Re: hashdeep noch empfohlen, oder umsteigen auf Alternative?
On 27.05.21 22:17, debian-mailing-lists@thomas.freit.ag wrote:
> Hi Marco,
>
> On 27.05.21 20:37, Marco Möller wrote:
>> Das Paket hashdeep wird zwar im Debian Repository aktiv betreut, die
letzte stabile Version der Entwickler ist jedoch von 2014.
>> https://github.com/jessek/hashdeep
>> Ist dieses Werkzeug so ausgereift und verlässlich, dass man keine
besonderen Aktualisierungen erwarten müsste und kann es ruhigen
Gewissens einsetzen, oder wird mittlerweile eine Alternative
>> zu benutzen empfohlen? Mich interessiert speziell die rekursive
Arbeitsweise und die Möglichkeit zum Abgleich der hashes mit denen in
einer zuvor aufgenommenen Datei.
>
> Solange du mit den unterstützten Hash-Varianten auskommst, kannst Du
vermutlich gut damit arbeiten. MD5 und SHA1 sind mittlerweile nicht mehr
state-of-the-art, weil kryptographisch angreifbar.
> Je nach dem, wofür Du es verwendest ist das aber nicht dramatisch
(und durch die Berechnung von mehreren Hashesverfahren pro Datei auch
addressiert), sha256 ist definitiv okay, whirlpool und
> tiger vermutlich auch. Der Code ist ja nicht besonders komplex, daher
sollten Bugs auch vom Maintainer gefixed werden können, moderne
Hashverfahren kommen vermutlich nicht dazu.
>
> Ich nutze als Alternative die Kombination von find und sha256sum
(oder andere Tools aus coreutils).
> Eine Datei (hier SHA256SUMS) mit Hashes aller Dateien unterhalb des
aktuellen Verzeichnisses erzeugt man mit zB.:
> find . -type f -print0 | xargs -0 sha256sum > SHA256SUMS
>
> Prüfen kann man dann einfach mittels:
> sha256sum -c SHA256SUMS
>
> Hat aus meiner Sicht den Vorteil, dass es distroübergreifend
funktioniert ohne das man hashdeep nachinstalliert. Kann allerdings
nicht wie Hashdeep auf neue bzw. nicht in der Liste enthaltene
> Dateien im geprüften Verzeichnis hinweisen (arbeitet nur die erzeugte
Datei ab, das kann man aber natürlich auch anders schnell herausfinden,
falls nötig). Ich nutze das für meine Zwecke vor
> Allem als Quickcheck für die Überprüfung von Backups.
>
> Mit find-Parametern kann man hashdeep-ähnlich auch die Liste der
Dateien eingrenzen (Größen, Namenspattern, ...), wenn man will. Nimmt
man sha256sum (oder Tools mit anderen aktuelle
> Hash-Verfahren) muss man auch nicht mehrere Hashes für eine Datei
berechnen (Bottleneck ist häufig ja sowieso Lesegeschwindigkeit des
Storage und nicht CPU). Mit xargs kann man bei Bedarf auf
> mehrere Cores parallelisieren.
>
> Willst Du dich gegen Manipulationen schützen (bzw. die mindestens
sicher erkennen) musst Du in jedem Fall die Datei mit den Hashes
signieren, egal ob per Hashdeep oder einem Hashingtool aus
> den coreutils
>
> hth,
> Thomas
>
sha256sum -c SHA256SUMS
Dass man auch mit sha256sum recht einfach gegen eine Datei voller hashes
prüfen kann war mir gar nicht klar. Dann würde mir sha256sum oder
vergleichbares zusammen mit dem find Befehl tatsächlich auch ausreichen.
Mir geht es nur darum einige durch einfaches kopieren angelegten Backups
gelegentlich mal darauf zu prüfen, ob sie auch noch fehlerfrei wieder
gelesen werden können, für den Fall dass ich sie mal bräuchte. Trotz der
bekannten Schwäche wollte ich dazu wegen der sehr hohen Geschwindigkeit
einfach nur md5 verwenden, denn meine Rechner sind alle schon etwas
älter und weniger belastbar (ein Core2Duo Laptop und ein i5 der 2ten
Generation PC werkeln hier noch als tägliche Arbeitswerkzeuge).
Bezüglich der abzusichernden Daten, private Dokumente und
wissenschaftliche Messdaten von typischen Akademikerrechnern in Haushalt
und Büro, erscheint mir das Risiko extrem gering durch Austricksen der
md5 hashes angegriffen zu werden.
Deine Einschätzung, so wie ich sie verstanden habe und in meine Worte
fasse, dass der zugrundeliegende Code in einem Werkzeug wir hashdeep für
einen Profi noch recht einfach zu überschauen ist bestärkt mich in
meiner Vermutung dass das Werkzeug dann wohl recht ausgereift sein kann
und regelmäßige Updates gar nicht mehr erwartet werden müssten.
Viele Dank!
Gruß, Marco.
Reply to: