العكس)؛ أو تقارن hex بـ Base64. أعِد الحساب من الطرفين بنفس الأداة، وتحقق من حجم الملف أولاً — إذا اختلفت البايتات اختلفت البصمة.

هل هناك حدٌّ لحجم الملف؟

الحدُّ هو ذاكرة متصفحك، لا الأداة. عائلة SHA هنا تقرأ الملف كاملاً في ArrayBuffer لتمرِّره إلى Web Crypto API، وهذا يحدُّ عمليّاً من بضعة غيغابايتات على أغلب أجهزة سطح المكتب وأقل بكثير على الهواتف. أما MD5 فيُعالَج في كتل 4 ميغابايت، فيحتمل ملفات أكبر، لكن سير العمل ككل محدود بالذاكرة.

هل يطابق هذا sha256sum أو PowerShell Get-FileHash؟

نعم. تشغيل sha256sum file.iso على لينكس/ماك أو Get-FileHash -Algorithm SHA256 file.iso في PowerShell 5+ يُنتج نفس بصمة hex بحروف صغيرة كما تُخرج هذه الأداة. إن رأيتَ اختلافاً تحقَّق أنك تحسب بصمة نفس البايتات — افتراض PowerShell هو SHA-256، وتوجد sha1sum / md5sum للخوارزميات الأخرى.

هل هذه الأداة مناسبة للتحقق من تنزيلات ISO لِلِنكس؟

نعم، هذا هو الاستخدام المقصود تماماً. أفلِت ISO، انتظر اكتمال SHA-256، ثم الصق القيمة المتوقعة من ملف checksums الخاص بالتوزيعة في صندوق «تحقَّق مقابل بصمة معروفة». التطابق يُثبت أن البايتات على القرص مطابقة لتلك التي وقَّعها الناشر. تحقق دائماً من ملف checksums نفسه عبر توقيع (GPG) حين أمكن.

هل تحفظون الملفات التي أحسب بصمتها هنا؟

لا. لا نحفظ الملف الذي تُفلته، ولا نحتفظ بالبصمة التي نُنتجها. يُتلَف كلُّ شيء فور إغلاق الصفحة أو تحديثها — لا سجلات، ولا أثر لما حسبتَ بصمته. أفلِت ملفاً حساساً بكل ثقة، ويمكنك التحقق في أدوات مطوِّر المتصفح.