SHA-256 Checksumme – Download prüfen
In meinem SHA-256 Checksumme Download prüfen Artikel möchte ich euch etwas über Sicherheit lehren. Falls ihr das noch nicht kennt und so eine SHA-256 noch nicht geprüft habt, dann solltet ihr den Artikel unbedingt lesen und idealerweise auch gleich mit euren Freunden teilen.
SHA-256 Checksumme Download prüfen
Das größte Problem und Einfallstor von Schadsoftware in modernen Betriebssystemen ist immer noch der User. Jeder der mit einem Rechner arbeitet kann Schadsoftware installieren, das passiert unbewusst und kann auch geübten Usern passieren. Generell sollten man Software nur von vertrauenswürdigen Quellen installieren, diese erkennt man in der Regel dadurch, dass sie eine so genannte SHA-256 Checksumme beim Download anzeigen. Was ist das und wofür brauche ich das?
SHA-256
Eine SHA-256 Checksumme ist eine 256 Zeichen lange Kette aus Zahlen und Buchstaben die durch eine Formel aus einer Menge an Daten entsteht. Das funktioniert im Prinzip wie der Rest bei einer Division. Für die selbe Zahlen wäre der Rest immer gleich, ebenso die SHA-256 Checksumme für die selben Daten. Eine Prüfsumme einer Datei muss immer gleich sein, außer es hat sich etwas an den Daten geändert. Dadurch, dass der SHA-256 Algorithmus eine so lange Zahl generiert ist es unmöglich Software manuell so zu verändern, dass die selbe Checksumme entsteht.
Im Prinzip heißt das: ist die Checksumme die selbe der heruntergeladenen Datei wie jene die beim Download angegeben wurde, dann hat man die korrekte Datei heruntergeladen.
Wozu braucht man das?
Meist liegt Software nicht am selben Server wie eine Homepage. Sofern ein Hacker ein Installationsprogramm oder ein Archiv einer Software mit seiner Schadsoftware verändert hat kann er diese auf dem Fileserver einer Firma austauschen. Das ist zwar nicht oft der Fall, aber auch bei namhaften Hersteller durchaus möglich (beispielsweise Linux Mint). Sofern also ein Hacker nicht auch die Webseite und die Checksumme (was auffallen würde) verändert, kann man durch diese feststellen, ob es die korrekte Datei war.
Neben diesem Sicherheitsaspekt beweist eine korrekte Checksumme auch, dass die heruntergeladene Datei Bit für Bit mit jener des Erstellers der Software identisch ist. Man kann also Übertragungsfehler ausschließen.
Wie prüft man eine SHA-256 Checksumme
Unter Linux ist die Überprüfung denkbar einfach. Man bildet mit dem sha256sum Programm die Prüfsumme einer beliebigen Datei:
sha256sum Dateiname
Unter Windows funktioniert das ähnlich einfach über die Eingabeaufforderung in der man wie folgt prüft:
sha256sum.exe Dateiname
Als Ergebnis erhält man eben diese Summe. Es reicht, wenn man die ersten paar und die letzten paar Zeichen mit jenen der Webseite vergleicht. Ein Fehler eines einzigen Bits würde sofort zu einer komplett anderen Prüfsumme führen, bei der fast alle Zeichen anders sind.
Wo wird das noch verwendet
Ähnliche Methoden werden auch in Peer-to-Peer Netzwerken verwendet. Dabei lädt man eine Datei über Torrents von zahlreichen Quellen. Nur durch die selbe Checksumme ist gewährleistet, dass man auch überall die selbe Datei lädt und das Ergebnis nicht ein Hybrid aus unterschiedlichen Dateien ist. Somit ist auch bei Downloads unsicherer Quellen sichergestellt, dass die Datei die originale ist und nicht nachträglich durch einen Virus verändert wurde.
Fazit
Eine SHA-256 Checksumme garantiert einen korrekten Download. Checksummen werden nicht umsonst angeboten, es macht Sinn sich vor der Installation eines Programms die Checksumme anzusehen. Besonders dann, wenn die Installation dann noch Administrationsrechte auf dem eigenen System verlangt.
Danke für diese Anleitung.
IT Profis sind nahezu alle nicht in der Lage, mir, als einer mittelmäßig erfahrenen Nutzerin, verständlich etwas anzuleiten…:/
Die Prüfsummenberechnung unter Windows für eine Linux-Mint.iso kann ich nach dieser Anleitung nicht! durchführen:
1. sha256sum befindet sich nirgends in der Iso Datei, die ich von der Uni Erlangen Nürnberg downloadete!
2. Unter Windows (Commander???, Powershell???) bringt der Befehl: „sha256sum.exe Dateiname“ nix.
2a. Uns Laien wird nicht deutlich, welcher Dateiname in diesem Befehl rein sollte
2b. Wird nicht deutlicher, welche Prüfsummen-Datei mit welcher Prüfsummen-Datei vergleichen werden sollen.
Kurzum: Klischee Nerd spricht andere Sprache, setzt ungewiss viel Vorwissen voraus, dies gilt leider bis zur Verzweiflung, wenn Normalo mit Abi tagelang versucht versucht, ein sicheres Linux zu installieren.
Das schreibe ich in aller Sachlichkeit.
Irgendwie glaube ich, dass ihr nicht an Laien lehren könnt, wie eine Köchin ihren Lehrlingen die Rezepte zeigt oder ein Tischler die Aufbauanleitung..
Es ist mir unbegreiflich!
Danke!
Hallo, zuerst einmal zu deinen Fragen:
1: sha256sum ist ein Linux Programm (https://linux.die.net/man/1/sha256sum), welches man im installierten System in irgend einem der üblichen bin Verzeichnisse findet. Man kann es über die Shell einfach so aus jedem Verzeichnis aufrufen, weil die Shell bestimmte Standardverzeichnisse als Suchpfade eingetragen hat.
2: unter Windows kann man das Programm sha256sum.exe über die CMD oder Powershell ausführen, man muss dieses aber zuerst installieren. Soweit mir bekannt ist das bei Windows nicht standardmäßig dabei.
2a: natürlich der Dateiname von der man die Checksumme errechnen will
2b: es wird nichts verglichen. Man erhält lediglich zu einer angegebenen Datei einen SHA256 String. Vergleichen muss man diesen String mit jenem auf der Webseite mit dem Download.
Ich denke die meisten meiner Artikel sprechen Anfänger/Fortgeschrittene an. Aufgrund des Umfangs ist es nicht immer möglich in jedem einzelnen Artikel alles detailliert anzugeben. Da müsste ich dann auch jedes mal beschreiben was ein Ordner ist, was Doppelklick heißt usw… Checksummen sind schon ein Thema für Fortgeschritte, ich denke da darf man schon etwas mit IT Fachbegriffen beschreiben und davon ausgehen, dass es verstanden wird.
Du hast übrigens recht, dass man Laien solche Themen nicht einfach lehren kann. Das liegt am Beispiel SHA-256 Checksumme an folgendem: wenn man gar keine Ahnung hat, muss man erklären was Dateien sind und diese gespeichert werden. Das impliziert Verständnis des Binärsystems. Danach muss man wissen was SHA ist und wie man einen SHA256 Hash aus einer Folge aus Binärzeichen erzeugt. Dazu ist auch jede Menge Mathematik und dahingehend wohl einige Exkurse nötig. Danach geht es aber erst um die Verwendung der Software, das ganze Multipliziert mit den Systemen (Linux, Windows, eventuell Mac OS falls anders). Da kann man tatsächlich sogar schon ein Buch schreiben.