2026年1月20日

檔案的指紋辨識

網路世代,很多事情都從網路上來,或發生於網路上,真真假假,令人著迷也令人困擾。現在除了要識別假訊息外,對於下載的檔案真實性也得留意,尤期當下載的檔案攸關你的權益或電腦使用安全時可馬虎不得。

下載的檔案會有什麼問題呢?
一般人比較熟悉的是檔案可能帶有病毒、木馬之類的,可透過防毒軟體來防範,而檔案的內容有沒有被修改過,下載的檔案是否與官方版本一字不差,防毒軟體幫不上忙,因此如何確認檔案的真實性與正確性的技術很早就被提出,發展出檔案指紋的應用。

要取得檔案的指紋可透過不同的雜湊 (Hash) 演算法獲取檔案的 Checksum,稱為校驗碼/驗證碼/雜湊碼等,雜湊演算法有 MD5、SHA-1、SHA-256、SHA-3、BLAKE2 等等,不同的演算法會得到不同的檔案指紋,不論採用哪一種演算法,兩個相同內容的檔案以同一個演算法計算都會得到相同的值且是唯一。
早期的 MD5、SHA-1 已被證明不夠安全,現在已不建議使用,目前最常見的是利用 SHA-256 演算法所得到的檔案指紋。

有了檔案指紋的概念後,接下來我們來看看如何透過檔案指紋來驗證從網站下載的檔案是否就是網站所提供的檔案。這話聽起來很奇怪,從網站下載的檔案怎麼不會是該網站提供的呢?因為下載的檔案可能會損壞,也可能下載的來源被改過,又或者其他不明原因導致檔案的真實性存疑,因此多一道驗證總是比較保險。

步驟一:下載檔案
相信大家都有從網路下載檔案的經驗,但有提供檔案指紋的官方下載並不常見,或許你從未見過,以下提供一個政府網站的檔案下載作為範例。

機關預算會計資料傳送審計部程式 - 中華民國審計部全球資訊網

這裡有多個檔案可供下載,我們以「安裝程式(普通公務).zip」為例,找到該連結並點選將檔案下載到你的電腦。

步驟二:取得檔案指紋
我們需要從兩方面取得兩個檔案指紋,一個是從下載到電腦上的檔案取得指紋,另一個是從官方下載的頁面取得檔案指紋資訊,如此才能比對。

A. 取得檔案指紋資訊
有些官方提供的檔案下載也會同時提供檔案指紋資訊,目的就是讓你可以借此來跟下載的檔案進行比對,如果比對不相符的話表示下載的檔案有問題,這對於需要正確或高安全性的使用環境是很重要的。在審計部的下載頁面,除了下載檔案的連結外,另外還可見到每個下載檔案的檔案指紋資訊,也就是頁面上說明的 SHA256 雜湊值驗證碼 (Hash Value),我們剛下載的是「安裝程式(普通公務).zip」,所以請找到該檔案對應的 SHA256 值,等一下我們會用到它。

B. 從檔案取得指紋
由於 Windows 本身並沒有視窗介面的相關工具可以取得檔案指紋,需要另外安裝可取得檔案指紋的程式,不過若電腦有安裝知名的免費開源檔案壓縮工具 7-ZIP,就已具備此功能了。
  1. 找到已下載到電腦上的檔案「安裝程式(普通公務).zip」,按快顯鍵 > [7-Zip] > [CRC SHA] > [SHA-256]。這裡有多種雜湊演算法可以選擇,在審計部的下載頁面提供的是 SHA256 值,因此我們同樣選擇 SHA256。
  2. 出現「驗證值資訊」視窗,按向下鍵可以找到 SHA256 的項目,按 Ctrl+C 複製該內容。
  3. 關閉視窗。

步驟三:比對檔案指紋
已經有了兩個可以比對的檔案指紋,再來就是要比對看看兩者是否一致,但要怎麼比對呢?例如開啟記事本並將兩個 SHA256 值放在上下行進行比對,直覺但可能會看走眼,不如請 AI 來幫我們比對避免人為失誤。
  1. 回到開啟的瀏覽器,審計部檔案下載的頁面等一下仍會用到,我們按 Ctrl+T 另外開啟新分頁,這裡以 Google 的 AI 工具為例,以下兩個網址選一個輸入後 Enter。
    * google.com/ai
    * gemini.google.com
  2. 在文字輸入框提出比對兩組字串的要求,先輸入要提出的問題,按 Shift+Enter 換行,將剪貼簿中從 7-ZIP 取得的檔案 SHA256 值貼上。
  3. 切換分頁到審計部檔案下載頁面,把找到的 SHA256 值選取複製下來。
  4. 切換分頁回到 AI 分頁,焦點還在編輯區且游標位置沒變,按 Shift+Enter 換行,將從審計部頁面複制的 SHA256 值貼上。完整的內容分成三行像下面這樣,此處為了方便呈現,SHA256 的值沒有全部列出。

    以下兩個 sha256 值是否相同?
    SHA256: df0122b72872cdc92b6644……(後面省略)
    SHA256:df0122b72872cdc92b66449……(後面省略)

    註:SHA256 值前面的文字保留與否不影響 AI 的比對。
  5. 完成後按 Enter,稍等一下就有結果了。
  6. 在 NVDA 瀏覽模式下查看 AI 幫我們比對的結果。

上述範例的檔案不是一般人在用的,感覺有些遙遠,再舉一個可以見到檔案指紋的地方,那就是你熟悉的 NVDA 附加元件商店的網頁版。

NVDA Add-on Store

這裡同樣列出了所有提供的附加元件,我們以多語系語音合成器 WorldVoice 為例。
  1. 按 NVDA+Ctrl+F 開啟 NVDA 的尋找功能,輸入「worldvoice」後 Enter。
  2. 在「WorldVoice」的連結上按一下 Enter,下方便會顯示附加元件的相關資訊。
  3. 按 H 鍵跳到「WorldVoice」的標題,再按向下鍵即可逐一瀏覽內容。
  4. 在以表格型式呈現的粢訊中有一項為「SHA256 sum:」的項目,這就是提供目前下載版本附加元件的檔案指紋了。

為什麼說是目前版本呢?
別忘了不同版本附加元件檔案的內容都不相同,所以檔案指紋也就不可能相同,因此在比對時須注意不同版本的檔案指紋不可拿來比對,不然就自己嚇自己囉!

張貼者:
標籤: ,