Reparieren statt Wegwerfen

Computer-Sicherheit | Empfehlung bei Software-Downloads generell

Prüfsummen verifizieren

Speziell unter Windows ist jeder Download von Software und die Ausführung einer .exe-Datei ein großes Sicherheitsrisiko.
Deshalb gibt es von vertrauenswürdigen Software-Anbietern mittlerweile gleich auch Prüfsummen mitgegeben, die deren Software haben MUSS! Damit kann sichergestellt werden, dass der Quellcode einer Software nicht von Dritten manipuliert wurde, und darüber verschiedenste Seuchen eingeschleust werden.

Weitere Infos zum Prüfsummencheck siehe BSI(= Bundesamt für Sicherheit in der Informationstechnologie):
⇒ Was ist der Prüfsummencheck?
Erwähnt wird beim BSI jedoch nicht, dass KEINE extra Software downgeloadet werden müsste! Denn Linux und sogar Windows bringen bereits vorinstallierte System-Tools mit, die alle gängigen Algorhythmen prüfen können.

Kaum ein Windows-Nutzer weiß jedoch, dass selbst bei Windows schon ein vorinstalliertes Verifizierungstool verfügbar wäret: Get-Hash berechnet die Prüfsumme von Dateien, standardmäßig SHA256 aber auch andere.

ACHTUNG: Auch Software mit MD5-Prüfsummen sind ein Sicherheitsrisiko! Ein MD5-Hash ist nicht kollisionsresistent und kann mit relativ wenig Aufwand manipuliert werden. Deshalb eher andere Software nutzen, für die ein Hash mit z.B. SHA256 verfügbar ist.

Übersicht (Details siehe unten):

Wie Prüfsummen kontrollieren?

Windows:

Windows PowerShell > Get-Filehash
sha1, sha256, sha384, sha512,(md5)
Rufus(Software) > Haken anklicken
sha1, sha256, (md5)

Linux:

GtkHash System-Software (Mint; Ubuntu Snap) & Flatpak
Terminal Commands > sha256sum, md5sum, u.a. ...,

Was beim BSI auch (noch) nicht steht: MD5 gilt als UNSICHER, weil es nicht kollisionsresistent ist und Software (bzw. Dig.Sicherheitszertifikate) deshalb relativ einfach gefälscht werden können. Wenn also möglich > Software nur mit den direkt vom Hersteller/Entwickler angegebenen SHA-Werten kontrollieren!

DETAILS:

Prüfsummen-Check unter Windows - ist bereits vorinstalliert und ohne extra Download nutzbar:

PowerShell

Ansicht Eingabe "Change directory" (cd) in der PowerShell

Ansicht Eingabe Get-Filehash und Dateiname

Ansicht andere Prüsummen berechnen lassen, z.B. mit MD5

Ansicht Ausgabe anderer Algorhythmus und Prüfsumme

(1) PowerShell öffnen

(2) In Ordner mit der Software wechseln:
cd .\Downloads\verify-checksum >>> Enter drücken!

(3) Mit dem Command Get-Filehash und .\<Dateinname> Prüfung starten:
Get-Filehash .\xubuntu-24.04.1-minimal-amd64.iso
>>> Enter >>> Berechnung dauert ein paar Sekunden >>> Ausgabe: SHA256-Wert der Datei (Standard)

(Alternativ) andere Werte mit Zusatz -Algorithm <Algorhythmus> prüfen:
Get-Filehash .\xubuntu-24.04.1-minimal-amd64.iso -Algorithm MD5 >>> Enter!

Prüfsummen verfizieren mit der Windows-Software:

RUFUS

Wer unter Windows Live-Boot-Sticks erstellen möchte, hat ev. schon die Software Rufus downgeloadet. Damit können z.B. auch Linux-.ISO-Dateien einfach geprüft werden.

(1) Rufus starten >>> über Auswahl zu prüfende Datei suchen und auswählen

(2) Auf den Check-Button klicken

(3) Die Prüfsumme wird berechnet und das Ergebnis dann in einem extra Fenster ausgegeben.

Ansicht Desktop Mint mit Browser und Software Gtkhash — GtkHash: Über Icon 'Datei' downgeloadete ISO-Datei suchen und auswählen.

Linux: GtkHash

Wer öfters ISO-Dateien downloadet und installiert, kann sich in Linux auch GtkHash installieren (Mint Systemdatei, Flatpak, Ubuntu Snap, Github, ...).
Der große Vorteil dabei: Das mühevolle Vergleichen der Prüfsummen fällt weg. GtkHash zeigt automatisch einen grünen Button an:

Noch komfortabler wird GtkHash, wenn über die Einstellungen nur die tatsächlich benötigten Hashes ausgewählt werden. Aktuell werden fast nur noch sha256-Prüfsummen genutzt:

Linux-Standard übers Terminal (Konsole) in eigentlich jedem Linux nutzbar:

Linux Terminal

In (fast) jedem Linux-Terminal können verschiedenste HASH-Prüfsummen berechnet werden, z.B. mit den Kommandos sha1sum, sha224sum, sha256sum, sha512sum, md5sum, u.a, - plus <Dateiname>.

Geht am einfachsten, indem man direkt in Ordner wechselt, wo die Datei liegt, und dort das Terminal öffnet (per rechter Maustaste, z.B. Ubuntu: "Im Terminal öffnen"). Dann nur sha256sum eintippen und den Dateinamen (z.B. per Copy/Paste) einfügen > Enter. Nach ein paar Sekunden Wartetzeit wird die Prüfsumme ausgegeben.

Siehe Beispiel (in einem Ubuntu wurde eine ISO-Datei für Linux-Mint downgeloadet, die im Standard-Ordner Downloads gespeichert ist):
sha256sum linuxmint-22-cinnamon-64bit.iso

Auf der Linux-Mint-Webseite gibt es nicht nur die SHA256-Prüfsummen für alle 3 Distributionen, sondern auch eine GPG-Datei:
sha256sum.txt.gpg:

Wahrscheinlich folgt jetzt die Fräge: "GP-{*kopfkratz*}-Was?"
GPG sind digitale Schlüssel, womit eine Datei quasi unterschrieben ist - als Echtheitszertifikat. Siehe dazu:
⇒ Dokumente digital signieren und verifizieren.

'Checksum' Hash prüfen

bebildert kurz erklärt

Ansicht Ubunut Terminal Ausgabe nach Kommando-Eingabe sha256sum

Für die (im Gegensatz zu Windows'lern generell etwas sicherheitsbewussteren) Linuxer ist das Prüfen der Checksum eigentlich alltäglich und normal.

OHNE Software-Download

Linux Terminal

Ansicht neues Fenster mit Windows PowerShell

Ansicht Windows PowerShell mit change directory

Windows Shell

Vereinzelt integriert in:

Linux-Distributionen

Linux Mint, antiX, MX-Linux, [...]

Download / Installation extra Software

Rufus (Windows)

v.a. zur Erstellung von LIVE-Boot- & Installations-Sticks für Linux. Und genau deshalb auch optimal für Linux-Interessierte geeignet, um damit downgeloadete .iso-Dateien zu prüfen: