Hallo zusammen,

ich hätte da mal eine Frage zu md5sum:

Viele Paketanbieter geben zu ihren Paketen auch die md5-Prüfsumme an. Soweit ich das verstanden habe, sollte man nach dem Download prüfen, ob diese Summe auch übereinstimmt. Nur verstehe ich jetzt den Sinn dahinter nicht. Wenn es jemandem gelingen sollte, das Paket an sich auf dem Server zu verändern, dann sollte es ihm doch auch gelingen, das Prüfsummen-File zu ändern. Oder geht es hier in erster Linie um den ordnungsgemäßen Download an sich? Nur, wenn der schiefgeht, dann ist sowieso meist das Paket nicht weiter verwendbar. Also, warum dann überhaupt prüfen?

Danke

michel_vaclav

Oder geht es hier in erster Linie um den ordnungsgemäßen Download an sich? Nur, wenn der schiefgeht, dann ist sowieso meist das Paket nicht weiter verwendbar. Also, warum dann überhaupt prüfen?
Dann weiß man wenigstens, warum es nicht verwendbar ist.
Und bei größeren Files, z.B. ISOs, hilft das dann auch ganz gut Rohlinge zu sparen.

Wenn es jemandem gelingen sollte, das Paket an sich auf dem Server zu verändern, dann sollte es ihm doch auch gelingen, das Prüfsummen-File zu ändern.
Oft ist es auch so, dass die Prüfsumme an anderer Stelle liegt. Dann macht es wieder Sinn ;)

Gruss Robert

Oft ist es auch so, dass die Prüfsumme an anderer Stelle liegt.

Wenn so ist, wärs ok. Nur meist liegen das File und das md5sum-File einträchtig nebeneinander auf dem ftp-Server.

Gruß

michel_vaclav

Wenn so ist, wärs ok. Nur meist liegen das File und das md5sum-File einträchtig nebeneinander auf dem ftp-Server.


Dafür gibts dann ja digitale Signaturen. md5-Prüfsummen sind nur dazu gedacht, den korrekten Download zu überprüfen.

Selbst wenn die md5-Prüfsumme auf einem anderen Server liegen würde: Wenn jemand die tar-Datei (oder das rpm oder was auch immer) manipulieren kann, kann er auch auf dem Server eine passende md5-Prüfsumme hinterlegen. Die "richtige" Prüfsumme liegt dann weiterhin auf dem anderen Server, nur niemand weiß davon...