Wie macht ihr das?

[StDoe]

Hallo, ich habe folgendes problem: ich will mir eine software herunterladen, jedoch steht mir keine verbindung im 'abgesicherten modus' zur verfügung. nicht einmal die md5-summe läßt sich über https abrufen.

bisher habe ich immer darauf verzichtet und versucht lieber irgendwo eine cd/dvd zu finden, die die entsprechende sw enthält. das kann doch wohl aber keine dauerhafte lösung sein!?

 

[sinn3r]

was möchtest du machen? Irgendwie versteh ich das nicht.

 

[Mike1]

was möchtest du machen? Irgendwie versteh ich das nicht.

er will anscheinend im init2 was runterladen/installieren

 

[sinn3r]

Soweit ich weis, hat man kein Netzwerkdienst im Runlevel 2.
Wenn das falsch ist, dann steinigt mich *Jehova*
Und wozu das ganze?

 

[StDoe]

was möchtest du machen? Irgendwie versteh ich das nicht.

also ich denke mir folgendes:

-geschützte verbindungen sind dazu da, daß daten nicht
manipuliert werden können (logisch)
-wenn ich daten ungeschützt übertrage, sind diese manipulierbar
-wer eine ftp-verbindung manipulieren kann, kann sicher auch
die Prüfsumme in der http-verbindung anpassen

wie kann ich dann noch feststellen, ob ich wirklich die original-daten empfangen habe? ... oder liege ich da falsch???

also:
besteht diese gefahr nicht?
kann man diese ignorieren?
gibt es möglichkeiten zur sicheren übertragung (trotzdem)?
.........?

 

[sinn3r]

scp per ssh wäre eine Variante, doch Sicherheit bringt nur der md5 Check.

 

[StDoe]

doch Sicherheit bringt nur der md5 Check.

... und wieso ist das sicher, wenn die md5-summe nur über http übertragen werden kann? das ist der punkt, den ich nicht verstehe.

 

[sinn3r]

Naja meistens gibt es, wenn du dir irgendwo etwas runterlädst, immer die md5 Summe der jeweiligen Datei direkt daneben.

Wenn du die Datei dann auf deinem Rechner hast, kannst du mit

md5sum dateiname

dir die md5 Summe der Datei auf deinem Rechner anzeigen lassen, wenn die beiden übereinstimmen, dann ist die Datei unverändert.

 

[StDoe]

Hi sinn3r, das ist mir schon klar, nur wenn irgend jemand die datei manipuliert, die ich runter lade, dann wird er doch sicher auch die md5-summe (die ich auch ungesichert runterladen muß) mit manipulieren - sonst wäre er ja wohl blöd. ... oder???

 

[sinn3r]

Hi sinn3r, das ist mir schon klar, nur wenn irgend jemand die datei manipuliert, die ich runter lade, dann wird er doch sicher auch die md5-summe (die ich auch ungesichert runterladen muß) mit manipulieren - sonst wäre er ja wohl blöd. ... oder???

Nein, du lädst die md5 Summe nicht mit runter, die wird auf deinem System "generiert".

 

[StDoe]

Nein, du lädst die md5 Summe nicht mit runter, die wird auf deinem System "generiert".

aber ich muß diese doch dann mit irgend etwas vergleichen?

 

[sinn3r]

Bei sogut wie allen Sourcen und wichtigen Dateien steht die auf der seite wo man die runterlädt.

Und wenn nicht, es gibt keine absoulte Sicherheit.

 

[gropiuskalle]

Wenn ich mich mal kurz einmischen darf:

Nein, du lädst die md5 Summe nicht mit runter, die wird auf deinem System "generiert".

Und mit der verglichen, die man sich mit der Datei gezogen hat.

doch Sicherheit bringt nur der md5 Check

Diese Sicherheit bezieht sich aber nicht auf die bewusste Manipulation von Daten, sondern auf Fehldownloads und dergleichen. md5 ist nicht dahingehend generiert, durch Angriffe veränderte Daten gegenzuprüfen.

 

[sinn3r]

md5 ist nicht dahingehend generiert, Daten vor Veränderungen durch Angriffe gegenzuprüfen.

Aber anhand der md5 Summe kann man sehr gut sehen, ob man die Datei auf der Platte hat, die man auf dem Server angefordert hat. Denn md5 Summen sind ja nicht gleich.

http://de.wikipedia.org/wiki/Message-Digest_Algorithm_5#Algorithmus

Wenn zB bei dem Downloadlink steht

md5 Summe der datei ritsch ist blubfoobaa123

Und

md5sum ritsch

fooboa2312blbu ergibt, kann man sicher sein, das es nicht die Datei ist, die man wollte

 

[rikola]

Die Gefahren bestehen sicherlich alle. Auch https schuetzt davor nicht, es sei denn, Du triffst Dich vorher mit dem Betreiber der Webseite und er/ sie gibt Dir den oeffentlichen Schluessel. Ansonsten ginge noch scp/ssh, doch auch das ist erst wirklich sicher, wenn Du den oeffentlichen Schluessel ausgedruckt vor Dir hast und mit dem vergleichst, was Dir beim Aufbau der Verbindung angeboten wird.

Oder Du vertraust einfach darauf, dass sich nicht hinter jeder Seite ein Hacker versteckt. Wenn man nicht gerade Schaeuble heisst, ist das meines Erachtens nach gar nicht so unangebracht.

 

[gropiuskalle]

Aber anhand der md5 Summe kann man sehr gut sehen, ob man die Datei auf der Platte hat, die man auf dem Server angefordert hat. Denn md5 Summen sind ja nicht gleich.

In diesem Fall bringt das aber wenig. md5 errechnet doch (auf die einzelne Datei bezogen) jedesmal die selbe Prüfsumme. Ebenso einfach ist es also, eine Prüfsumme einer manipulierten Datei zu erstellen, die natürlich der Prüfsumme der manipulierten Datei, die auf Dem Empfängersystem errechnet wird, exakt gleicht. Und die stellt man einfach daneben. Wie gesagt: md5 ist nicht als Schutz vor Angriffen konzipiert worden.

 

[sinn3r]

Ebenso einfach ist es also, eine md5 einer manipulierten Datei zu erstellen, die natürlich der md5 der manipulierten Datei, die auf Dem Empfängersystem errechnet wird, exakt gleicht.

Das geht nicht, siehe Wiki Link

 

[StDoe]

Diese Sicherheit bezieht sich aber nicht auf die bewusste Manipulation von Daten, sondern auf Fehldownloads und dergleichen. md5 ist nicht dahingehend generiert, durch Angriffe veränderte Daten gegenzuprüfen.

aaah - das hat mir zum verständnis gefehlt. danke aber auch sinn3r und rikola.

also werde ich mich etwas in der disziplin 'vertrauen' üben müssen, wenn ich mein system online updaten will.

 

[gropiuskalle]

Das geht nicht, siehe Wiki Link

Den Wiki-Link verstehe ich nicht, weil ich bin doch Musiker, kein Mathematiker. Aber: wo wäre denn da der Nutzen, wenn tatsächlich jedesmal eine andere Prüfsumme errechnet würde? Da hätte man doch garnichts zum Vergleichen, oder? Und daraus ableitend ergibt sich, dass diese Prüfsumme abhängig von der jeweiligen Datei immer gleich ist. Daraus wiederum (und aus dem Umstand, das jeder aus einer Datei eine Prüfsumme erstellen kann) ergibt sich, dass die 'passende' md5-Prüfsumme problemlos der manipulierten Datei beigelegt werden kann, und daher keine sicherheitsrelevante Aussage hat.

Das ganze würde nur dann auffliegen, wenn Du erst die Prüfsumme runterladen würdest und eine Woche später die eigentliche Datei.

 

[sinn3r]

also werde ich mich etwas in der disziplin 'vertrauen' üben müssen, wenn ich mein system online updaten will.

Wenn dir darum geht, das sollte sicher sein.

Falls du ein Debian oder *buntu hast, schau dir mal
http://ots.fh-brandenburg.de/downloads/ss04/securing-debian-howto.de.pdf
Kapitel 7 an.

Den Wiki-Link verstehe ich nicht, weil ich bin doch Musiker, kein Mathematiker. Aber: wo wäre denn da der Nutzen, wenn tatsächlich jedesmal eine andere Prüfsumme errechnet würde? Da hätte man doch garnichts zum Vergleichen, oder? Und daraus ableitend ergibt sich, dass diese Prüfsumme abhängig von der jeweiligen Datei immer gleich ist. Daraus wiederum (und aus dem Umstand, das jeder aus einer Datei eine Prüfsumme erstellen kann) ergibt sich, dass die 'passende' md5-Prüfsumme problemlos der manipulierten Datei beigelegt werden kann, und daher keine Sicherheitsrelevante Aussage hat.

Das ganze würde nur dann auffliegen, wenn Du erst die Prüfsumme runterladen würdest und eine Woche später die eigentliche Datei.

Die md5 Summe aufgrund des Algorithmuses vom System berechnet, also kommt sie zum selben Schluss.

Du kannst ja mal einen Mathematiker fragen, was 2+2 ist, er wird dir sagen 4.
Wenn du nun einen zweiten fragst, wird der dir sicher auch 4 antworten