Über den Sinn und Unsinn von MD5 Checksummen auf Webseiten

Es war einmal vor einigen Tagen, … okok, es war heute, ich poste den Beitrag nur später… ähähämm .. nochmal… es war einmal ein junger Stern am Kryptohimmel. Sein Name war MD5 und er war von der Rasse der Hashe, die aus dem Land der Algorithmen stammten. Unser junger Stern wuchs schnell zu einem ganz großen Hash heran, der für viele Dinge der Menschen seinen Schutzzauber sprach und so für Ihre Sicherheit sorgte.

Eines Tages kam ein Sprößling der Gattung Mensch, aus der Rasse der Distributoren, auf die Idee, doch seine digitalen Datenrohlinge von unserem jungen Stern vor Veränderungen schützen zulassen,  so daß jeder erkennen mag, daß er eine Fälschung den digitalen Fluß hinabschifft.

Am Beispiele der Slacks soll hier gezeigt werden, wie er es anstellte :

Parent Directory
slackware64-14.2-install-dvd.iso30-Jun-2016 23:222.6G
slackware64-14.2-install-dvd.iso.asc30-Jun-2016 23:22181
slackware64-14.2-install-dvd.iso.md530-Jun-2016 23:2267
slackware64-14.2-install-dvd.iso.txt30-Jun-2016 23:21198K

Unser mächtiger Stern sprach einen Schutzzauber über den jungen Datenrohling aus und dieser wurde zusammen mit dem jungen Datenrohling in sein Netz gelegt. Nun konnte jedermann, der den Datenrohling inne hatte prüfen, ob es der echte Datenrohling war, oder nur eine böse Fälschung ins Nest gelegt worden war.

Die Jahre gingen ins Land und unserer mächtiger Stern wurde alt und gebrechlich. Seine Schutzkräfte liessen nach und dennoch wandten sich die Menschen an ihren einst so mächtigen Stern und erbaten seinen Schutzzauber. Ein junger, mächtigerer Stern aus der Rasse der Hashe, stiess unseren altern Stern von seinem Throne und erfüllte den Menschen füderan ihre Schutzwünsche; sein Name: SHA256.

Es war eine Zeit in Aufruhr, denn böse Mächte unter den Menschen brachen in die Datenhorte derer ein, welche die Datenrohlinge für das Gute schufen und tauschten diese gegen billige Fälschungen aus Fernost aus. Ein Hort nach dem anderen wurde heimlich aufgebrochen und infiltriert, und dennoch legten die Menschen weiterhin Ihren Schutzzauber einfach in den Datenhort Ihres Datenrohlings, denn sie vertrauten darauf, daß sie klüger waren, als die Bösen unter ihnen.

Eines Tages geschah das Unfassbare: Ein Mensch forderte den alten Stern auf, einen Schutzzauber für seinen Datenrohling zu sprechen und unser alter Stern, sprach den Zauber aus, und die Menschen legten den Zauber wie immer zu Ihrem Datenrohling, oder nicht ? Nein! Denn der Mensch war böse und hatte den guten Zauber für seine Fälschung erbeten. Da der alte Stern alt und gebrechlich war, erkannte er dies nicht und so konnte der Mensch seine Fälschung in einen infiltrierten Datenhort geben und den guten Schutzzauber dazu legen, ganz wie es die guten Menschen mit Ihren Datenrohlingen taten.

Ein böser Fluch kam über die Datenschiffer und alle diejenigen, die diese Datenrohlinge in Ihre Bratenröhre schoben. Die Menschen wandten sich an die Distributormenschen und diese verstanden die Welt nicht mehr. Genau deswegen hatten Sie doch den Schutzzauber zu Ihrem Rohling gelegt, auf daß die Schiffer vorher erkannten, das Ihrer echt war und der andere nicht. Der Datenrohling war nicht ihrer, ja, aber der Schutzzauber hätte das doch zeigen müssen!

Doch erst  dann, als es zu spät war, erkannten Sie Ihren Fehler: Sie hätten Ihren Schutzzauber in einen anderen Datenhort ablegen müssen, der nicht vom Bösen infiltriert gewesen ist.

Darum liebe Kinder merkt Euch: Digitale Signaturen und das damit signierte Datenpaket aus der gleichen gebrochenen Datenquelle zu vergleichen, ist komplett sinnlos. Signaturen, egal, ob alt und gebrechlich 😉 , gehören auf ein logisch nicht mit dem Datenfile zusammenhängenden anderen Datenspeicher, der anders abgesichert ist, als der für das signierte Datenfile.

Man darf weiterhin behaupten, es wäre eine gute Idee, keine gebrochenen Hashalgorithmen mehr zu benutzen. Aber das ist eine andere Geschichte.

 

 

2 thoughts on “Über den Sinn und Unsinn von MD5 Checksummen auf Webseiten

  1. Nachdem die Distributormenschen festgestellt hatten, dass das Ablegen von Hashes im gleichen Datenhort eine gar schlechte Idee war, riefen sie einen Gelehrten, der fortan eigenhändig wie nur er es kann und mit allerlei mathematischem Geschick ein Dokument anfertigte, in dem der Schutzzauber und ausserdem seine unfälschbare Unterschrift enthalten war. Dieses Dokument konnte ohne Bedenken im gleichen Datenhort gespeichert werden, denn keiner konnte wie der Gelehrte signieren. Sodann verkündeten die Distributormenschen: du sollst nur des Gelehrten Unterschrift als richtig erkennen und erst dann den Schutzzauber prüfen!

  2. Bleibt noch der Einsatz eines unsicheren Hashalgos, gegen den die PGP Signatur der duplizierbaren Signatur auch nicht hilft 😉 Ich bin mal gespannt, wann das jemand (für iso files ) zu einem konkreten Angriff ausnutzt, wenn es nicht sogar schon jemand gemacht hat.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.