redfaction
Goto Top

Signatur bzw. Hashwert überprüfen, wie?

Hi,

weis nicht ob ich in dieser Kategorie richtig bin. Folgende Frage habe ich, bei dieversen Downloads im Internet, wird die Möglichkeit geboten anhand einer Signatur bzw. Hashwertes den Download auf Echtheit bzw. auf nicht Veränderung zu prüfen.

Kann mir einer sagen wie ich das machen kann, sprich anhand einer Signatur bzw. Hashwertes die Echtheit eines downloads zu checken.


Und die andere Frage, was ist wenn die Signatur bzw. der Hashwert auf der Seite auch gefälscht wäre, kann man da überhaupt schlussendlich auf Nummer sicher gehen?

MFG

RedFaction

Content-ID: 63100

Url: https://administrator.de/contentid/63100

Ausgedruckt am: 22.11.2024 um 19:11 Uhr

gnarff
gnarff 05.07.2007 um 16:00:36 Uhr
Goto Top
Hallo,
wenn Du die MD5 Checksumme uberpruefen willst, gibt es das Freewaretool MD5 Fingerabdruck, download unter:
http://www.freeware-archiv.de/MD5Fingerabdruck-Sicherheit.htm

Deine zweite Frage macht keinen Sinn.

saludos
gnarff
RedFaction
RedFaction 06.07.2007 um 06:12:13 Uhr
Goto Top
Guten Morgen,

danke für Deine Antwort gnarff aber in wie fern macht meine zweite Frage keinen Sinn.

Worauf ich damit hinaus möchte ist doch, dass wenn ich eine manipulierte Software zum Download bereitstelle und zu der manipulierten Software eine neue Checksumme, entsprechend zu dem neuen File, angebe.

Mir in so nem Fall ja die Überprüfung nichts bringt, oder sehe ich da was total falsch.

Sorry, aber ich beschäftige mich noch nicht lange mit diesem Thema.

MFG

RedFaction
Rafiki
Rafiki 06.07.2007 um 06:53:29 Uhr
Goto Top
Ich vermute das gnarf meint du vertraust der Webseite von der du das Download machst, sonst würdest du nix von denen haben wollen. Um mögliche Veränderungen an einer Datei festzustellen gibt der Anbieter die Signatur an, in diesem Fall eine MD5 Prüfsumme an. Wenn der Anbieter ein guter ist dann ist die Software OK und die Prüfsumme auf seiner Webseite stimmt.

Jetzt befürchtest du, dass sowohl die Datei als auch die Signatur manipuliert wurden. Dann vertraue dem Anbieter der Website nicht!

Beachte bitte auch diesen Artikel bei heise zum Thema Bundestrojaner. Im Abschnitt Zwangseinleitung wird überlegt einen Download durch den ISP zu manipulieren. An dieser Stelle wäre es denkbar auch die angezeigte MD5 Sum für deinen manipulierten Download anzupassen.

Gruß Rafiki

http://www.heise.de/security/artikel/86415/0
RedFaction
RedFaction 06.07.2007 um 15:01:23 Uhr
Goto Top
Danke auch Dir,

ich verstehe schon, eine Sache interessiert mich aber immer noch. Wir haben hier über die Prüfung per Hashwert geredet, wie funktioniert dass wenn anstatt des Hashwertes eine Signatur Datei zur Verfügung gestellt wir.

MFG

RedFaction
gnarff
gnarff 06.07.2007 um 15:43:36 Uhr
Goto Top
Hallo RedFaction!

Sieh mal, wnn ich dir einen manipulierten Download anboete, dann ware selbstverstaendlich auch die Checksumme gefaked.

Sagen wir das Produkt, welches Du downloaden willst heisst "Aroba 3D Popelmaker". Der vom Hersteller ausgewiesene MD5 Hash sei f54b16a077ae4c2c34cfaaf0d2f341b4
Der Hersteller bietet keinen Direktdownload an oder der Server ist sehr langsam.

Nun findest Du nach einigem Googeln auf meiner Website einen Download diese Prouktes, zudem einen Schnellen. Ich habe natuerlich einen Trojener mit eingebaut und da ich den auf deinem Rechner sehen moechte, passe ich den MD5 Hash an, er sei a2feee56c0c6d483bedefddb4e224a3d

Du vergleichst also nach dem Download des Popelmakers die Checksumme, stellst fest das sie stimmt und installierst das Produkt samt meines Schaedlings.

So wuerde es dann auch mit einer Signaturdatei ablaufen, wobei es gehupft wie gesprungen ist ob du einen kurzen MD5 oder SHA1 Hash zur Ueberpruefung hast oder eine "fette" Signaturdatei.

Deswegen schrieb ich also: Deine Frage macht keinen Sinn!

Wenn Du sicher gehen moechtest, dann musst Du vor dem Download ein MD5 oder SHA1 - Hash Reverselookup machen, dafuer gibt es diverse Anbieter, die Online Hash-Datenbanken zur Verfuegung stellen, wie z.B. Shalla Secure Services, mehr Informationen zur Benutzung unter:
http://md5.shalla.de/cgi-bin/search.cgi

Dieser Service ist kostenlos.

saludos
gnarff
RedFaction
RedFaction 08.07.2007 um 09:45:38 Uhr
Goto Top
Super,

danke für ausführliche Antwort.
Ich denke soweit ist mir das klar geworden.

Ich werde noch etwas researchen und testen.

thx

RedFaction