Abend,

Ich bin mir immer noch nicht sicher, welches Tool zur Prüfsummen-Bestimmung und -Abgleich das Beste und/oder Sicherste ist. Daher bin ich neugierig, was ihr so alles an Tools verwendet:)

Ich nutze seit ein paar Jahren stets ExactFile (https://www.exactfile.com) (1.00.15 Beta - im Grunde genommen ist diese Version schon seit fast 10 Jahren quasi die "Final" (https://www.exactfile.com/blog/) :ugly:), weil es eine große Zahl an Algorithmen anbietet (darunter auch SHA256, 384, 512). Das ist besonders dann von Vorteil, wenn der Anbieter einer Datei dessen Prüfsumme nur in einem einzigen Algorithmus oder nur in bestimmten Algorithmen anbietet - man aber zusätzlich auch Prüfsummen mit stabileren Algorithmen (256 oder höher) von der Datei errechnen will.

Und ihr?

R2

HashTab (http://implbits.com/products/hashtab/)

HashTab (http://implbits.com/products/hashtab/)

Nettes Tool - hab's gleich mal ausprobiert. Unterstützt sogar noch mehr Algorithmen als ExactFile:up:

Allerdings ist es sehr lästig, dass man bei den stärkeren Algos (bes. 512, aber auch schon ab 256), die eine sehr lange Kette erzeugen, nicht gleich die ganze Prüfsumme sehen kann, sondern von links nach rechts scrollen muss - man kann in keinem Fall die ganze Kette sehen, weil man das Dateieigenschaften-Fenster nicht verbreitern oder vergrößern kann:down:

Kann man HashTab auch als eigenständiges Program bzw. in eigenem Fenster starten oder geht es doch nur über die Shell?

Besteht eigentlich die Möglichkeit (sei es nur theoretisch), dass das PS-Tool selbst manipuliert werden kann, so dass es gefälschte PS von geprüften Dateien oder auch nur von bestimmten Dateien erzeugt oder ist das absurd? :|

R2

Bei Windows: Hat Windows 10 das nicht mittlerweile eingebaut? Ich bin mir relativ sicher, dass ich das schon einmal benutzt habe. Ansonsten was auch immer was Windows Subsystem for Linux bzw. die Ubuntu-Installation so mitbringt.

Bei anderen: Was auch immer vorinstalliert ist (shaXsum).

Der Totalcommander kann das auch schon seit Ewigkeiten.

Bei Windows: Hat Windows 10 das nicht mittlerweile eingebaut? Ich bin mir relativ sicher, dass ich das schon einmal benutzt habe.

Es geht ja nicht darum, ob ein OS von Haus aus eine PS-Funktion anbietet oder nicht, sondern um das Featureset des PS-Tools (oder meinetwegen des OS) - welche Algorithmen werden angeboten und vor allem wieviele verschiedene Algorithmen werden angeboten und am Wichtigsten: werden auch besonders stabile Algorithmen (256, 384, 512) und neue Algorithmen (z.B. SHA3) angeboten? Ich glaube nicht, dass Windows sämtliche oder auch nur alle wichtigen (besonders stabilen) Algorithmen anbietet...;)


Ansonsten was auch immer was Windows Subsystem for Linux bzw. die Ubuntu-Installation so mitbringt.

Ich nehme mal an, dass die Kommandozeile bei sämtlichen Linux-Distributionen auf die gleiche Art und Weise funktioniert, da sie ja alle auf dem selben Grund-Kernel (Linux-Kernel) basieren.

Deswegen will ich gleich zur Sache kommen: hat Linux von Haus aus ein Standard-Tool zur PS-Berechnung (unabhängig von der Distro) oder kann man alternativ einen Befehl/Programm* in der Kommandozeile verwenden, um PS von Datei(en) zu errechnen? Auch hier ist wieder entscheidend, wieviele und welche Algorithmen angeboten werden!

* = "fdisk" ist z.B. ein Standardbefehl/-Programm zum Partitionieren & Formatieren, den sicherlich JEDE Linux-Distro zur Verfügung hat;)


Bei anderen: Was auch immer vorinstalliert ist (shaXsum).

:confused:

Achja, auf diese Fragestellung erhoffe ich mir immer noch eine Antwort: ;)


Besteht eigentlich die Möglichkeit (sei es nur theoretisch), dass das PS-Tool selbst manipuliert werden kann, so dass es in Zukunft gefälschte PS von geprüften Dateien oder auch nur von bestimmten Dateien erzeugt oder ist das absurd? :|

R2

Es geht ja nicht darum, ob ein OS von Haus aus eine PS-Funktion anbietet oder nicht, sondern um das Featureset des PS-Tools (oder meinetwegen des OS) - welche Algorithmen werden angeboten und vor allem wieviele verschiedene Algorithmen werden angeboten und am Wichtigsten: werden auch besonders stabile Algorithmen (256, 384, 512) und neue Algorithmen (z.B. SHA3) angeboten? Ich glaube nicht, dass Windows sämtliche oder auch nur alle wichtigen (besonders stabilen) Algorithmen anbietet...;)

Also SHA-2 kann heute jedes OS. Alles abseits davon ist selten für normale Nutzer zum manuellen Vergleichen notwendig.

Ich nehme mal an, dass die Kommandozeile bei sämtlichen Linux-Distributionen auf die gleiche Art und Weise funktioniert, da sie ja alle auf dem selben Grund-Kernel (Linux-Kernel) basieren.

Der Kernel spielt dafür praktisch keine Rolle. Solche Tools für CLIs finden sich normalerweise in den Coreutils. Ob das jetzt BSD, GNU oder andere sind, macht dabei nicht so den großen Unterschied.

Deswegen will ich gleich zur Sache kommen: hat Linux von Haus aus ein Standard-Tool zur PS-Berechnung (unabhängig von der Distro) oder kann man alternativ einen Befehl/Programm* in der Kommandozeile verwenden, um PS von Datei(en) zu errechnen? Auch hier ist wieder entscheidend, wieviele und welche Algorithmen angeboten werden!

Also wie gesagt, abseits von SHA-2 wirst du für Prüfsummen nicht viel brauchen.

:confused:

Ich meinte damit alle Varianten von shasum. Bei einem offenen Terminal mit CentOS 7 sind das bei mir gerade:

sha1sum sha224sum sha256sum sha384sum sha512sum shasum

Ich weiß gerade nicht, was OpenSSL alles unterstützt. Wahrscheinlich ein paar mehr Algorithmen, aber gebraucht habe ich es für so etwas nie.

Vielleicht braucht man noch irgendwann einmal SHA-1, aber ansonsten benutzt man heute eigentlich nur SHA-2. Es gibt auch keinen wirklichen Grund oder Druck auf SHA-3 oder Blake zu wechseln, von daher wird das auch sehr lange so bleiben.

Vielleicht benutzen einige Protokolle diese Algorithmen, aber damit kommst du als normaler Anwender sehr selten direkt in Kontakt.

Achja, auf diese Fragestellung erhoffe ich mir immer noch eine Antwort: ;)

Ich mein, ja? Wenn du der Software nicht trauen kannst oder trauen willst, dann musst du wahrscheinlich davon ausgehen, dass auch der Output modifiziert sein kann. Davon wirst du aber bei jeder Software ausgehen müssen, der du nicht traust.

Also SHA-2 kann heute jedes OS. Alles abseits davon ist selten für normale Nutzer zum manuellen Vergleichen notwendig.

Auch Windows 7 ? Die .CAB-Dateien von einzelnen Win7-Updates enthalten auch die SHA1-Summen als Endungen in ihren Dateinamen (also nicht die Dateiendung, sondern eine Endung im Dateinamen;)) und ich habe immer wieder im Netz gelesen, dass SHA1 nicht sicher genug ist - es gab auch erst kürzlich eine News-Meldung bei Heise dazu, dass M$ ebendeswegen Updates für Win7 ab März 2019 auf SHA2 umstellen will.

Dass Win7 nativ SHA2-Summen errechnen kann (mit welchem Programm/Befehl?), wäre mir jetzt neu aber ich lasse mich gerne positiv überraschen:)


Also wie gesagt, abseits von SHA-2 wirst du für Prüfsummen nicht viel brauchen.

Und SHA2 ist 256Bit, also SHA2-256... oder gibt's da noch andere Unterschiede zu SHA1?


Vielleicht braucht man noch irgendwann einmal SHA-1, aber ansonsten benutzt man heute eigentlich nur SHA-2.

Ebendas meinte ich mit dem Featureset - wenn für eine Datei nur SHA1- oder gar MD5 oder CRC-Prüfsummen angeboten werden, dann nützt es mir herzlich wenig, wenn mein OS oder mein PS-Tool SHA2 beherrscht, aber ebengenannte Algorithmen nicht errechnen oder auslesen kann...

Aber ich schätze, du meintest das so, dass heutige Betriebssysteme und Tools SHA2 zusätzlich zu CRC, MD5 & SHA1 beherrschen;) In dem Fall wäre man ausreichend gut ausgestattet, ja.


Ich mein, ja? Wenn du der Software nicht trauen kannst oder trauen willst, dann musst du wahrscheinlich davon ausgehen, dass auch der Output modifiziert sein kann. Davon wirst du aber bei jeder Software ausgehen müssen, der du nicht traust.

Meine Vorgehensweise ist halt, zuerst rational das Unmögliche zu eliminieren bis nur noch das Mögliche übrigbleibt und ausgehend davon zu beurteilen, was möglich und unmöglich ist.

Meine persönliche Vermutung ist, dass das wenigstens beim PS-Tool selber nicht möglich ist, weil die Werte ja errechnet werden müssen und die Mathematik sich nicht fälschen/manipulieren lässt.

Zum Fettgedruckten: Das ist ja das Problem - solange ich die Möglichkeit(en) einer Manipulation nicht rational ausschließen kann (= "das Unmögliche eliminieren"), betrachte ich Alles was ich aus dem Internet herunterlade, als manipuliert! (sei es auch nur das belangloseste Thema von allen - etwa eine Klatsch-und-Tratsch Newsmeldung, dass Promi A mit Promi B eine Affäre habe oder dass Promi C die Titten gezeigt hat... wobei es in diesen Fällen gar nichts zum Runterladen sondern nur was zum Lesen/Betrachten gäbe...)

R2

7-Zip :F (kann leider kein md5 :x)

Auch Windows 7 ? Die .CAB-Dateien von einzelnen Win7-Updates enthalten auch die SHA1-Summen als Endungen in ihren Dateinamen (also nicht die Dateiendung, sondern eine Endung im Dateinamen;)) und ich habe immer wieder im Netz gelesen, dass SHA1 nicht sicher genug ist - es gab auch erst kürzlich eine News-Meldung bei Heise dazu, dass M$ ebendeswegen Updates für Win7 ab März 2019 auf SHA2 umstellen will.

Kommt auf die Konstruktion an. SHA-1 ist nicht mehr sicher, aber HMAC-SHA1 ist es bei z.B. TLS noch immer.

Dass Win7 nativ SHA2-Summen errechnen kann (mit welchem Programm/Befehl?), wäre mir jetzt neu aber ich lasse mich gerne positiv überraschen:)

Die Lösung ist in so einem Fall auf Windows 10 zu upgraden.

Und SHA2 ist 256Bit, also SHA2-256... oder gibt's da noch andere Unterschiede zu SHA1?

SHA-2 umfasst mehrere Hashfunktionen. Viel mehr als dass SHA-2 (in welcher Form auch immer) in Ordnung für einfache Prüfsummen ist, muss man eigentlich so direkt auch erst einmal nicht wissen.

Ebendas meinte ich mit dem Featureset - wenn für eine Datei nur SHA1- oder gar MD5 oder CRC-Prüfsummen angeboten werden, dann nützt es mir herzlich wenig, wenn mein OS oder mein PS-Tool SHA2 beherrscht, aber ebengenannte Algorithmen nicht errechnen oder auslesen kann...

Dann kann man noch immer mit OpenSSL und 2min googlen die richtigen Parameter aus dem Hut zaubern. Um OpenSSL kommt man nicht herum, wenn man wirklich alles zur Hand haben will.

Ansonsten werden bei Software-Verteilungen im großen Stil sowieso entsprechende Signaturen benutzt. Je nach Art der Software werden die von deinem OS automatisch validiert (z.B. bei Windows-Treibern) oder wie bei den meisten Linux-Distributionen über ein Web of Trust mithilfe von GPG umgesetzt. Andere Projekte schreiben dafür teilweise ihre eigenen Tools wie z.B. OpenBSD mit signify. Microsoft hat für die Windows-Updates z.B. auch eine komplette Eigenentwicklung.

Aber ich schätze, du meintest das so, dass heutige Betriebssysteme und Tools SHA2 zusätzlich zu CRC, MD5 & SHA1 beherrschen;) In dem Fall wäre man ausreichend gut ausgestattet, ja.

Mir fällt jedenfalls kein modernes Betriebssystem ein, das kein SHA-2 kann. Windows 7 einmal ausgenommen, weil es in ein paar Monaten sowieso ausläuft und man dann ein paar mehr Sicherheitsprobleme hat als dass es kein SHA-2 nativ kann.

Zum Fettgedruckten: Das ist ja das Problem - solange ich die Möglichkeit(en) einer Manipulation nicht rational ausschließen kann (= "das Unmögliche eliminieren"), betrachte ich Alles was ich aus dem Internet herunterlade, als manipuliert! (sei es auch nur das belangloseste Thema von allen - etwa eine Klatsch-und-Tratsch Newsmeldung, dass Promi A mit Promi B eine Affäre habe oder dass Promi C die Titten gezeigt hat... wobei es in diesen Fällen gar nichts zum Runterladen sondern nur was zum Lesen/Betrachten gäbe...)

Du vermischst damit verschiedene Sachen, wem du traust und wem nicht. TLS liefert dir im Internet einen sicheren Kanal zwischen deinem Rechner und z.B. einer Webseite. Das sagt aber natürlich nichts über die Vertrauenswürdigkeit einer Webseite aus.

Dich könnte in dem Zusammenhang das Threat Model von TLS interessieren: https://tools.ietf.org/html/rfc5246#appendix-F

Das hier ist auch eine gute Zusammenfassung über Sicherheit in Netzwerken: http://intronetworks.cs.luc.edu/current/html/security.html#cryptographic-goals

SHA-2 umfasst mehrere Hashfunktionen. Viel mehr als dass SHA-2 (in welcher Form auch immer) in Ordnung für einfache Prüfsummen ist, muss man eigentlich so direkt auch erst einmal nicht wissen.

In dem 2. Link in deinem letzten Posting wurde das detaillierter erläutert; SHA1 ist definitiv zu schwach - SHA2 geht immerhin von 224 bis 512Bit, wobei ich persönlich auch 224 als zu wenig empfinde... 256 sollten's schon (mindestens) sein...


Dann kann man noch immer mit OpenSSL und 2min googlen die richtigen Parameter aus dem Hut zaubern. Um OpenSSL kommt man nicht herum, wenn man wirklich alles zur Hand haben will.

Was hat OpenSSL jetzt (direkt) mit Prüfsummen zu tun? :confused:

Natürlich brauchen auch Verbindungen Prüfsummen zur Integritätsprüfung, aber Prüfsummen lassen sich allgemein auf Alles anwenden - eben auch Dateien. OpenSSL behandelt, so wie ich den Namen verstanden habe, nur Verbindungen;)

Und ich dachte, SSL wird gar nicht mehr verwendet und wurde von TLS abgelöst, weil es nicht (mehr) sicher ist? Oder handelt es sich hier um zwei verschiedene Dinge? :confused:


Ansonsten werden bei Software-Verteilungen im großen Stil sowieso entsprechende Signaturen benutzt. Je nach Art der Software werden die von deinem OS automatisch validiert (z.B. bei Windows-Treibern) oder wie bei den meisten Linux-Distributionen über ein Web of Trust mithilfe von GPG umgesetzt.

Wie soll das denn gehen? Das OS muss die Signaturen/Zertifikate ja erstmal irgendwo herunterladen, um damit einen Signaturabgleich machen bzw. die Authentizität der Prüfsummen bestätigen zu können - und die heruntergeladenen Sigs/Certs könnten gefälscht sein, wenn die Webseite/Webserver/Absender selber kompromittiert ist oder eine dritte Partie sonstwie mit dem Absender interferiert...

Sorry, falls meine Ausführungen dir naiv oder gar laienhaft vorkommen - in der Tat blicke ich kaum über dieses Thema durch... manche Begriffe kommen mir immer noch rätselhaft vor:redface:


Du vermischst damit verschiedene Sachen, wem du traust und wem nicht. TLS liefert dir im Internet einen sicheren Kanal zwischen deinem Rechner und z.B. einer Webseite. Das sagt aber natürlich nichts über die Vertrauenswürdigkeit einer Webseite aus.

Dich könnte in dem Zusammenhang das Threat Model von TLS interessieren: https://tools.ietf.org/html/rfc5246#appendix-F

Das hier ist auch eine gute Zusammenfassung über Sicherheit in Netzwerken: http://intronetworks.cs.luc.edu/current/html/security.html#cryptographic-goals

Ich habe beide Artikel gelesen - aber nur zum Teil; insbesondere der Text im 1. Link ist sehr lang. Das werde ich wohl in mehreren Stücken durchkauen müssen - in einem Zug werde ich das wohl nicht schaffen, zumal ich den Text bzw. Sachverhalt ja auch verstehen soll;)

Aber dieses Thema sollten wir sowieso besser hier (https://www.forum-3dcenter.org/vbulletin/showthread.php?t=543430) fortsetzen, weil es auch in diesem Thread eigentlich letztendlich um Dasselbe (Sichere Downloads und Datenintegrität) geht. Aber wenigstens zum Fettgedruckten will ich dich auf einen Umstand aufmerksam machen:

https://www.forum-3dcenter.org/vbulletin/showpost.php?p=9824385&postcount=10 (ist aus demselben Thread, den ich in meinem letzten Absatz verlinkt habe)

Ansonsten können wir die Diskussion in besagtem Thread weiterführen - dieser Thread ist nicht geeignet dafür, da es hier "nur" um Prüfsummen geht;)

R2

Was hat OpenSSL jetzt (direkt) mit Prüfsummen zu tun? :confused:

Natürlich brauchen auch Verbindungen Prüfsummen zur Integritätsprüfung, aber Prüfsummen lassen sich allgemein auf Alles anwenden - eben auch Dateien. OpenSSL behandelt, so wie ich den Namen verstanden habe, nur Verbindungen;)

Und ich dachte, SSL wird gar nicht mehr verwendet und wurde von TLS abgelöst, weil es nicht (mehr) sicher ist? Oder handelt es sich hier um zwei verschiedene Dinge? :confused:



Mittels des "openssl dgst" Befehls kannst du damit SHA1 & Co für Dateien berechnen.
Halt alles was die Library augrund von SSL/TLS eben unterstützen muss.

Und ja TLS ist der Nachfolger. Aber oft wird halt noch der alte Name SSL einfach weitergenutzt.

In dem 2. Link in deinem letzten Posting wurde das detaillierter erläutert; SHA1 ist definitiv zu schwach - SHA2 geht immerhin von 224 bis 512Bit, wobei ich persönlich auch 224 als zu wenig empfinde... 256 sollten's schon (mindestens) sein...

Kommt drauf an wie und in welchem Kontext man es benutzt.

SHA-224 wird sowieso praktisch nirgendwo benutzt.

Häng dich auch nicht zu sehr an der Länge auf. Praktisch keine modernen Angriffe gehen direkt gegen die Algorithmen, sondern nutzen Schwächen oder Implementierungsfehler der Software aus.

Wie soll das denn gehen? Das OS muss die Signaturen/Zertifikate ja erstmal irgendwo herunterladen, um damit einen Signaturabgleich machen bzw. die Authentizität der Prüfsummen bestätigen zu können - und die heruntergeladenen Sigs/Certs könnten gefälscht sein, wenn die Webseite/Webserver/Absender selber kompromittiert ist oder eine dritte Partie sonstwie mit dem Absender interferiert...

Dein Betriebssystem kommt zusammen mit haufenweise Root-Zertifikaten. Unter anderem natürlich auch von Microsoft.

Ich habe beide Artikel gelesen - aber nur zum Teil; insbesondere der Text im 1. Link ist sehr lang. Das werde ich wohl in mehreren Stücken durchkauen müssen - in einem Zug werde ich das wohl nicht schaffen, zumal ich den Text bzw. Sachverhalt ja auch verstehen soll;)

Der zweite Link ist wahrscheinlich auch interessanter. Da werden die wichtigsten Konzepte und Algorithmen ziemlich gut und kompakt erklärt.

@R2:
Warum fragst du nach dem sichersten Tool? Worum geht es dir? Wenn es nur darum geht einen Download zu verifizieren sind die alle sicher genug.

HashTab (http://implbits.com/products/hashtab/)+1

Bei Windows: Hat Windows 10 das nicht mittlerweile eingebaut? Ich bin mir relativ sicher, dass ich das schon einmal benutzt habe.Wenn es im Eigenschaften-Menü der Datei war, war es HashTab. ;)

MfG
Rooter

Wenn es im Eigenschaften-Menü der Datei war, war es HashTab. ;)

Das hier war es, glaub ich: https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.utility/get-filehash?view=powershell-6

Das hier war es, glaub ich: https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.utility/get-filehash?view=powershell-6

Genau das wollte ich hier im Thread auch empfehlen - also PowerShell 6, die altbekannte MS-Shell. Das Besondere an PowerShell ist allerdings, dass sie seit Version 6 Open-Source und sogar Cross-Plattform ist! Ein sehr toller und kluger Schritt von MS! :up:

Damit kann man auch Prüfsummen mit den verschiedensten Algorithmen berechnen - und weil es OpenSource ist, lässt sich da auch kein Schadcode verstecken!

R2