Checksum von Exe Dateien etc.

[coinling]

Bei vielen Downloads gerade im Cryptobereich gibt es ja immer wieder die Möglichkeit die Files nach SHA oder sonstigen Hashes zu überprüfen.
Da die Hashes aber oft direkt auf der selben Seite wie der Downloadlink ist, wie kann ich da sicher sein, dass der nicht auch einfach an die Malware File angepasst wurde ?

Irgendwie scheint mir das System noch nicht wirklich sicher, der Hash sollte doch z.b. in einer Bitcoin Blockchain signierten Message von jemandem, dem man 100% vertraut geschrieben sein, damit er wirklich fälschungssicher ist ?

Z.b. bei IOTA steht einfach bei github neben den Releases der Hash, woher weiß ich, dass dieser korrekt ist ? https://github.com/iotaledger/wallet/releases

Er hat ja eigentlich keinen Mehrwert, wenn er direkt von dort stammt wo man die Datei runterläd?

Danke für Erklärungen.

[mezzomix]

Hashes sichern die Dateien nur gegen Übertragungsfehler oder Fehler des Speichermediums ab. Wenn die Integrität des Archivs vom Entwickler sichergestellt werden soll, dann wird signiert.

[redhorse]

Du hast das schon richtig erkannt: Für die Überprüfung muss man dem Originalhash trauen können.
Oft liegen ja Downloads auf zahlreichen Mirror-Seiten im Internet, die gar nicht vom Hersteller der Software betrieben werden (klassisches Beispiel sind Linux-Distributionen). Hier kann man sicherstellen, dass auf dem Mirror nix verändert wurde, indem man mit dem Hashwert mit dem von der offiziellen Herstellerseite vergleicht (auch hier muss man darauf vertrauen, dass niemand die Seite gehackt und falsche Hashwerte eingeschleust hat - das würde aber auch schnell auffallen).

[redhorse]

Weils grad so gut zu dem Thema passt - kaum ausgeschrieben, schon ist es wo passiert:
https://bitcoingold.org/critical-warning-nov-26/