Downloads auf Websites enthalten manchmal eine MD5-Prüfsumme, anhand derer die Integrität der Datei bestätigt werden kann. Ich habe gehört, dass nicht nur beschädigte Dateien sofort erkannt werden können, bevor sie ein Problem verursachen, sondern auch, dass böswillige Änderungen leicht erkannt werden.
Ich folge der Logik in Bezug auf die Dateibeschädigung, aber wenn jemand absichtlich eine schädliche Datei hochladen möchte, kann sie eine entsprechende MD5-Prüfsumme generieren und diese zusammen mit der geänderten Datei auf der Download-Site veröffentlichen. Dies würde jeden täuschen, der die Datei herunterlädt und glaubt, sie sei unverändert.
Wie können MD5-Prüfsummen einen Schutz vor absichtlich veränderten Dateien bieten, wenn nicht bekannt ist, ob die Prüfsumme selbst gefährdet ist?
Ich habe gehört, dass dadurch auch [...] bösartige Änderungen erkannt werden sollen.
Nun, du hast falsch gehört. Prüfsummen für MD5 (oder SHA oder was auch immer) werden ( neben Downloads-Links ) nur zur Überprüfung eines korrekten Downloads bereitgestellt . Sie wollen nur garantieren, dass Sie dieselbe Datei wie der Server haben. Nicht mehr, nicht weniger. Wenn der Server gefährdet ist, sind Sie SOL. Es ist wirklich so einfach.
Die Lösung, die von einigen Paketverwaltungssystemen wie dpkg verwendet wird, besteht darin , den Hash zu signieren : Verwenden Sie den Hash als Eingabe für einen der Public-Key-Signaturalgorithmen. Siehe http://www.pgpi.org/doc/pgpintro/#p12
Wenn Sie über den öffentlichen Schlüssel des Unterzeichners verfügen, können Sie die Signatur überprüfen, was zeigt, dass der Hash unverändert ist. Sie haben also nur das Problem, den richtigen öffentlichen Schlüssel im Voraus zu erhalten. Wenn sich jedoch jemand mit der Schlüsselverteilung beschäftigt, muss er auch alles manipulieren, was Sie möglicherweise verifizieren. Ansonsten werden Sie feststellen, dass etwas Seltsames vor sich geht.
Ihre Annahme ist richtig. Es gibt jedoch eine Ausnahme. Wenn der Server, der die Datei bereitstellt, und die Seite, auf der sich der Hash befindet, nicht von derselben Entität verwaltet werden. In diesem Fall möchte der Softwareentwickler sagen "Hey, Leute laden dies von diesem Ort herunter, aber glauben nur, wenn Hash = xxxx". (Dies kann als Beispiel für CDNs nützlich sein). Ich denke, das war der Grund, warum jemand es überhaupt getan hat. Andere folgten einfach und überlegten, wie cool es wäre, den Hash zu zeigen. Nicht einmal zu denken, wie nützlich es ist, nicht einmal die Datei und der Hash befinden sich am selben Ort.
Nachdem dies gesagt wurde, ist es das wert, was es ist. Gehen Sie nicht zu viel von der Sicherheit aus, wie andere bereits gesagt haben. Wenn und nur wenn Sie dem ursprünglichen Hash absolut vertrauen können, ist die Datei gut. Andernfalls kann ein Angreifer mit ausreichender Motivation und ausreichend Wissen sowohl die Datei als auch den Hash manipulieren, auch wenn sich diese auf verschiedenen Servern befinden und von verschiedenen Entitäten verwaltet werden.
Manchmal werden die Prüfsummen sicher bereitgestellt, der Download jedoch nicht. Da MD5 fehlerhaft ist, sind die Sicherheits-MD5-Prüfsummen schwächer als sicherere Prüfsummen. Bevor MD5 jedoch beschädigt wurde, wurde ein sicher bereitgestelltes MD5 (z. B. ein mit PGP oder GPG oder Gatekeeper signiertes oder über HTTPS abgerufenes Protokoll) bereitgestellt, das mit dem MD5 übereinstimmte Der Download war ein starker Beweis dafür, dass der erhaltene Download der Server war.
Ich habe über den beklagenswerten Mangel an sicheren Prüfsummen seit Jahren geschrieben, hier .
Benutzer sollten nicht vertrauenswürdige ausführbare Dateien über nicht vertrauenswürdige Netzwerke herunterladen und ausführen, da MITM-Angriffe drohen. Siehe zB "Unsicherheiten in automatischen Aktualisierungssystemen" von P. Ruissen, R. Vloothuis.
Addendum 2014: Nein, es ist NICHT falsch, "dass auf Webseiten veröffentlichte Prüfsummen verwendet werden, um bösartige Änderungen zu erkennen", da dies eine Rolle ist, die sie ausführen können. Sie schützen vor versehentlicher Korruption und wenn sie über HTTPS oder mit einer verifizierten Signatur (oder besser noch beidem) bedient werden, helfen sie vor böswilliger Korruption! Ich habe Prüfsummen über HTTPS erhalten und festgestellt, dass sie mit HTTP-Downloads mehrmals übereinstimmen.
Heutzutage werden Binärdateien häufig mit signierten, automatisch verifizierten Hashes verteilt, doch selbst dies ist nicht vollkommen sicher .
Auszug aus dem obigen Link: "Die KeRanger-Anwendung wurde mit einem gültigen Entwicklungszertifikat für Mac-Apps signiert und konnte daher den Gatekeeper-Schutz von Apple umgehen." ... "Apple hat das missbrauchte Zertifikat inzwischen zurückgezogen und die Antivirensignatur von XProtect aktualisiert, und Transmission Project hat die schädlichen Installationsprogramme von seiner Website entfernt. Palo Alto Networks hat außerdem die URL-Filterung und die Bedrohungsverhütung aktualisiert, um zu verhindern, dass KeRanger die Systeme beeinflusst. Technische Analyse
Die beiden mit KeRanger infizierten Transmitter installierten ein von Apple ausgestelltes Zertifikat. Bei dem in der Liste aufgeführten Entwickler handelt es sich um ein türkisches Unternehmen mit der ID Z7276PX673, die sich von der Entwickler-ID unterschied, die zum Signieren früherer Versionen des Transmission-Installationsprogramms verwendet wurde. In den Informationen zur Codesignierung haben wir festgestellt, dass diese Installer am Morgen des 4. März generiert und signiert wurden. "
Nachtrag 2016:
@Cornstalks: Re. Ihr Kommentar unten: Falsch. Wie bereits bei dem Kollisionsangriff bei Wikipedia angegeben, verweisen Sie auf den Link "In 2007 wurde ein gewählter Präfixkollisionsangriff gegen MD5 gefunden" und "der Angreifer kann zwei willkürlich unterschiedliche Dokumente auswählen und dann verschiedene berechnete Werte anhängen, die das Ganze ergeben Dokumente mit gleichem Hashwert. " Selbst wenn das MD5 sicher bereitgestellt wird und ein Angreifer es nicht ändern kann, KANN ein Angreifer dennoch einen Kollisionsangriff mit einem Präfix mit ausgewähltem Präfix mit einem Präfix mit gewähltem Präfix, der Malware enthält, verwenden. Dies bedeutet, dass MD5 für Krypto-Zwecke NICHT sicher ist. Dies ist weitgehend der Grund, warum das US-CERT sagte, MD5 "sollte als kryptographisch gebrochen und für die weitere Verwendung ungeeignet angesehen werden."
Noch ein paar Dinge: CRC32 ist eine Prüfsumme. MD5, SHA usw. sind mehr als Prüfsummen; Sie sollen sichere Hashes sein. Das heißt, sie sollen gegen Kollisionsangriffe sehr resistent sein. Im Gegensatz zu einer Prüfsumme schützt ein sicher kommunizierter sicherer Hash vor einem Man-in-the-Middle-Angriff (MITM), bei dem sich der MITM zwischen Server und Benutzer befindet. Es schützt nicht vor Angriffen, bei denen der Server selbst gefährdet ist. Um sich dagegen zu schützen, verlassen sich die Menschen normalerweise auf etwas wie PGP, GPG, Gatekeeper usw.
Das ist wirklich ein Problem. Das Anzeigen von Prüfsummen auf derselben Site wie die herunterzuladende Datei ist nicht sicher. Eine Person, die die Datei ändern kann, kann auch die Prüfsumme ändern. Die Prüfsumme sollte durch ein vollständig getrenntes System angezeigt werden. Dies ist jedoch kaum machbar, da dem Benutzer auf sichere Weise mitgeteilt wird, wo die Prüfsumme gefunden werden kann.
Eine mögliche Lösung ist die Verwendung von signierten Dateien.
(Übrigens: MD5 ist überall unsicher und sollte nicht mehr verwendet werden.)
Aus genau diesem Grund wird in den Prüfsummen häufig ein Haftungsausschluss mit dem Hinweis "Dies kann nicht vor böswilliger Änderung der Datei geschützt werden" angezeigt. Die kurze Antwort lautet also: "Sie können keinen Schutz vor einer absichtlich geänderten Datei bieten" (obwohl HTTPS die Seite über HTTPS übermittelt, schützt HTTPS selbst vor Änderungen; wenn die Datei nicht über HTTPS, sondern über die Prüfsumme übermittelt wird) ist, dann könnte das einigen helfen, ist aber kein gewöhnlicher Fall). Wer Ihnen gesagt hat, dass auf Webseiten veröffentlichte Prüfsummen zum Erkennen böswilliger Änderungen verwendet werden, war falsch, da dies keine Rolle ist, die sie ausführen können. Alles, was sie tun, ist der Schutz vor versehentlicher Korruption und fauler böswilliger Korruption (wenn jemand die Seite nicht abfängt, die Ihnen die Prüfsumme gibt).
Wenn Sie sich vor absichtlichen Änderungen schützen möchten, müssen Sie entweder verhindern, dass sich die Benutzer mit der Prüfsumme herumschlagen, oder anderen Personen die Erstellung einer gültigen Prüfsumme unmöglich machen. Ersteres kann bedeuten, dass es persönlich oder ähnlich ausgegeben wird (so dass die Prüfsumme selbst vertrauenswürdig ist) Letzteres gilt für digitale Signaturalgorithmen (bei denen Sie Ihren öffentlichen Schlüssel sicher zum Downloader bringen müssen; dies geschieht in TLS, indem Sie den Zertifizierungsstellen letztendlich direkt vertrauen und alle anderen überprüfen lassen; dies kann auch über ein Vertrauensnetz erfolgen, aber der Punkt ist, dass etwas sicher irgendwann übertragen werden muss und es einfach nicht genug ist, etwas auf Ihrer Website zu veröffentlichen.
Wie können MD5-Prüfsummen einen Schutz vor absichtlich veränderten Dateien bieten, wenn nicht bekannt ist, ob die Prüfsumme selbst gefährdet ist?
Du hast vollkommen recht. Das Ziel wäre also, Ihr "Wenn" falsch zu machen. Wenn wir wissen, dass ein sicherer kryptografischer Hash einer Datei nicht gefährdet ist, wissen wir, dass auch die Datei nicht gefährdet ist.
Wenn Sie beispielsweise einen Hashwert einer Datei auf Ihrer Website bereitstellen und dann auf eine Kopie der Datei auf einem Spiegelserver eines Drittanbieters verlinken - eine übliche Vorgehensweise bei der Verteilung von Freier Software nach alter Art - können Ihre Benutzer vor bestimmten Typen geschützt werden von Angriffen. Wenn der Spiegelserver schädlich oder gefährdet ist, Ihre Website jedoch in Ordnung ist, kann der Spiegel Ihre Datei nicht unterlaufen.
Wenn Ihre Website HTTPS verwendet oder Sie den Hash mit signieren gpg, kann Ihre Datei auch (meistens) vor Netzwerkangreifern wie bösartigen WLAN-Hotspots, schädlichen Tor-Exit-Knoten oder NSA geschützt werden.
Wie können MD5-Prüfsummen einen Schutz vor absichtlich veränderten Dateien bieten, wenn nicht bekannt ist, ob die Prüfsumme nicht beeinträchtigt wurde?
Das ist eine wirklich gute Frage. Im Allgemeinen ist Ihre Beurteilung der MD5-Manipulation genau richtig. Ich glaube jedoch, dass der Wert von MD5-Prüfsummen für Downloads bestenfalls oberflächlich ist. Nachdem Sie eine Datei heruntergeladen haben, können Sie vielleicht die MD5, die Sie haben, mit einer Website vergleichen, aber ich sehe nebeneinander liegenden MD5-Speicher eher als "Quittung" oder als etwas, was nett ist, aber nicht zuverlässig ist. Als solches habe ich mich in der Regel nie mit MD5-Prüfsummen aus heruntergeladenen Dateien befasst, aber ich kann aus meiner Erfahrung bei der Erstellung von Ad-hoc-Server-basierten MD5-Prozessen sprechen.
Grundsätzlich habe ich, wenn ein Client ein Dateisystem nach MD5-Prüfsummen durchsuchen möchte, diese in CSV-Dateien generieren lassen, die Dateinamen, Pfad, MD5 (und andere Informationen zu verschiedenen Dateien) in ein strukturiertes Datenformat überführt, das ich dann aufgenommen habe in eine Datenbank zum Vergleich und zur Speicherung.
Wenn Sie also in Ihrem Beispiel eine MD5-Prüfsumme in einer eigenen Textdatei neben einer Datei ablegen, wird die MD5-Prüfsumme des Berechtigungsdatensatzes in einem nicht verbundenen Datenbanksystem gespeichert. Wenn also jemand irgendwie in ein Fileshare gehackt wurde, um Daten zu manipulieren, hätte dieser Eindringling keinen Zugriff auf die MD5-Autoritätsdatensätze oder den verbundenen Verlauf.
Vor kurzem entdeckte ich eine schöne Bibliothekssoftware namens ACE Audit Manager, eine Java-Anwendung, die entwickelt wurde, um ein Dateisystem auf Änderungen zu überprüfen. Es protokolliert Änderungen über MD5-Änderungen. Und es funktioniert nach einer ähnlichen Philosophie wie mein Ad-hoc-Prozess - Speichern der Prüfsummen in einer Datenbank -, aber es geht noch einen Schritt weiter, aber es wird eine MD5-Prüfsumme aus MD5-Prüfsummen erstellt, die als Hash-Baum oder Merkle-Baum bezeichnet wird .
Nehmen wir an, Sie haben 5 Dateien in einer Sammlung. Diese 5 Dateien in ACE Audit Manager würden dann eine andere - nennen wir sie "übergeordnet" - Prüfsumme, ein Hash, der aus den 5 MD5-Prüfsummen jeder Datei generiert wird. Wenn also jemand nur eine Datei manipuliert, ändert sich der Hash für die Datei und der Hash für die gesamte "übergeordnete" Sammlung.
Im Allgemeinen müssen Sie sich MD5-Prüfsummen und zugehörige Integritätshashes ansehen, es sei denn, sie sind nicht mit nicht direktem Speicher für die MD5-Hashes selbst verbunden. Sie können beschädigt werden. Ihr Wert als langfristiges Datenintegritätsinstrument entspricht einem billigen Schloss, das für ein neues Gepäckstück „frei“ ist; Wenn Sie Ihr Gepäck wirklich verschließen möchten, erhalten Sie ein Schloss, das mit einer Büroklammer nicht in 5 Sekunden geöffnet werden kann.
Sie können die MD5-Prüfsumme nicht ändern, ohne auch die Datei zu ändern. Wenn Sie die Datei herunterladen und dann den Hash herunterladen, stimmt die Berechnung der Datei nicht mit den Angaben überein. Entweder ist der Hash oder die Datei falsch oder unvollständig.
Wenn Sie die Datei an ein externes Element (z. B. Autor, Computer usw.) "binden" möchten, muss diese mit einem PKI-Prozess mit Zertifikaten signiert werden. Der Dateiautor usw. kann die Datei mit seinem / ihrem privaten Schlüssel signieren, und Sie können Signaturen mit dem öffentlichen Schlüssel überprüfen, der öffentlich verfügbar sein sollte, selbst von einer Zertifizierungsstelle sowohl von Ihnen als auch vom Autor als vertrauenswürdig signiert und herunter geladen werden kann, vorzugsweise von mehrere Standorte.
Wenn Sie die Datei ändern, wird die Signatur ungültig. Dies kann auch zur Überprüfung der Dateiintegrität verwendet werden.
Hashes zeigen an, ob Ihre Version der Datei (der "Download") sich von der Version des Servers unterscheidet. Sie geben keine Gewähr für die Echtheit der Datei.
Mittels digitaler Signaturen (asymmetrische Verschlüsselung + Hash-Funktion) kann überprüft werden, ob die Datei nicht von Personen geändert wurde, die nicht über den entsprechenden privaten Schlüssel verfügen.
Der Ersteller der Datei hashes die Datei und verschlüsselt den Hash mit ihrem (geheimen) privaten Schlüssel. Auf diese Weise kann jeder mit dem entsprechenden (nicht geheimen) öffentlichen Schlüssel überprüfen, ob der Hash mit der Datei übereinstimmt. Während der Dateiinhalt jedoch geändert werden kann, kann niemand den entsprechenden Hash durch einen mit der Datei übereinstimmenden Hash ersetzen (nachdem der Hash mit entschlüsselt wurde.) den öffentlichen Schlüssel) - es sei denn, sie schaffen es, den privaten Schlüssel brutal zu erzwingen oder irgendwie darauf zuzugreifen.
Was hält Herr "A.Hacker" davon ab, die Datei einfach zu ändern und sie dann mit ihrem eigenen privaten Schlüssel zu signieren?
Um die Datei zu überprüfen, müssen Sie ihren Hashwert mit dem Hash vergleichen, den Sie durch Entschlüsseln der zugehörigen digitalen Signatur erhalten haben. Wenn Sie der Meinung sind, dass die Datei von "IMAwesome" stammt, entschlüsseln Sie den Hash mit seinem Schlüssel, und der Hash stimmt nicht mit der Datei überein, da der Hash mit dem Schlüssel von A.Hacker verschlüsselt wurde.
Digitale Signaturen ermöglichen es daher, sowohl versehentliche als auch böswillige Änderungen zu erkennen.
Aber wie bekommen wir den öffentlichen Schlüssel von IMAwesome überhaupt? Wie können wir sicherstellen, dass es nicht tatsächlich der Schlüssel eines A. Hackers war, der von einem angegriffenen Server oder einem Man-in-the-Middle-Angriff bedient wurde, als wir seinen / ihren Schlüssel erhalten haben? Hier kommen Zertifikatsketten und vertrauenswürdige Stammzertifikate ins Spiel, von denen keine absolut sichere [1] Lösungen für das Problem sind, und beide sollten wahrscheinlich auf Wikipedia und anderen Fragen zu SO gut erklärt werden.
[1] Bei der Überprüfung enthalten die Stammzertifikate, die mit dem Microsoft-Betriebssystem auf meinem Arbeits-PC geliefert wurden, ein Zertifikat der US-Regierung. Jeder, der Zugriff auf den entsprechenden privaten Schlüssel Husten- NSA- Husten hat, kann daher Inhalte an meinen Webbrowser liefern, der die Prüfung "Ist da ein Vorhängeschloss in der Adressleiste" übergibt. Wie viele Leute werden sich tatsächlich die Mühe machen, auf das Vorhängeschloß zu klicken und zu sehen , mit welchem Schlüsselpaar die Verbindung "gesichert" wird?