Freigeisterhaus Foren-Übersicht
 FAQFAQ   SuchenSuchen   MitgliederlisteMitgliederliste   NutzungsbedingungenNutzungsbedingungen   BenutzergruppenBenutzergruppen   LinksLinks   RegistrierenRegistrieren 
 ProfilProfil   Einloggen, um private Nachrichten zu lesenEinloggen, um private Nachrichten zu lesen   LoginLogin 

ZIP File signieren

 
Neues Thema eröffnen   Neue Antwort erstellen   Drucker freundliche Ansicht    Freigeisterhaus Foren-Übersicht -> DAU's Paradise
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
pittbull
registrierter User



Anmeldungsdatum: 26.07.2021
Beiträge: 102

Beitrag(#2257301) Verfasst am: 28.07.2021, 13:43    Titel: ZIP File signieren Antworten mit Zitat

Hallo liebe Freigeister im Haus ...

Mich würde mal interessieren, wie digitale Signatur funktioniert. Ich würde gern eine ZIP-Datei derart kennzeichnen, dass sie zwar jeder verändern kann, jedoch auch jeder wissen kann, ob sie verändert wurde, oder ob er das Original vor sich hat. Was gibt es da so für Tricks?
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Kat
ich bin dann mal weg...



Anmeldungsdatum: 29.04.2011
Beiträge: 1200

Beitrag(#2257314) Verfasst am: 28.07.2021, 15:12    Titel: Re: ZIP File signieren Antworten mit Zitat

pittbull hat folgendes geschrieben:
Hallo liebe Freigeister im Haus ...

Mich würde mal interessieren, wie digitale Signatur funktioniert. Ich würde gern eine ZIP-Datei derart kennzeichnen, dass sie zwar jeder verändern kann, jedoch auch jeder wissen kann, ob sie verändert wurde, oder ob er das Original vor sich hat. Was gibt es da so für Tricks?


Kannste natürlich machen - google halt mal nach Hash-Wert bzw. SHA-3

Die Frage ist halt, ob das Ganze den Aufwand wert ist?

Du bietest eine Datei auf Deinen Server an und lieferst den passenden Hash-Wert mit.
Soweit, sogut.

So, jetzt lädt jemand Deine Datei runter, verändert sie und lädt sie auf einen anderen Server hoch.
Was soll diesen "jemand" jetzt daran hindern, für diese veränderte Datei einen korrekten Hash-Wert zu berechnen und ebenfalls auf diesen anderen Server hochzuladen?

Gut, ein User könnte jetzt auf Deiner Seite nachschauen, wie der korrekte Hash-Wert lautet.
Aber wer macht sowas schon? Da ist es doch viel einfacher, die Datei gleich von Deinem Server runterzuladen.

Kat
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
sehr gut
dauerhaft gesperrt



Anmeldungsdatum: 05.08.2007
Beiträge: 14852

Beitrag(#2257321) Verfasst am: 28.07.2021, 15:30    Titel: Re: ZIP File signieren Antworten mit Zitat

pittbull hat folgendes geschrieben:
Hallo liebe Freigeister im Haus ...

Mich würde mal interessieren, wie digitale Signatur funktioniert. Ich würde gern eine ZIP-Datei derart kennzeichnen, dass sie zwar jeder verändern kann, jedoch auch jeder wissen kann, ob sie verändert wurde, oder ob er das Original vor sich hat. Was gibt es da so für Tricks?

Ich würde das Programm sha256sum nutzen.
Beispiel: sha256sum meinedatei.zip
ergibt
6486686fde97f0669c35a8c9947641913b0f8be81ae0454327ca24b1abaa6909

Wenn du diese Checksumme neben deinem *.zip anzeigst kann jeder der das checken will überprüfen ob die gleiche Checksumme bei ihm rauskommt.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
pittbull
registrierter User



Anmeldungsdatum: 26.07.2021
Beiträge: 102

Beitrag(#2257323) Verfasst am: 28.07.2021, 15:41    Titel: Re: ZIP File signieren Antworten mit Zitat

Kat hat folgendes geschrieben:
pittbull hat folgendes geschrieben:
Hallo liebe Freigeister im Haus ...

Mich würde mal interessieren, wie digitale Signatur funktioniert. Ich würde gern eine ZIP-Datei derart kennzeichnen, dass sie zwar jeder verändern kann, jedoch auch jeder wissen kann, ob sie verändert wurde, oder ob er das Original vor sich hat. Was gibt es da so für Tricks?


Kannste natürlich machen - google halt mal nach Hash-Wert bzw. SHA-3

Die Frage ist halt, ob das Ganze den Aufwand wert ist?

Du bietest eine Datei auf Deinen Server an und lieferst den passenden Hash-Wert mit.
Soweit, sogut.

So, jetzt lädt jemand Deine Datei runter, verändert sie und lädt sie auf einen anderen Server hoch.
Was soll diesen "jemand" jetzt daran hindern, für diese veränderte Datei einen korrekten Hash-Wert zu berechnen und ebenfalls auf diesen anderen Server hochzuladen?


Das ist ja das Ding. Ich will eben nicht, das jemand seine Kopie als sein Eigentum ausgibt, ohne dass Dritte die Möglichkeit haben, das als Plagiat zu erkennen.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Kat
ich bin dann mal weg...



Anmeldungsdatum: 29.04.2011
Beiträge: 1200

Beitrag(#2257326) Verfasst am: 28.07.2021, 15:47    Titel: Re: ZIP File signieren Antworten mit Zitat

sehr gut hat folgendes geschrieben:
pittbull hat folgendes geschrieben:
Hallo liebe Freigeister im Haus ...

Mich würde mal interessieren, wie digitale Signatur funktioniert. Ich würde gern eine ZIP-Datei derart kennzeichnen, dass sie zwar jeder verändern kann, jedoch auch jeder wissen kann, ob sie verändert wurde, oder ob er das Original vor sich hat. Was gibt es da so für Tricks?

Ich würde das Programm sha256sum nutzen.
Beispiel: sha256sum meinedatei.zip
ergibt
6486686fde97f0669c35a8c9947641913b0f8be81ae0454327ca24b1abaa6909

Wenn du diese Checksumme neben deinem *.zip anzeigst kann jeder der das checken will überprüfen ob die gleiche Checksumme bei ihm rauskommt.


Gut, aber auch jeder andere, der die Datei manipuliert, kann dann mit sha256sum eine korrekte Checksumme für die manipulierte Datei berechnen und veröffentlichen. Und das wollte pitbull ja gerade verhindern.

Den einzigen Vorteil den ich sehe ist, damit Übertragunsfehler zu erkennen.
Aber dafür reicht eigentlich auch die Komprimierung als ZIP.
Denn eine beschädigte ZIP Datei zeigt beim Entpacken an, dass sie beschädigt ist.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
sehr gut
dauerhaft gesperrt



Anmeldungsdatum: 05.08.2007
Beiträge: 14852

Beitrag(#2257342) Verfasst am: 28.07.2021, 16:24    Titel: Re: ZIP File signieren Antworten mit Zitat

Kat hat folgendes geschrieben:
Gut, aber auch jeder andere, der die Datei manipuliert, kann dann mit sha256sum eine korrekte Checksumme für die manipulierte Datei berechnen und veröffentlichen. Und das wollte pitbull ja gerade verhindern.

Seine Frage war:
pittbull hat folgendes geschrieben:
Mich würde mal interessieren, wie digitale Signatur funktioniert. Ich würde gern eine ZIP-Datei derart kennzeichnen, dass sie zwar jeder verändern kann, jedoch auch jeder wissen kann, ob sie verändert wurde, oder ob er das Original vor sich hat. Was gibt es da so für Tricks?

Also es gibt zB 5 gleichnamige *.zip Dateien und die Frage ist nach dem digitale-Signatur-Weg das Original aus denen herauszufinden. Ich würde dafür sha256sum nehmen.

Das man, um die Original-Datei herauszufinden, Zugriff auf die Original-Checksumme haben muß wär eine weitergehende Aufgabe.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Kat
ich bin dann mal weg...



Anmeldungsdatum: 29.04.2011
Beiträge: 1200

Beitrag(#2257356) Verfasst am: 28.07.2021, 17:09    Titel: Re: ZIP File signieren Antworten mit Zitat

sehr gut hat folgendes geschrieben:
Kat hat folgendes geschrieben:
Gut, aber auch jeder andere, der die Datei manipuliert, kann dann mit sha256sum eine korrekte Checksumme für die manipulierte Datei berechnen und veröffentlichen. Und das wollte pitbull ja gerade verhindern.

Seine Frage war:
pittbull hat folgendes geschrieben:
Mich würde mal interessieren, wie digitale Signatur funktioniert. Ich würde gern eine ZIP-Datei derart kennzeichnen, dass sie zwar jeder verändern kann, jedoch auch jeder wissen kann, ob sie verändert wurde, oder ob er das Original vor sich hat. Was gibt es da so für Tricks?

Also es gibt zB 5 gleichnamige *.zip Dateien und die Frage ist nach dem digitale-Signatur-Weg das Original aus denen herauszufinden. Ich würde dafür sha256sum nehmen.

Das man, um die Original-Datei herauszufinden, Zugriff auf die Original-Checksumme haben muß wär eine weitergehende Aufgabe.


Nein, das ist keine "weitergehende Aufgabe", sondern eher das Hauptproblem, nämlich die korrekte Checksumme zu findend.

Du hast also 5 namensgleiche, aber unterschiedliche ZIP-Dateien und dazu dann im Extremfall 5, jeweils dazu passende, korrekte Checksummen.

Dann bist Du so schlau wie vorher.

Gut, Du kannst die Checksumme von der Original-Homepage nehmen, aber dann kannst Du doch auch gleich die ZIP-Datei von der Original Homepage nehmen und den ganzen Quatsch mit der Checksumme sparen.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
pittbull
registrierter User



Anmeldungsdatum: 26.07.2021
Beiträge: 102

Beitrag(#2257399) Verfasst am: 28.07.2021, 18:45    Titel: Re: ZIP File signieren Antworten mit Zitat

sehr gut hat folgendes geschrieben:
pittbull hat folgendes geschrieben:
Hallo liebe Freigeister im Haus ...

Mich würde mal interessieren, wie digitale Signatur funktioniert. Ich würde gern eine ZIP-Datei derart kennzeichnen, dass sie zwar jeder verändern kann, jedoch auch jeder wissen kann, ob sie verändert wurde, oder ob er das Original vor sich hat. Was gibt es da so für Tricks?

Ich würde das Programm sha256sum nutzen.
Beispiel: sha256sum meinedatei.zip
ergibt
6486686fde97f0669c35a8c9947641913b0f8be81ae0454327ca24b1abaa6909

Wenn du diese Checksumme neben deinem *.zip anzeigst kann jeder der das checken will überprüfen ob die gleiche Checksumme bei ihm rauskommt.


Danke, das ist schonmal ein guter Anfang. Allerdings müsste die Checksum separat vom Zipfile gespeichert werden. Mir schwebte eher vor, dass die Checksum im Zipfile selbst gespeichert ist, aber so dass Zip & Prüfsumme nicht verändert werden können ohne dass die Manipulation aufällt.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Kat
ich bin dann mal weg...



Anmeldungsdatum: 29.04.2011
Beiträge: 1200

Beitrag(#2257406) Verfasst am: 28.07.2021, 19:14    Titel: Re: ZIP File signieren Antworten mit Zitat

pittbull hat folgendes geschrieben:
sehr gut hat folgendes geschrieben:
pittbull hat folgendes geschrieben:
Hallo liebe Freigeister im Haus ...

Mich würde mal interessieren, wie digitale Signatur funktioniert. Ich würde gern eine ZIP-Datei derart kennzeichnen, dass sie zwar jeder verändern kann, jedoch auch jeder wissen kann, ob sie verändert wurde, oder ob er das Original vor sich hat. Was gibt es da so für Tricks?

Ich würde das Programm sha256sum nutzen.
Beispiel: sha256sum meinedatei.zip
ergibt
6486686fde97f0669c35a8c9947641913b0f8be81ae0454327ca24b1abaa6909

Wenn du diese Checksumme neben deinem *.zip anzeigst kann jeder der das checken will überprüfen ob die gleiche Checksumme bei ihm rauskommt.


Danke, das ist schonmal ein guter Anfang. Allerdings müsste die Checksum separat vom Zipfile gespeichert werden. Mir schwebte eher vor, dass die Checksum im Zipfile selbst gespeichert ist, aber so dass Zip & Prüfsumme nicht verändert werden können ohne dass die Manipulation aufällt.


Zitat:
dass die Checksum im Zipfile selbst gespeichert ist


Klar, kein Problem: du nimmst deine Datei, berechnest die Prüfsumme und packst Datei und Prüfsumme in eine Zip-Datei. Allerdings bezieht sich die Prüfsumme dann auf die enthaltene Datei und nicht auf die ZIP-Datei. Das dürfte aber wohl egal sein.

Zitat:
aber so dass Zip & Prüfsumme nicht verändert werden können ohne dass die Manipulation aufällt.


Nein, derjenige der die Datei manipulieren will bräuchte dann nur die ZIP-Datei entpacken, die darin enthaltene Datei manipulieren. Zu dieser manipulierten Datei eine neue korrekte Prüfsumme berechnen und diese dann wieder zusammen mit der Datei zu eine ZIP Datei komprimieren.

Also m.E.: vergiss es!
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Critic
oberflächlich



Anmeldungsdatum: 22.07.2003
Beiträge: 15976
Wohnort: Arena of Air

Beitrag(#2257536) Verfasst am: 30.07.2021, 00:16    Titel: Antworten mit Zitat

Es soll ja auch nicht heißen, daß das gar nicht geht. Aber es scheint nunmal so zu sein, daß es ein bißchen schwierig ist, ?! Und es gilt natürlich bei jedem Mechanismus, daß der potentiell auszuhebeln ist, sobald man nur genügend Ressourcen in die Hand bekommt: Das kann der Code (oder das Binärprogramm) sein, der Key. Man hört halt z.B. davon, daß selbst einige Certificate Authorities nicht so "trustworthy" sind, sondern daß sich auch Person X anonym einen Key auf den Namen des Original-Herstellers ausstellen lassen könnte. (Also kann es sein, daß eine Software, die vermeintlich vom Original-Hersteller stammt, in Wirklichkeit dann doch nicht genuin sein könnte.) Oder man braucht halt einfach Rechenzeit, um einen Mechanismus zu "brute-forcen".

Die "normale Idee" dürfte sein, ein zweites Artefakt in der Hand zu behalten, beispielsweise auf seiner eigenen Original-Download-Seite irgendwas vorzuhalten, gegen das der Nutzer die Datei prüfen kann: Das sind Eigenschaften, die "weg" sind, sobald ein Dritter die Datei verändert. Also etwa ein schwer nachzuahmender Hashwert (SHA256?) oder anderer Key. Ist ja schon klar, daß zwei unterschiedliche Dateien nur relativ unwahrscheinlich auf den gleichen Hashwert mappen und insofern relativ sicher ist, ob es sich um die Original-Datei handelt.

Hin und wieder ist mir schon Software begegnet, die z.B. beim Start sich selbst überprüft, ob sie etwa "manipuliert" wurde: Man könnte also theoretisch ein "selbst-extrahierendes Archiv" erzeugen, das "sich selbst" überprüft, ob die ausführbare Datei oder der Dateninhalt bestimmte Eigenschaften besitzt. Was als Binärdatei vorliegt, kann aber auch gehackt werden, man müßte ja theoretisch nur an der richtigen Stelle in die Datei reinstechen und eine Bedingung ändern, schon geht es wieder ohne Fehlermeldung weiter.


Hatte dann "noch eine naive Idee": Komprimierte Dateien sind ja gewissermaßen "selbstsignierend": Wenn ich zwei Versionen einer Datei komprimiere, unterscheiden die sich nun einmal auch ihre Archive voneinander. Ich könnte beispielsweise angeben, daß beim Offset 0xAAAA in der Datei eine bestimmte Bytefolge steht, mit der der Nutzer vergleichen kann. Ich könnte ggf. auch mehrere Stellen angeben - je länger so eine Angabe ist, desto unwahrscheinlicher scheint sie ja zu fälschen. Das ist letztlich ähnlich einem (naiven) Hashwert, indem ich einen "Fingerabdruck" der Datei erstelle. Aber ich verschiebe die Überprüfung der Signatur quasi auf den Entpacker. Denn wenn ich das innenliegende Dokument verändert habe und dann meinetwegen mit dem Hex-Editor diese Bytes wieder zurückändere, um meine Manipulation zu "verschleiern", daß sie dem "Fingerabdruck" der Originaldatei entsprechen (und selbst wenn ich z.B. noch andere Checksummen etc. manipulieren würde), meckert oder crasht der Entpacker oder es kommt Datenmüll dabei heraus.


Theoretisch könnte man auch einen Archiver implementieren, der Dateien "RSA-mäßig" komprimiert, sprich: Es werden eigentlich zwei (genügend lange) Schlüssel X und Y generiert: Man verschlüsselt seine Original-Datei mit Code X, den man geheimhält. Jedermann kann aber die Datei mit dem Schlüssel Y entschlüsseln. Bei einer veränderten Datei würde das nicht funktionieren, weil ohne Kenntnis des Schlüssels X es sehr schwierig ist, eine Datei zu generieren, die auf Y entschlüsselt. Zumindest könnte, sofern eine bestimmte Menge von public keys offen daliegt und vereinbart ist, daß Nutzer N seine Datei grundsätzlich mit seinem Key verschlüsselt, der letzte Bearbeiter dann belegt werden. In den Tiefen des Netzes habe ich da zum Beispiel dieses gefunden:

"Public/private key pair encryption in 7Zip" ... dort wird z.B. ein Skript e7z verlinkt, das das illustriert.


Ich habe aber auch nochwas gefunden: zipsign: Sign and verify ZIP archives

In der Spezifikation von ZIP-Dateien ist etwa vorgesehen, daß man auch einen Kommentar an eine Datei anhängen kann. Dieser Kommentar könnte auch in einer Signatur bestehen, mit der sich der Urheber ausweisen kann. Ggf. könnte man dann natürlich auch eine "revision history" belegen. Anscheinend kann man das dann auch in die Datei einbetten, was kein Problem scheint, solange der private Schlüssel des Ausstellers dann auch geheim bleibt... Am Kopf kratzen.
_________________
"Die Pentagon-Gang wird in der Liste der Terrorgruppen geführt"

Dann bin ich halt bekloppt. Mit den Augen rollen

"Wahrheit läßt sich nicht zeigen, nur erfinden." (Max Frisch)
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
pittbull
registrierter User



Anmeldungsdatum: 26.07.2021
Beiträge: 102

Beitrag(#2257688) Verfasst am: 31.07.2021, 16:20    Titel: Antworten mit Zitat

Dank an alle die hier geschrieben haben. Ihr habt mich auf die richtige Spur gelockt. Das Thema "Digitale Signatur" ist lange bekannt. Wiki hat auch gute Artikel dazu.

Ich werde mich erstmal mit RSA-Kryptoalgorithmus beschäftigen. Das ist schonmal die halbe Miete.

Btw, das mit dem ZIP war nur ein Beispiel. Es sollte mit jeder Art von Datei funktionieren.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Beiträge der letzten Zeit anzeigen:   
Neues Thema eröffnen   Neue Antwort erstellen   Drucker freundliche Ansicht    Freigeisterhaus Foren-Übersicht -> DAU's Paradise Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehe zu:  
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.



Impressum & Datenschutz


Powered by phpBB © 2001, 2005 phpBB Group