Как подробно описано в отдельный вопрос, я думал, что у меня есть способ определить тип программы-вымогателя, которая тихо шифрует файлы, а затем расшифровывает их на лету, чтобы пользователь не понял, что файлы были зашифрованы.Я думал, что сравнение текущих и прошлых хэшей файлов обнаружит изменения файлов: если многие файлы были неожиданно изменены, возможно, эти изменения были вызваны шифрованием программы-вымогателя.
Комментарий к этому вопросу, кажется, говорит, что моя концепция не работает, потому что файл должен быть прочитан, чтобы его можно было хэшировать. Программа-вымогатель сделает содержимое файла доступным для хеш-инструмента; этот инструмент обнаружит, что содержимое не изменилось; поэтому я бы получил то же значение хеш-функции, что и раньше.
Я этого не понимаю. Кажется, мне нужно обратиться к этому отдельному вопросу. Если при хешировании учитывается только содержимое файла, не будет ли невозможно хешировать, скажем, файл, надежно зашифрованный пользователем?
Обсуждение криптографии кажется, что значения хеш-функции для файла могут варьироваться в зависимости от времени шифрования с помощью открытого ключа. Я интерпретирую это как означающее, что изменения в процессе шифрования могут привести к изменению значений хеш-функции. Это кажется несовместимым с общим утверждением, что хеширование не обнаружит никакой разницы между зашифрованным файлом (даже если он будет расшифрован на лету) и его ранее незашифрованной формой.
Что мне здесь не хватает?