This forum uses cookies
This forum makes use of cookies to store your login information if you are registered, and your last visit if you are not. Cookies are small text documents stored on your computer; the cookies set by this forum can only be used on this website and pose no security risk. Cookies on this forum also track the specific topics you have read and when you last read them. Please confirm whether you accept or reject these cookies being set.

A cookie will be stored in your browser regardless of choice to prevent you being asked this question again. You will be able to change your cookie settings at any time using the link in the footer.

Download Überprüfen mittels SHA Checksum auf Windows
#1
Download Überprüfen mittels SHA Checksum auf Windows

Was Linux mit Bordmitteln kann muss man Windows erst beibringen: Downloads auf Echtheit und Authentizität überprüfen.
dazu verwenden wir das freie Tool: "MD5 & SHA Checksum Utility"
Grundlagen zur Verwendung erfahrt ihr hier.

Installation MD5 & SHA Checksum Utility 2.1 unter Windows

 
Das Tool dient dazu die Echtheit angebotener Downloads zu überprüfen.
So wird verhindert das manipulierte Software zur Installation untergejubelt wird.
Dies ist wichtig weil Opensource Quelltexte immer frei zu haben sind, und prinzipiell jeder die verändern und Compilieren kann. 
Dabei kann natürlich auch Schadsoftware untergejublet weden.
Aus gleichem Grunde niemals Software von anderen Seiten als der original Projektseite laden!
 

Grundlagen:
Was ist ein Hash?
Unter Hash versteht man eine Prüfsumme.
Die Erzeugung der Prüfsumme erfolgt mittes Algorythmen die cryptografisch gehärtet und geprüft sind.
An diese Prüfsumme werden Anforderungen gestellt, das sie nicht manipulierbar ist, und selbst bei kleiner Manipulation an der zu prüfenden Datei eine große Änderung an der Prüfsumme erzeugt.

 
Simples Beispiel aus dem Alltag: 
Wenn man einen Zahl betrachtet kann sie gerade oder ungerade sein.
Ob sie gerade oder ungerade sei, wäre ein simpelster HASH Mechanismus. Natürlich ohne jegliche Sicherheit.

Dennoch ein gutes Beispiel weil es zeigt das mehrere Zahlen den gleichen Hashwert erzeugen können. 
Dies ist auch bei hochwertigen Kryptoverfahren möglich, allerdings nicht sehr wahrscheinlich. 
Sobald jemand ein Verfahren entwickelt gleiche Hashwerte gezielt "passend" aus anderen Daten zu erzeugen, gilt dieses Verfahren als verbrannt, und ist nicht mehr einzusetzten.

Von dem im MD5&SHA Checksum Utiity erzeugten Hashwerten gelten MD5 und SHA1 als verbrannt, und sind nicht mehr zu verwenden.
Als zuverlässig gilt aktuell (noch) SHA-256. Als noch lange zuverlässig gilt SHA512. Aber das kann sich jederzeit ändern.
Da sich jeder Hack nur auf ein Verfahren spezialisiert, also mit einer falschen Datei den gleichen Haswert gezielt erzeugt, sollte man stets 2 Verfahren kombinieren wenn es wirklich um wichtige Daten geht.

In der Praxis bedeutet das sowohl den SHA256 als auch den SHA512 Wert zu überprüfen. 
Stimmen beide so kann blind auf die Echtheit und Unverändertheit vertraut werden.


Download:
Zunächst wird das Tool von dieser Original Projektseite heruntergeladen.

https://raylin.wordpress.com/downloads/m...m-utility/

Aktuell (09.2021) ist die Version 2.1 verfügbar.
Es gibt eine kostenlose und eine Profi Version. Für unsere Belange genügt die freie Version. Spenden sind natürlich fair!
 
Auf der Webseite findet sich im unternen Bereich die Checksummen für das Tool selber:
Diese kopieren wir uns für den ersten Test, und die Verifizierung ob das Checksum Utility unverändert original ist.

Checksums for MD5 & SHA Checksum Utility 2.1 (Free)
MD5 Checksum: 2D423B85E6684956B817E6C7E36BE3DC
SHA-1 Checksum: 4B70B5213249014C3785460720B81B5F9BEABEC3
SHA-256 Checksum: D3D6F3597AEBA37312F61E59BA465E57B19140CC9A4517C7F9C49461F1D0A4BB
SHA-512 Checksum (double-click below in order to select and copy full checksum): 53914AFA0E66C50BBD12D9FFB7833FD5094FA10735D8700BFF9CD87C2A7EB478D6715B34EAE4F53652F0E48EC3526C51C431C08ACF4EC70E8DD5FCD5FA84C129
 
Ich habe zur einfachen Überprüfung unten den jeweiligen Schlüssel rot gefärbt. Die grünen Teile werden unten NICHT mit eingegeben.

Zum Download (grüner Buton in der "Free" Spalte der Tabelle) werden wir dann auf diese Seite weitergeleitet:

https://download.cnet.com/MD5-SHA-Checks...11445.html[url=https://download.cnet.com/MD5-SHA-Checksum-Utility/3000-2092_4-10911445.html][/url]

 
Installation:

Das Tool selber braucht keine Installation, es wird nur direkt aufgerufen. Aber für die Lauffähigkeit ist ein  .Net3.5 auf dem Rechner erforderlich. 
Meist befindet sich dieses bereits auf dem Rechner, ansonsten bietet das Tool beim Aufruf eine Unterstützung zum download und Installation von .NET3.5.

   

In dem Falle "Feature herunterladen" anklicken und warten bis die Installation des .Net Frameworks 3.5 erfolgreich abgeschlossen wurde. 
Dieses Fenster dann mit Schliessen beenden.
Nun öffnet das MD5 & SHA Checksum Utility 2.1 sofort bei jedem Doppelklick darauf.


 
Funktionsweise und Bedienung:
 
Es gibt 2 Funktionen:
 
1. Hashes generieren um sie anderen zukommen zu lassen, damit diese die Authentizität eienr Datei verifizieren können.

2. Überprüfung der Authentizität mittels vorliegender Hashes und Datei.

Wir nutzen meist nur Funktion2.

Aufgabe des Tools ist es von dem erfolgten Download Prüfsummen zu generieren , und diese mit der auf der Projektseite angegebenen Prüfsumme zu vergleichen.

Dazu wird per Darg und Drop die zu prüfende Software auf das Fenster des Checksum Utilities gezogen.


   

Wir machen das mit dem MD5 & SHA Checksum Utility 2.1 selber um im Nachhinein die Echtheit des Downlaods zu überprüfen.
(linksklick auf das Programm .dann ziehen über das Fesnter des MD5 & SHA Checksum Utilities, und die Maustaste loslassen)
 

Folgende Anzeige erscheint:

   

was frei bleibt ist die letzte Zeile.
In diese kopieren wir von der Original Webseite eine der Checksummen ( die ich oben rot gepostet habe).

Oder wenn wir es genau wollen nacheiander SHA 512 und SHA 256

Ich habe zunächst die SHA512 genommen. Ziehe sie in das unterste Fenster und drücke auf Verify.
Das Tool erkennt automatisch was es prüfen soll und gibt eine Erfolgsmeldung aus wenn beide Summen übereinstimmen.

   

Stimmen beide Prüfsummen nicht überein erfolgt folgende Anzeige:

   

In diesem Falle Finger weg von dem Download!
 
Tron
Zitieren


Gehe zu:


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste