Re: hashdeep noch empfohlen, oder umsteigen auf Alternative?

To: debian-user-german@lists.debian.org
Subject: Re: hashdeep noch empfohlen, oder umsteigen auf Alternative?
From: debian-mailing-lists@thomas.freit.ag
Date: Thu, 27 May 2021 22:17:21 +0200
Message-id: <[🔎] d99600d3-8ed3-f330-0912-9b8dd9744084@freit.ag>
In-reply-to: <[🔎] 87df470a-7de2-dc9b-6bfb-62ddf2477500@debianlists.mobilxpress.net>
References: <[🔎] 87df470a-7de2-dc9b-6bfb-62ddf2477500@debianlists.mobilxpress.net>

Hi Marco,

On 27.05.21 20:37, Marco Möller wrote:
> Das Paket hashdeep wird zwar im Debian Repository aktiv betreut, die letzte stabile Version der Entwickler ist jedoch von 2014.
> https://github.com/jessek/hashdeep
> Ist dieses Werkzeug so ausgereift und verlässlich, dass man keine besonderen Aktualisierungen erwarten müsste und kann es ruhigen Gewissens einsetzen, oder wird mittlerweile eine Alternative
> zu benutzen empfohlen? Mich interessiert speziell die rekursive Arbeitsweise und die Möglichkeit zum Abgleich der hashes mit denen in einer zuvor aufgenommenen Datei.

Solange du mit den unterstützten Hash-Varianten auskommst, kannst Du vermutlich gut damit arbeiten. MD5 und SHA1 sind mittlerweile nicht mehr state-of-the-art, weil kryptographisch angreifbar.
Je nach dem, wofür Du es verwendest ist das aber nicht dramatisch (und durch die Berechnung von mehreren Hashesverfahren pro Datei auch addressiert), sha256 ist definitiv okay, whirlpool und
tiger vermutlich auch. Der Code ist ja nicht besonders komplex, daher sollten Bugs auch vom Maintainer gefixed werden können, moderne Hashverfahren kommen vermutlich nicht dazu.

Ich nutze als Alternative die Kombination von find und sha256sum (oder andere Tools aus coreutils).
Eine Datei (hier SHA256SUMS) mit Hashes aller Dateien unterhalb des aktuellen Verzeichnisses erzeugt man mit zB.:
	find . -type f -print0 | xargs -0 sha256sum > SHA256SUMS

Prüfen kann man dann einfach mittels:
	sha256sum -c SHA256SUMS

Hat aus meiner Sicht den Vorteil, dass es distroübergreifend funktioniert ohne das man hashdeep nachinstalliert. Kann allerdings nicht wie Hashdeep auf neue bzw. nicht in der Liste enthaltene
Dateien im geprüften Verzeichnis hinweisen (arbeitet nur die erzeugte Datei ab, das kann man aber natürlich auch anders schnell herausfinden, falls nötig). Ich nutze das für meine Zwecke vor
Allem als Quickcheck für die Überprüfung von Backups.

Mit find-Parametern kann man hashdeep-ähnlich auch die Liste der Dateien eingrenzen (Größen, Namenspattern, ...), wenn man will. Nimmt man sha256sum (oder Tools mit anderen aktuelle
Hash-Verfahren) muss man auch nicht mehrere Hashes für eine Datei berechnen (Bottleneck ist häufig ja sowieso Lesegeschwindigkeit des Storage und nicht CPU). Mit xargs kann man bei Bedarf auf
mehrere Cores parallelisieren.

Willst Du dich gegen Manipulationen schützen (bzw. die mindestens sicher erkennen) musst Du in jedem Fall die Datei mit den Hashes signieren, egal ob per Hashdeep oder einem Hashingtool aus
den coreutils

hth,
Thomas

Reply to:

Follow-Ups:
- Re: hashdeep noch empfohlen, oder umsteigen auf Alternative?
  - From: Marco Möller <talby@debianlists.mobilxpress.net>

References:
- hashdeep noch empfohlen, oder umsteigen auf Alternative?
  - From: Marco Möller <talby@debianlists.mobilxpress.net>

Prev by Date: Webex zeigt kein Video - liegts am codec
Next by Date: Re: Webex zeigt kein Video - liegts am codec
Previous by thread: hashdeep noch empfohlen, oder umsteigen auf Alternative?
Next by thread: Re: hashdeep noch empfohlen, oder umsteigen auf Alternative?
Index(es):
- Date
- Thread