Worum geht es?
Immer, wenn man aus dem Internet Dateien oder Programme herunterlädt, muss man damit rechnen, dass es nicht die Originaldateien sind. Es gibt leider immer Leute, die Dateien und Programme abändern, Werbung und/oder Viren einschleusen oder Hintergrund-Downloads starten. Dabei können manche sogar den Download umlenken, um so ihre Schadware einzuschmuggeln.
Seriöse Anbieter nutzen daher gerne Algorithmen, um eine eindeutige Prüfsumme der Originaldatei zu erstellen. Nach dem Download kann man dann selbst überprüfen, ob die geladene Datei die gleiche Prüfsumme ergibt.
SHA steht für Secure Hash Algorithm und ist eine kryptographische Funktion zum Vergleich von eindeutigen Prüfsummen ("SHA-Hashes").
Verschiedene Verfahren
- md5 Hashes sind 128 Bits lang
- SHA1 Hashes sind 160 Bits lang
- SHA256 Hashes sind 256 Bits lang
- SHA384 Hashes sind 384 Bits lang
- SHA512 Hashes sind 512 Bits
MD5 und SHA-1 gelten als nicht mehr sicher und sollten bei sicherheitsrelevanten Anwendungen nicht mehr verwendet werden. Je länger die Bitlänge, umso höher ist die Sicherheit. Für den Konsumerbereich hat sich SHA256 eingebürgert.
Wie nutzt man die Hashes?
Dateien bzw. Programme werden üblicherweise von Webseiten heruntergeladen. Seriöse Anbieter zeigen auch gleich die Prüfsumme zu den angebotenen Dateien bzw. Programmen. Oft werden die Prüfsummen auch als eigene Text-Dateien angeboten.
Beispiel 1: Eine Datei wird angeboten und in das Verzeichnis Downloads im eigenen Rechner gespeichert. Die Prüfsumme steht auf der Webseite im Klartext.
- Datei: arconet-v25.05.01-x86_64.iso
- Prüfsumme: b3e63b924dbc283af1b619b9175a9db4999cafcc892bba63901558642f60411d
Nun muss ein Terminal geöffnet werden. Darin gibt man folgende Anweisung ein:sha256sum /home/user/Downloads/arconet-v25.05.01-x86_64.iso
Man erhält folgende Ausgabe:b3e63b924dbc283af1b619b9175a9db4999cafcc892bba63901558642f60411d /home/user/Downloads/arconet-v25.05.01-x86_64.iso
Diese lange Prüfsumme muss jetzt manuell überprüft werden, um sicherzustellen, dass man der Datei trauen kann. Dies ist mühsam und fehleranfällig.
Beispiel 2: Eine Datei und die zugehörige Prüfsummendatei werden angeboten und in das Verzeichnis Downloads im eigenen Rechner gespeichert. Die Prüfsumme soll automatisch überprüft werden.
- Datei: arconet-v25.05.01-x86_64.iso
- Prüfsummendatei: arconet-v25.05.01-x86_64.iso.sha256
Nun muss ein Terminal geöffnet werden. Darin wechselt man zuerst das Verzeichnis:
cd /home/user/Downloads
Die automatische Prüfsummen-Prüfung erfolgt nur innerhalb des aktiven Verzeichnisses. Man kann keinen abweichenden Pfad zur Prüfsummendatei angeben.sha256sum -c arconet-v25.05.01-x86_64.iso.sha256
Wenn alles in Ordnung ist, erhält man folgende Ausgabe:arconet-v25.05.01-x86_64.iso: OK
Hier ein Praxis-Beispiel:
SHA256-Überprüfung am Linuxrechner:
Zuerst einen Terminal starten und dort folgendes eingeben:
Eingabe:
sha256sum /home/<name>/Downloads/ventoy-1.0.97-linux.tar.gz
Ausgabe:
1368a9082c9db25958e5407ef4984322d90d3bb00905337d4bd41678e06c1150 /home/<name>/Downloads/ventoy-1.0.97-linux.tar.gz
SHA256-Überprüfung am Windowsrechner:
Zuerst die Powershell starten und dort folgendes eingeben:
Eingabe:
Get-Filehash Downloads\ventoy-1.0.97-windows.zip -Algorithm -SHA256
Für SHA256 (Standardeinstellung) kann die Angabe von -Algorithm SHA256 entfallen.
Ausgabe:
Algorithm Hash Path
--------- ---- ----
SHA256 44FB53F26872C6304E1CB3D47B65D0613665666100C48DEEEE4CD87901FB500F C:\Users\<name>\Downloads\vent...