6
Signatur bzw. Hashwert überprüfen, wie?
Hi,
weis nicht ob ich in dieser Kategorie richtig bin. Folgende Frage habe ich, bei dieversen Downloads im Internet, wird die Möglichkeit geboten anhand einer Signatur bzw. Hashwertes den Download auf Echtheit bzw. auf nicht Veränderung zu prüfen.
Kann mir einer sagen wie ich das machen kann, sprich anhand einer Signatur bzw. Hashwertes die Echtheit eines downloads zu checken.
Und die andere Frage, was ist wenn die Signatur bzw. der Hashwert auf der Seite auch gefälscht wäre, kann man da überhaupt schlussendlich auf Nummer sicher gehen?
MFG
RedFaction
weis nicht ob ich in dieser Kategorie richtig bin. Folgende Frage habe ich, bei dieversen Downloads im Internet, wird die Möglichkeit geboten anhand einer Signatur bzw. Hashwertes den Download auf Echtheit bzw. auf nicht Veränderung zu prüfen.
Kann mir einer sagen wie ich das machen kann, sprich anhand einer Signatur bzw. Hashwertes die Echtheit eines downloads zu checken.
Und die andere Frage, was ist wenn die Signatur bzw. der Hashwert auf der Seite auch gefälscht wäre, kann man da überhaupt schlussendlich auf Nummer sicher gehen?
MFG
RedFaction
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 63100
Url: https://administrator.de/contentid/63100
Printed on: April 19, 2024 at 13:04 o'clock
6 Comments
Latest comment
Hallo,
wenn Du die MD5 Checksumme uberpruefen willst, gibt es das Freewaretool MD5 Fingerabdruck, download unter:
http://www.freeware-archiv.de/MD5Fingerabdruck-Sicherheit.htm
Deine zweite Frage macht keinen Sinn.
saludos
gnarff
wenn Du die MD5 Checksumme uberpruefen willst, gibt es das Freewaretool MD5 Fingerabdruck, download unter:
http://www.freeware-archiv.de/MD5Fingerabdruck-Sicherheit.htm
Deine zweite Frage macht keinen Sinn.
saludos
gnarff
Guten Morgen,
danke für Deine Antwort gnarff aber in wie fern macht meine zweite Frage keinen Sinn.
Worauf ich damit hinaus möchte ist doch, dass wenn ich eine manipulierte Software zum Download bereitstelle und zu der manipulierten Software eine neue Checksumme, entsprechend zu dem neuen File, angebe.
Mir in so nem Fall ja die Überprüfung nichts bringt, oder sehe ich da was total falsch.
Sorry, aber ich beschäftige mich noch nicht lange mit diesem Thema.
MFG
RedFaction
danke für Deine Antwort gnarff aber in wie fern macht meine zweite Frage keinen Sinn.
Worauf ich damit hinaus möchte ist doch, dass wenn ich eine manipulierte Software zum Download bereitstelle und zu der manipulierten Software eine neue Checksumme, entsprechend zu dem neuen File, angebe.
Mir in so nem Fall ja die Überprüfung nichts bringt, oder sehe ich da was total falsch.
Sorry, aber ich beschäftige mich noch nicht lange mit diesem Thema.
MFG
RedFaction
Ich vermute das gnarf meint du vertraust der Webseite von der du das Download machst, sonst würdest du nix von denen haben wollen. Um mögliche Veränderungen an einer Datei festzustellen gibt der Anbieter die Signatur an, in diesem Fall eine MD5 Prüfsumme an. Wenn der Anbieter ein guter ist dann ist die Software OK und die Prüfsumme auf seiner Webseite stimmt.
Jetzt befürchtest du, dass sowohl die Datei als auch die Signatur manipuliert wurden. Dann vertraue dem Anbieter der Website nicht!
Beachte bitte auch diesen Artikel bei heise zum Thema Bundestrojaner. Im Abschnitt Zwangseinleitung wird überlegt einen Download durch den ISP zu manipulieren. An dieser Stelle wäre es denkbar auch die angezeigte MD5 Sum für deinen manipulierten Download anzupassen.
Gruß Rafiki
http://www.heise.de/security/artikel/86415/0
Jetzt befürchtest du, dass sowohl die Datei als auch die Signatur manipuliert wurden. Dann vertraue dem Anbieter der Website nicht!
Beachte bitte auch diesen Artikel bei heise zum Thema Bundestrojaner. Im Abschnitt Zwangseinleitung wird überlegt einen Download durch den ISP zu manipulieren. An dieser Stelle wäre es denkbar auch die angezeigte MD5 Sum für deinen manipulierten Download anzupassen.
Gruß Rafiki
http://www.heise.de/security/artikel/86415/0
Danke auch Dir,
ich verstehe schon, eine Sache interessiert mich aber immer noch. Wir haben hier über die Prüfung per Hashwert geredet, wie funktioniert dass wenn anstatt des Hashwertes eine Signatur Datei zur Verfügung gestellt wir.
MFG
RedFaction
ich verstehe schon, eine Sache interessiert mich aber immer noch. Wir haben hier über die Prüfung per Hashwert geredet, wie funktioniert dass wenn anstatt des Hashwertes eine Signatur Datei zur Verfügung gestellt wir.
MFG
RedFaction
Hallo RedFaction!
Sieh mal, wnn ich dir einen manipulierten Download anboete, dann ware selbstverstaendlich auch die Checksumme gefaked.
Sagen wir das Produkt, welches Du downloaden willst heisst "Aroba 3D Popelmaker". Der vom Hersteller ausgewiesene MD5 Hash sei f54b16a077ae4c2c34cfaaf0d2f341b4
Der Hersteller bietet keinen Direktdownload an oder der Server ist sehr langsam.
Nun findest Du nach einigem Googeln auf meiner Website einen Download diese Prouktes, zudem einen Schnellen. Ich habe natuerlich einen Trojener mit eingebaut und da ich den auf deinem Rechner sehen moechte, passe ich den MD5 Hash an, er sei a2feee56c0c6d483bedefddb4e224a3d
Du vergleichst also nach dem Download des Popelmakers die Checksumme, stellst fest das sie stimmt und installierst das Produkt samt meines Schaedlings.
So wuerde es dann auch mit einer Signaturdatei ablaufen, wobei es gehupft wie gesprungen ist ob du einen kurzen MD5 oder SHA1 Hash zur Ueberpruefung hast oder eine "fette" Signaturdatei.
Deswegen schrieb ich also: Deine Frage macht keinen Sinn!
Wenn Du sicher gehen moechtest, dann musst Du vor dem Download ein MD5 oder SHA1 - Hash Reverselookup machen, dafuer gibt es diverse Anbieter, die Online Hash-Datenbanken zur Verfuegung stellen, wie z.B. Shalla Secure Services, mehr Informationen zur Benutzung unter:
http://md5.shalla.de/cgi-bin/search.cgi
Dieser Service ist kostenlos.
saludos
gnarff
Sieh mal, wnn ich dir einen manipulierten Download anboete, dann ware selbstverstaendlich auch die Checksumme gefaked.
Sagen wir das Produkt, welches Du downloaden willst heisst "Aroba 3D Popelmaker". Der vom Hersteller ausgewiesene MD5 Hash sei f54b16a077ae4c2c34cfaaf0d2f341b4
Der Hersteller bietet keinen Direktdownload an oder der Server ist sehr langsam.
Nun findest Du nach einigem Googeln auf meiner Website einen Download diese Prouktes, zudem einen Schnellen. Ich habe natuerlich einen Trojener mit eingebaut und da ich den auf deinem Rechner sehen moechte, passe ich den MD5 Hash an, er sei a2feee56c0c6d483bedefddb4e224a3d
Du vergleichst also nach dem Download des Popelmakers die Checksumme, stellst fest das sie stimmt und installierst das Produkt samt meines Schaedlings.
So wuerde es dann auch mit einer Signaturdatei ablaufen, wobei es gehupft wie gesprungen ist ob du einen kurzen MD5 oder SHA1 Hash zur Ueberpruefung hast oder eine "fette" Signaturdatei.
Deswegen schrieb ich also: Deine Frage macht keinen Sinn!
Wenn Du sicher gehen moechtest, dann musst Du vor dem Download ein MD5 oder SHA1 - Hash Reverselookup machen, dafuer gibt es diverse Anbieter, die Online Hash-Datenbanken zur Verfuegung stellen, wie z.B. Shalla Secure Services, mehr Informationen zur Benutzung unter:
http://md5.shalla.de/cgi-bin/search.cgi
Dieser Service ist kostenlos.
saludos
gnarff
Super,
danke für ausführliche Antwort.
Ich denke soweit ist mir das klar geworden.
Ich werde noch etwas researchen und testen.
thx
RedFaction
danke für ausführliche Antwort.
Ich denke soweit ist mir das klar geworden.
Ich werde noch etwas researchen und testen.
thx
RedFaction
