Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Signatur bzw. Hashwert überprüfen, wie?

Frage Sicherheit Sicherheitsgrundlagen

Mitglied: RedFaction

RedFaction (Level 1) - Jetzt verbinden

05.07.2007, aktualisiert 09.01.2009, 13735 Aufrufe, 6 Kommentare

Hi,

weis nicht ob ich in dieser Kategorie richtig bin. Folgende Frage habe ich, bei dieversen Downloads im Internet, wird die Möglichkeit geboten anhand einer Signatur bzw. Hashwertes den Download auf Echtheit bzw. auf nicht Veränderung zu prüfen.

Kann mir einer sagen wie ich das machen kann, sprich anhand einer Signatur bzw. Hashwertes die Echtheit eines downloads zu checken.


Und die andere Frage, was ist wenn die Signatur bzw. der Hashwert auf der Seite auch gefälscht wäre, kann man da überhaupt schlussendlich auf Nummer sicher gehen?

Mit freundlichen Grüßen

RedFaction
Mitglied: gnarff
05.07.2007 um 16:00 Uhr
Hallo,
wenn Du die MD5 Checksumme uberpruefen willst, gibt es das Freewaretool MD5 Fingerabdruck, download unter:
http://www.freeware-archiv.de/MD5Fingerabdruck-Sicherheit.htm

Deine zweite Frage macht keinen Sinn.

saludos
gnarff
Bitte warten ..
Mitglied: RedFaction
06.07.2007 um 06:12 Uhr
Guten Morgen,

danke für Deine Antwort gnarff aber in wie fern macht meine zweite Frage keinen Sinn.

Worauf ich damit hinaus möchte ist doch, dass wenn ich eine manipulierte Software zum Download bereitstelle und zu der manipulierten Software eine neue Checksumme, entsprechend zu dem neuen File, angebe.

Mir in so nem Fall ja die Überprüfung nichts bringt, oder sehe ich da was total falsch.

Sorry, aber ich beschäftige mich noch nicht lange mit diesem Thema.

Mit freundlichen Grüßen

RedFaction
Bitte warten ..
Mitglied: Rafiki
06.07.2007 um 06:53 Uhr
Ich vermute das gnarf meint du vertraust der Webseite von der du das Download machst, sonst würdest du nix von denen haben wollen. Um mögliche Veränderungen an einer Datei festzustellen gibt der Anbieter die Signatur an, in diesem Fall eine MD5 Prüfsumme an. Wenn der Anbieter ein guter ist dann ist die Software OK und die Prüfsumme auf seiner Webseite stimmt.

Jetzt befürchtest du, dass sowohl die Datei als auch die Signatur manipuliert wurden. Dann vertraue dem Anbieter der Website nicht!

Beachte bitte auch diesen Artikel bei heise zum Thema Bundestrojaner. Im Abschnitt Zwangseinleitung wird überlegt einen Download durch den ISP zu manipulieren. An dieser Stelle wäre es denkbar auch die angezeigte MD5 Sum für deinen manipulierten Download anzupassen.

Gruß Rafiki

http://www.heise.de/security/artikel/86415/0
Bitte warten ..
Mitglied: RedFaction
06.07.2007 um 15:01 Uhr
Danke auch Dir,

ich verstehe schon, eine Sache interessiert mich aber immer noch. Wir haben hier über die Prüfung per Hashwert geredet, wie funktioniert dass wenn anstatt des Hashwertes eine Signatur Datei zur Verfügung gestellt wir.

Mit freundlichen Grüßen

RedFaction
Bitte warten ..
Mitglied: gnarff
06.07.2007 um 15:43 Uhr
Hallo RedFaction!

Sieh mal, wnn ich dir einen manipulierten Download anboete, dann ware selbstverstaendlich auch die Checksumme gefaked.

Sagen wir das Produkt, welches Du downloaden willst heisst "Aroba 3D Popelmaker". Der vom Hersteller ausgewiesene MD5 Hash sei f54b16a077ae4c2c34cfaaf0d2f341b4
Der Hersteller bietet keinen Direktdownload an oder der Server ist sehr langsam.

Nun findest Du nach einigem Googeln auf meiner Website einen Download diese Prouktes, zudem einen Schnellen. Ich habe natuerlich einen Trojener mit eingebaut und da ich den auf deinem Rechner sehen moechte, passe ich den MD5 Hash an, er sei a2feee56c0c6d483bedefddb4e224a3d

Du vergleichst also nach dem Download des Popelmakers die Checksumme, stellst fest das sie stimmt und installierst das Produkt samt meines Schaedlings.

So wuerde es dann auch mit einer Signaturdatei ablaufen, wobei es gehupft wie gesprungen ist ob du einen kurzen MD5 oder SHA1 Hash zur Ueberpruefung hast oder eine "fette" Signaturdatei.

Deswegen schrieb ich also: Deine Frage macht keinen Sinn!

Wenn Du sicher gehen moechtest, dann musst Du vor dem Download ein MD5 oder SHA1 - Hash Reverselookup machen, dafuer gibt es diverse Anbieter, die Online Hash-Datenbanken zur Verfuegung stellen, wie z.B. Shalla Secure Services, mehr Informationen zur Benutzung unter:
http://md5.shalla.de/cgi-bin/search.cgi

Dieser Service ist kostenlos.

saludos
gnarff
Bitte warten ..
Mitglied: RedFaction
08.07.2007 um 09:45 Uhr
Super,

danke für ausführliche Antwort.
Ich denke soweit ist mir das klar geworden.

Ich werde noch etwas researchen und testen.

thx

RedFaction
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Outlook & Mail
gelöst Emails werden ohne Signatur und Text versendet - Outlook 2010 (11)

Frage von IT-com zum Thema Outlook & Mail ...

Entwicklung
gelöst Dateiname auf bestimme Zeichenfolge überprüfen? (8)

Frage von matzetto zum Thema Entwicklung ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (13)

Frage von Motte990 zum Thema Microsoft Office ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...