@HJB: Darf ich vorschlagen, auch direkt in der News-Ankündigung des Namen des Autors zu erwähnen? Freiwillige (und gute!) Leistung sollte schon durch ein wenig Anerkennung belohnt werden.
Als letzter Punkt bliebe mir nur noch zu erwähnen, dass bei berechtigten Zweifeln an der Integrität des Systems auch nicht auf das installierte md5sum vertrauen darf. Erstens sind bereits mehrere Root-Kits für verschiedene Linux-Distributionen im Umlauf, die auch ein kompromittiertes md5sum mitbringen, und zweitens kann der Kernel durch ein trojanisches Kernelmodul so beeinflusst werden, dass bestimmte Prozesse, Dateien, Verzeichnisse usw. nicht mehr aufgelistet werden und somit auch nicht mehr unter die Prüfung fallen.
Daher sollte man im Zweifelsfall den Rechner von Notfall-Diskette oder -CD booten (tomsrtbt/superrescue sind gut) und dann die entsprechenden Prüfungen vornehmen. Auf dem Notfall-System muss natürlich md5sum vorhanden sein...
apropos rootkit, auf chkrootkit.org gibt es einen rootkit-Detektor. Der klappert auf eine Menge ab. Nutzt unter anderen Tools die man wohl beim DFN bekommt....? Bei mir hat er nichts gefunden, was entweder heisst meine Firewall taugt was, oder der Hacker war besser als der Detektor...;-)
Danke Catonga, fuer diesen wirklich feinen Artikel!
Ich werde es direkt mal ausprobieren. :-)
Aber: "...Dazu den Prüfsummencheckdurchlauf einfach in einem Terminalprogramm unter X wie z.b. das von KDE durchführen, da dieses sehr viele Seiten speichert, so daß man einfach im Terminal zurückscrollen kann. Leider gibt's dann dort keine Möglichkeit den Fehler mit grep oder der Suchfunktion des Editors zu suchen." Wieso nicht? Bei mir funktioniert grep auch auf dem Desktop prima. ;)
wer nicht gerade Tripwire installieren will kann es mal mit md5mon probieren. Findet man bei freshmeat. Nicht ganz so gross, aber im Prinzip das was man braucht. Gruss Max
Es waere noch hilfreich, zu erwaehnen, dass es schon theoretische Schwachstellen von MD5 gibt und so die Verwendung auf lange Sicht eigentlich nicht mehr praktikabel ist, aber tropsdem ein guter Artikel.
Ich finde folgendes sagt das eigentlich schon fast aus (oder wa smeinst du genau? )
Der MD5 Algorithmus erzeugt von einer Datei einen 128 Bit großen Fingerabdruck und gilt daher als relativ sicher. Er wird im RFC 1321 Dokument definiert. Es wird vermutet, das es rechnerisch auf absehbare Zeit nicht möglich ist, zwei Dateien zu erzeugen, die den selben Fingerabdruck haben, bzw. eine Datei zu erzeugen, die einen vorherbestimmten Zielabdruck hat.
SHA1 hat 160 Bit und ist damit auf jeden Fall sicherer als MD5. Aber es ist evtl. mit Kanonen auf Spatzen geschossen. Man muß auch die erforderliche Rechenzeit bedenken, man muß ja in der Lage sein, das Dateisystem in vertretbarer Zeit zu checken.
Also generell kann man bei heutigen Rechnern davon ausgehen das md5sum sicher ist.
Um md5sum, quasi zu knacken ist in erster Linie Rechenzeit erforderlich. Immerhin müßte man eine abgeänderte Datei, die man ja vor dem Prüfsummencheck verbergen will, wieder so ändern, das genau wiederum die voher gemachte Prüfsumme auf diese geänderte Datei paßt.
Je nach Dateigröße ist das natürlich ein entsprechend extrem hoher Rechenaufwand und das die Datei hinterher auch funktioniert bzw. paßt ist ein ganz anderes Problem.
Und wenn es mal funktionierende Quantencomputer geben sollte, dann hilft SHA-1 auch nichts mehr.
Von daher ist man mit md5sum im Moment ganz gut bedient.
Im Buch von Simon Singh "Geheime Botschaften" wird geschrieben, das ein Mathematiker herausgefunden haben will, wie man recht einfach den selben Schlüssel mit ein wenig abgeänderten Daten erstellen könnte. Soviel zur absoluten Sicherheit von MD5. Lars.
@HJB: Darf ich vorschlagen, auch direkt in der News-Ankündigung des Namen des Autors zu erwähnen? Freiwillige (und gute!) Leistung sollte schon durch ein wenig Anerkennung belohnt werden.
Als letzter Punkt bliebe mir nur noch zu erwähnen, dass bei berechtigten Zweifeln an der Integrität des Systems auch nicht auf das installierte md5sum vertrauen darf. Erstens sind bereits mehrere Root-Kits für verschiedene Linux-Distributionen im Umlauf, die auch ein kompromittiertes md5sum mitbringen, und zweitens kann der Kernel durch ein trojanisches Kernelmodul so beeinflusst werden, dass bestimmte Prozesse, Dateien, Verzeichnisse usw. nicht mehr aufgelistet werden und somit auch nicht mehr unter die Prüfung fallen.
Daher sollte man im Zweifelsfall den Rechner von Notfall-Diskette oder -CD booten (tomsrtbt/superrescue sind gut) und dann die entsprechenden Prüfungen vornehmen. Auf dem Notfall-System muss natürlich md5sum vorhanden sein...
Jochen
auf chkrootkit.org gibt es einen rootkit-Detektor.
Der klappert auf eine Menge ab. Nutzt unter anderen Tools die man wohl beim DFN bekommt....?
Bei mir hat er nichts gefunden, was entweder heisst meine Firewall taugt was, oder der Hacker war besser als der Detektor...;-)
Max
ich glaube darauf könnte man in dem Artikel noch hinweisen.
Mal schauen, ob ich dazu komme das noch in den Artikel einzufügen.
Übrigens vielen dank an alle für die vielen
Mails und Verbesserungs vorschläge,
werde mal schauen ob sich das alles in den Artikel noch einbauen läßt.
Ich werde es direkt mal ausprobieren. :-)
Aber:
"...Dazu den Prüfsummencheckdurchlauf einfach in einem Terminalprogramm unter X wie z.b. das von KDE durchführen, da dieses sehr viele Seiten speichert, so daß man einfach im Terminal zurückscrollen kann. Leider gibt's dann dort keine Möglichkeit den Fehler mit grep oder der Suchfunktion des Editors zu suchen."
Wieso nicht? Bei mir funktioniert grep auch auf dem Desktop prima. ;)
Gruss
Mephisto_I
Findet man bei freshmeat.
Nicht ganz so gross, aber im Prinzip das was man braucht.
Gruss Max
Gruss, Pom
Der MD5 Algorithmus erzeugt von einer Datei einen 128 Bit großen Fingerabdruck und gilt daher als relativ sicher. Er wird im RFC 1321 Dokument definiert. Es wird vermutet, das es rechnerisch auf absehbare Zeit nicht möglich ist, zwei Dateien zu erzeugen, die den selben Fingerabdruck haben, bzw. eine Datei zu erzeugen, die einen vorherbestimmten Zielabdruck hat.
--->rechnerisch?
Ist da die Performance noch nicht vorhanden oder der Algoriithmus oder beides?
Gruss, Pom
Um md5sum, quasi zu knacken ist in erster Linie Rechenzeit erforderlich.
Immerhin müßte man eine abgeänderte Datei, die man ja vor dem Prüfsummencheck verbergen will, wieder so ändern, das genau wiederum die voher gemachte Prüfsumme auf diese
geänderte Datei paßt.
Je nach Dateigröße ist das natürlich ein entsprechend extrem hoher Rechenaufwand und das die Datei hinterher auch funktioniert bzw. paßt ist ein ganz anderes Problem.
Und wenn es mal funktionierende Quantencomputer geben sollte, dann hilft
SHA-1 auch nichts mehr.
Von daher ist man mit md5sum im Moment ganz gut bedient.
Lars.