Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Signatur bzw. Hashwert überprüfen, wie?

Frage Sicherheit Sicherheitsgrundlagen

Mitglied: RedFaction

RedFaction (Level 1) - Jetzt verbinden

05.07.2007, aktualisiert 09.01.2009, 14367 Aufrufe, 6 Kommentare

Hi,

weis nicht ob ich in dieser Kategorie richtig bin. Folgende Frage habe ich, bei dieversen Downloads im Internet, wird die Möglichkeit geboten anhand einer Signatur bzw. Hashwertes den Download auf Echtheit bzw. auf nicht Veränderung zu prüfen.

Kann mir einer sagen wie ich das machen kann, sprich anhand einer Signatur bzw. Hashwertes die Echtheit eines downloads zu checken.


Und die andere Frage, was ist wenn die Signatur bzw. der Hashwert auf der Seite auch gefälscht wäre, kann man da überhaupt schlussendlich auf Nummer sicher gehen?

MFG

RedFaction
Mitglied: gnarff
05.07.2007 um 16:00 Uhr
Hallo,
wenn Du die MD5 Checksumme uberpruefen willst, gibt es das Freewaretool MD5 Fingerabdruck, download unter:
http://www.freeware-archiv.de/MD5Fingerabdruck-Sicherheit.htm

Deine zweite Frage macht keinen Sinn.

saludos
gnarff
Bitte warten ..
Mitglied: RedFaction
06.07.2007 um 06:12 Uhr
Guten Morgen,

danke für Deine Antwort gnarff aber in wie fern macht meine zweite Frage keinen Sinn.

Worauf ich damit hinaus möchte ist doch, dass wenn ich eine manipulierte Software zum Download bereitstelle und zu der manipulierten Software eine neue Checksumme, entsprechend zu dem neuen File, angebe.

Mir in so nem Fall ja die Überprüfung nichts bringt, oder sehe ich da was total falsch.

Sorry, aber ich beschäftige mich noch nicht lange mit diesem Thema.

MFG

RedFaction
Bitte warten ..
Mitglied: Rafiki
06.07.2007 um 06:53 Uhr
Ich vermute das gnarf meint du vertraust der Webseite von der du das Download machst, sonst würdest du nix von denen haben wollen. Um mögliche Veränderungen an einer Datei festzustellen gibt der Anbieter die Signatur an, in diesem Fall eine MD5 Prüfsumme an. Wenn der Anbieter ein guter ist dann ist die Software OK und die Prüfsumme auf seiner Webseite stimmt.

Jetzt befürchtest du, dass sowohl die Datei als auch die Signatur manipuliert wurden. Dann vertraue dem Anbieter der Website nicht!

Beachte bitte auch diesen Artikel bei heise zum Thema Bundestrojaner. Im Abschnitt Zwangseinleitung wird überlegt einen Download durch den ISP zu manipulieren. An dieser Stelle wäre es denkbar auch die angezeigte MD5 Sum für deinen manipulierten Download anzupassen.

Gruß Rafiki

http://www.heise.de/security/artikel/86415/0
Bitte warten ..
Mitglied: RedFaction
06.07.2007 um 15:01 Uhr
Danke auch Dir,

ich verstehe schon, eine Sache interessiert mich aber immer noch. Wir haben hier über die Prüfung per Hashwert geredet, wie funktioniert dass wenn anstatt des Hashwertes eine Signatur Datei zur Verfügung gestellt wir.

MFG

RedFaction
Bitte warten ..
Mitglied: gnarff
06.07.2007 um 15:43 Uhr
Hallo RedFaction!

Sieh mal, wnn ich dir einen manipulierten Download anboete, dann ware selbstverstaendlich auch die Checksumme gefaked.

Sagen wir das Produkt, welches Du downloaden willst heisst "Aroba 3D Popelmaker". Der vom Hersteller ausgewiesene MD5 Hash sei f54b16a077ae4c2c34cfaaf0d2f341b4
Der Hersteller bietet keinen Direktdownload an oder der Server ist sehr langsam.

Nun findest Du nach einigem Googeln auf meiner Website einen Download diese Prouktes, zudem einen Schnellen. Ich habe natuerlich einen Trojener mit eingebaut und da ich den auf deinem Rechner sehen moechte, passe ich den MD5 Hash an, er sei a2feee56c0c6d483bedefddb4e224a3d

Du vergleichst also nach dem Download des Popelmakers die Checksumme, stellst fest das sie stimmt und installierst das Produkt samt meines Schaedlings.

So wuerde es dann auch mit einer Signaturdatei ablaufen, wobei es gehupft wie gesprungen ist ob du einen kurzen MD5 oder SHA1 Hash zur Ueberpruefung hast oder eine "fette" Signaturdatei.

Deswegen schrieb ich also: Deine Frage macht keinen Sinn!

Wenn Du sicher gehen moechtest, dann musst Du vor dem Download ein MD5 oder SHA1 - Hash Reverselookup machen, dafuer gibt es diverse Anbieter, die Online Hash-Datenbanken zur Verfuegung stellen, wie z.B. Shalla Secure Services, mehr Informationen zur Benutzung unter:
http://md5.shalla.de/cgi-bin/search.cgi

Dieser Service ist kostenlos.

saludos
gnarff
Bitte warten ..
Mitglied: RedFaction
08.07.2007 um 09:45 Uhr
Super,

danke für ausführliche Antwort.
Ich denke soweit ist mir das klar geworden.

Ich werde noch etwas researchen und testen.

thx

RedFaction
Bitte warten ..
Ähnliche Inhalte
Windows 7
Netzwerkanmeldeinformationen überprüfen
Frage von HenereWindows 76 Kommentare

Hallo zusammen, auf einem meiner Laptops (Win7) kommt seit heute früh diese Meldung: Der Laptop ist in einem AD, ...

iOS
Signatur Geschäftshandy
gelöst Frage von specialuseriOS7 Kommentare

Hallo zusammen, Ist es möglich eine Signatur so im iOS oder Android zu implementieren, dass wenn beispielsweise Änderungen in ...

Microsoft Office
Elektronische Signatur
Frage von Florian86Microsoft Office7 Kommentare

Hallo, folgendes wir haben ein Wareneingangsbuch, welches vom Einkauf und unserer QS-Abteilung geführt wird. D.h. Einkauf erstellt einen Wareningang ...

Windows Netzwerk
Netzwerk auf Treffic überprüfen
gelöst Frage von Kopfg3ldWindows Netzwerk1 Kommentar

Hallo zusammen, welche Hilfsmittel oder Tools gibt es um den Traffic zu beobachten, überwachen oder Fehlerquellen zu Analysieren und ...

Neue Wissensbeiträge
Perl

Perl hat heute Geburtstag: 30 Jahre Perl: Lange Gesichter zum Geburtstag

Information von Penny.Cilin vor 1 StundePerl1 Kommentar

Hallo, auch wenn es wenige wissen und noch weniger Leute es nutzen. Perl hat heute Geburtstag. 30 Jahre Perl ...

Sicherheit

Blackberry stirbt - Keine Updates für Priv mehr

Tipp von certifiedit.net vor 2 StundenSicherheit

Blackberry wird zu einer 08/15 Firma und geht wohl mehr und mehr den Weg, den HTC schon ging. Von ...

Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 2 TagenWindows 108 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 2 TagenSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Heiß diskutierte Inhalte
Batch & Shell
Kann man mit einer .txt Datei eine .bat Datei öffnen?
gelöst Frage von HelloWorldBatch & Shell20 Kommentare

Wie schon im Titel beschrieben würde ich gerne durch einfaches klicken auf eine Text oder Word Datei eine Batch ...

LAN, WAN, Wireless
WLAN Reichweite erhöhen mit neuer Antenne
gelöst Frage von gdconsultLAN, WAN, Wireless11 Kommentare

Hallo, ich besitze einen TL-WN722N USB-WLAN Dongle mit einer richtigen Antenne. Ich frage mich jetzt ob man die Reichweite ...

Router & Routing
Wieso kann ich den UPD 7000-9000 nicht freigeben?
Frage von Jayk0bRouter & Routing8 Kommentare

Router: Telekom W 723V Ports: UDP 7000-9000 Können nicht frei gegeben werden. Benutzgrund: Rocket League 7000 – 9000 UDP ...

Router & Routing
Fritzbox Gastnetz - exposed Host - zur Sophos IPTV
Frage von medikopterRouter & Routing8 Kommentare

Hallo zusammen, ich habe eine Frage bezüglich des Fritz box Gastzugangs an einer Sophos UTM Home. An liebsten wäre ...