Checksummen – Integrität und Authentizität von Software prüfen (Linux, macOS, Windows)

Wer ab und an Dateien aus dem Internet herunterlädt und installiert, hofft genau das zu installieren, was der Entwickler bereitgestellt hat. Doch kann eine Entwicklerseite durchaus auch mal angegriffen werden und als Folge die Dateien kompromittiert worden sein. Um das zu verhindern setzt man Checksummen ein. Wie das geht, wie Du selbst einsetzen kannst, zeige ich in diesem Beitrag. Viel Spaß.

Vorbereitung

Zunächst sollten wir uns auf ein gemeinsames Verständnis, worum genau es geht, einigen. Diese Checksummen sind also Prüfsummen. Die Prüfsumme ist wie ein Fingerabdruck und wird mittels eines Algorithmus von der Ursprungsdatei berechnet. Die Prüfsumme ermöglicht es die Integrität von Daten zu prüfen. Beispiel: Ein Entwickler gibt die zu erwartende Prüfsumme seines fertig kompilierten Pakets bekannt. Diese lautet meinetwegen der Einfachheit halber 12345. Lädst Du Dir das Paket herunter und prüfst die Checksumme, dann darf da nur 12345 herauskommen. Kommt ein anderer Wert heraus, solltest Du die Datei keinesfalls installieren oder ausführen.

Es kann Gründe dafür geben. Einerseits sind wir alle Menschen und machen alle mal Fehler. Wenn also der Entwickler an dem Paket etwas verändert, bedeutet das eine andere Prüfsumme. Hat also Paket 1 die Prüfsumme 12345 und das Nachfolger Paket 2 die Prüfsumme 23456 sollte der Entwickler das entsprechend publizieren. Jetzt kann es aber sein, dass er das vergessen hat oder sich zeitlich überschnitten hat. Du lädst also Paket 2 hast aber als Prüfsumme noch die Checksumme aus Paket 1 vom Entwickler angegeben. So kann diese Diskrepanz zustande kommen.

Eine andere, weniger schöne Möglichkeit wäre, dass die Seite des Entwicklers angegriffen wurde und das Paket 1 verändert wurde. Evtl wurde es mit Malware versehen und die veränderte Prüfsumme ist für Dich der Indikator hier misstrauisch zu sein. In solch einem Fall solltest Du unbedingt auf das Ausführen der Datei verzichten.

Egal welche Konstellation zutrifft, Du solltest den Entwickler damit kontaktieren und über die abweichende Prüfsumme informieren. So trägst Du Deinen Teil dazu bei diesem Problem zu lösen.

Du denkst das sind doch alles nur mögliche Gedankenspiele?

Keineswegs. So wurde Beispielshaft die Webseite von Linux Mint im Jahr 2016 angegriffen. Hier wurden die URLs zu den ISO Images verändert, sodass nicht das eigentlich ISO, sondern ein manipuliertes ISO mit Backdoor zum Runterladen angeboten wurde. Das war mehr oder minder ein GAU für Linux Mint. Als Konsequenz wurden verschiedene Verbesserungen vorgenommen, u.a. SHA-256 Prüfsummen publiziert. Die manipulierten Images wären aufgefallen, hätte man die Prüfsummen ordentlich verifizieren können. Mittlerweile bietet Linux Mint die Möglichkeit die Checksumme zu vergleichen und die Integrität und Authentizität zu prüfen.

Also wir haben festgestellt, dass das durchaus seine Berechtigung hat und keineswegs nur etwas für Geeks ist, die dem Tageslicht fernbleiben.

Wie prüfst du die Checksumme?

Wir bleiben am besten beim Beispiel von Linux Mint. Ich habe die aktuelle Version von Linux Mint 20.1 heruntergeladen. Das ISO liegt im Download Ordner. Weiter gibt Linux Mint auf der Download Seite an das ISO zu verifizieren. Das machen wir nun mal Schritt für Schritt im Video.

Falls Du dich für die jüngste Ausgabe von Linux Mint interessierst, dann empfehle ich Dir meinen Testbericht zu Linux Mint 20.1.

Fazit

Die Verifizierung mittels Prüfsumme ist im heutigen Zeitalter ein essentiell wichtiger Schritt im Umfang mit Software. Wenn Du aus einem App Store installierst, kannst Du die Verifizierung eh nicht so durchführen. Folglich ist der übliche Software Distributionsweg bei mobilen Geräten hier erstmal ausgeklammert. Wir sprechen hier zunächst von Software, die Du selbst von der Webseite eines Entwicklers herunterlädst. Nur auf diese Weise kannst Du sicherstellen, dass Dir keine kompromittierte Software untergeschoben wird. Es ist zwar ein kleiner Extraschritt, doch es ist ein lohnenswerter Extraschritt. Ich würde Dir also stets dazu raten mit den Prüfsummen zu arbeiten wo es nur geht.

Wenn Dir das Video gefallen hat, nimm Dir gerne ein Kanal Abo mit. Ein Klick auf den Daumen hoch hilft meinem Video besser zu ranken und die Glocke informiert Dich sofort, wenn ich neues Material hier auf dem Kanal veröffentliche. Ihr könnt mir auch gerne auf Mastodon und auf Twitter folgen. RSS Feeds bietet mein Blog auch an. Die Entscheidung liegt also bei Euch. Neu hinzugekommen sind übrigens meine Podcasts, die Ihr über verschiedene Kanäle wie z.B. Spotify, iTunes Podcast, Amazon Prime Music, YouTube oder auf meinem Blog abrufen könnt.

Besten Dank für die freundliche Aufmerksamkeit. Macht es gut, passt auf Euch auf und bis zum nächsten Video auf meinem Kanal. Tschüss.

Das zu diesem Artikel korrespondierende Video kann auf meinem YouTube Kanal hier angeschaut werden.

Folgt mir gerne auch auf:

Um unabhängig von großen Plattformen zu sein, benötige ich Deine Unterstützung. Dies geht via:

Alle Details zu hier.

Du möchtest mehr über Linux lernen?

Hinweise:

  • Als Amazon-Partner verdiene ich an qualifizierten Verkäufen
  • Ich besitze eine legale Lizenz von Final Cut Pro X, die die kommerzielle Verwendung von lizenzfreien Inhalten in FCP abdeckt
  • Die Beiträge von MichlFranken stellen grundsätzlich eine unverbindliche Demo dar. Nachstellung auf eigene Gefahr. Es können bei unsachgemäßer Nachstellung negative Folgeeffekte wie z.B. Datenverlust oder Systemausfälle auftreten. Jede Form der Gewährleistung ausgeschlossen. Im Zweifelsfall bitte eine virtuelle Maschine aufsetzen und testen aber nicht auf einem produktiven System nachstellen.

2 Kommentare

  1. Wobei ein Angreifer, der die Datei auf dem ftp verändern bzw. ersetzen kann, doch dann vermutlich auch spielend leicht den angezeigten hash bzw checksum ändern kann, oder nicht?

    Schutz wäre in dem Fall doch dann eigentlich nur gegeben, wenn Datei und Checksum auf unterschiedlichen Servern liegen. Oder sehe ich das falsch?

  2. Theoretisch ja aber auch der zweite Server könnte ja angegriffen werden. Die Frage ist immer so fängt es an und wo hört es auf vernünftig zu sein. 😉

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


Alle Kommentare werden moderiert. bitte beachtet die Regeln. Vielen Dank!