Checksum (Pruefsumme)
Eine Pruefsumme (englisch: Checksum) ist ein Wert, der aus einer Datenmenge berechnet wird, um deren Integritaet zu ueberpruefen. Sie funktioniert wie ein digitaler Fingerabdruck: Aendert sich auch nur ein einziges Bit in den Ursprungsdaten, ergibt die Neuberechnung eine voellig andere Pruefsumme.
Das Grundprinzip ist einfach: Vor der Uebertragung oder Speicherung berechnet der Absender die Pruefsumme. Nach dem Empfang berechnet der Empfaenger die Pruefsumme erneut und vergleicht beide Werte. Stimmen sie ueberein, sind die Daten mit hoher Wahrscheinlichkeit unveraendert. Bei Abweichungen liegt ein Fehler oder eine Manipulation vor.
Funktionsweise von Pruefsummen
Eine Pruefsumme wird durch einen mathematischen Algorithmus berechnet, der die Eingabedaten verarbeitet und einen Wert fester Laenge erzeugt. Die einfachste Form ist die Quersumme: Bei der Zahl 34567 ergibt sich 3+4+5+6+7=25. In der IT-Praxis werden jedoch komplexere Verfahren eingesetzt, die deutlich zuverlaessiger arbeiten.
Der Berechnungsprozess laeuft in mehreren Schritten ab:
- Daten einlesen: Die zu pruefenden Daten werden blockweise verarbeitet
- Algorithmus anwenden: Jeder Block durchlaeuft mathematische Operationen
- Ergebnis aggregieren: Die Teilergebnisse werden zu einer finalen Pruefsumme zusammengefasst
- Ausgabe erzeugen: Das Ergebnis hat immer die gleiche Laenge, unabhaengig von der Eingabegroesse
Eine wichtige Eigenschaft: Selbst bei gigabytegroßen Dateien ist die Pruefsumme nur wenige Zeichen lang. Eine SHA-256-Pruefsumme besteht beispielsweise immer aus 64 hexadezimalen Zeichen.
Gaengige Pruefsummen-Algorithmen
Je nach Anwendungsfall kommen unterschiedliche Algorithmen zum Einsatz. Sie unterscheiden sich in Komplexitaet, Geschwindigkeit und Sicherheitsniveau.
CRC (Cyclic Redundancy Check)
CRC ist ein weit verbreitetes Verfahren zur Fehlererkennung in der Datenuebertragung. Es basiert auf Polynomdivision und kann Mehrfachfehler sowie systematische Fehler zuverlaessig erkennen. Du findest CRC in Ethernet-Frames, ZIP-Archiven und vielen Netzwerkprotokollen. CRC32 erzeugt eine 32-Bit-Pruefsumme und ist fuer die Fehlererkennung optimiert, jedoch nicht fuer kryptographische Sicherheit.
MD5 (Message Digest 5)
MD5 erzeugt einen 128-Bit-Hash (32 hexadezimale Zeichen). Der Algorithmus war jahrelang Standard, gilt heute jedoch als kryptographisch unsicher, da Kollisionen (verschiedene Eingaben mit gleichem Hash) praktisch berechnet werden koennen. Fuer einfache Integritaetspruefungen bei Downloads wird MD5 noch verwendet, fuer sicherheitskritische Anwendungen wie Passwoerter oder digitale Signaturen solltest du es nicht mehr einsetzen.
SHA-Familie (Secure Hash Algorithm)
Die SHA-Algorithmen wurden vom US-amerikanischen NIST (National Institute of Standards and Technology) standardisiert und bieten unterschiedliche Sicherheitsniveaus:
- SHA-1: Erzeugt 160-Bit-Hashes (40 Zeichen). Gilt seit 2017 als gebrochen und sollte nicht mehr verwendet werden
- SHA-256: Teil der SHA-2-Familie, erzeugt 256-Bit-Hashes (64 Zeichen). Aktueller Standard fuer die meisten Anwendungen
- SHA-512: Erzeugt 512-Bit-Hashes (128 Zeichen). Bietet hoechste Sicherheit, ist aber langsamer
SHA-256 ist heute der empfohlene Standard fuer Integritaetspruefungen und kryptographische Anwendungen. Er bietet ein gutes Verhaeltnis zwischen Sicherheit und Performance.
Unterschied: Checksum vs. Hash
Die Begriffe werden oft synonym verwendet, beschreiben aber unterschiedliche Konzepte:
| Eigenschaft | Checksum (Pruefsumme) | Kryptographischer Hash |
|---|---|---|
| Zweck | Fehlererkennung | Sicherheit und Integritaet |
| Geschwindigkeit | Sehr schnell | Langsamer |
| Kollisionsresistenz | Gering | Hoch |
| Beispiele | CRC32, Quersumme | SHA-256, SHA-512 |
| Einsatz | Netzwerkprotokolle, Archive | Passwoerter, Signaturen, Downloads |
Eine einfache Checksum wie CRC reicht aus, um zufaellige Uebertragungsfehler zu erkennen. Gegen absichtliche Manipulation schuetzt sie jedoch nicht, da ein Angreifer die Checksum passend berechnen kann. Kryptographische Hashes wie SHA-256 machen dies praktisch unmoeglich.
Einsatzgebiete von Pruefsummen
Software-Downloads verifizieren
Softwarehersteller veroeffentlichen neben ihren Downloads haeufig die zugehoerigen SHA-256-Pruefsummen. Damit kannst du sicherstellen, dass du eine unveraenderte Originaldatei erhalten hast und nicht etwa eine mit Schadsoftware manipulierte Version. Das Bundesamt fuer Sicherheit in der Informationstechnik (BSI) empfiehlt dieses Vorgehen ausdruecklich.
Datenuebertragung in Netzwerken
Bei der Datenuebertragung koennen Bits durch elektromagnetische Stoerungen oder Hardware-Fehler "umkippen". Netzwerkprotokolle wie TCP/IP verwenden deshalb Pruefsummen im Header jedes Pakets. Der IP-Header enthaelt eine eigene Checksum, die bei jedem Router neu berechnet wird. Auch Ethernet-Frames nutzen CRC zur Fehlererkennung auf der Sicherungsschicht.
Datenspeicherung und Backup
Moderne Dateisysteme wie ZFS und Btrfs berechnen Pruefsummen fuer jeden Datenblock. Beim Lesen wird die Pruefsumme erneut berechnet und verglichen. So erkennt das System Bitfehler auf Festplatten (Silent Data Corruption) und kann diese bei redundanter Speicherung automatisch korrigieren. Auch bei Backups solltest du Pruefsummen speichern, um die Integritaet deiner Sicherungen verifizieren zu koennen.
Pruefsummen im Alltag
Auch außerhalb der IT begegnest du Pruefsummen: Die letzte Ziffer einer ISBN-Nummer ist eine Pruefziffer. Gleiches gilt fuer Kreditkartennummern (Luhn-Algorithmus) und IBAN-Kontonummern. Sie erkennen Tippfehler bei der manuellen Eingabe.
Pruefsummen in der Praxis berechnen
Als Fachinformatiker fuer Systemintegration oder Anwendungsentwicklung wirst du regelmaessig mit Pruefsummen arbeiten. Hier sind die wichtigsten Befehle fuer die gaengigen Betriebssysteme.
Linux und macOS
Linux-Systeme bieten standardmaessig Kommandozeilen-Tools fuer alle gaengigen Hash-Algorithmen:
# SHA-256-Pruefsumme berechnen (empfohlen)
sha256sum datei.iso
# MD5-Pruefsumme berechnen
md5sum datei.iso
# SHA-512-Pruefsumme berechnen
sha512sum datei.iso
# Pruefsumme aus Datei verifizieren
sha256sum -c checksums.txt
Die Ausgabe zeigt die berechnete Pruefsumme gefolgt vom Dateinamen. Bei der Verifikation mit -c gibt das Tool OK oder FAILED fuer jede geprueft Datei aus.
Windows PowerShell
Windows bietet mit PowerShell das Cmdlet Get-FileHash fuer die Berechnung von Pruefsummen:
# SHA-256-Pruefsumme berechnen (Standard)
Get-FileHash datei.iso
# MD5-Pruefsumme berechnen
Get-FileHash datei.iso -Algorithm MD5
# SHA-512-Pruefsumme berechnen
Get-FileHash datei.iso -Algorithm SHA512
# Pruefsumme mit erwartetem Wert vergleichen
$hash = Get-FileHash datei.iso
if ($hash.Hash -eq "erwartetePruefsumme") { "OK" } else { "FAILED" }
Alternativ kannst du in der klassischen Eingabeaufforderung certutil verwenden: certutil -hashfile datei.iso SHA256.
Pruefsummen und IT-Sicherheit
Pruefsummen spielen eine zentrale Rolle in der Authentifizierung und Integritaetssicherung. Bei der TLS-Verschluesselung werden Hash-Funktionen verwendet, um die Integritaet der uebertragenen Daten sicherzustellen. Auch DNSSEC nutzt kryptographische Hashes, um DNS-Antworten vor Manipulation zu schuetzen.
In der forensischen Analyse sind Pruefsummen unverzichtbar: Sie dokumentieren, dass digitale Beweismittel seit der Sicherung nicht veraendert wurden. Ohne diese Nachweismoeglichkeit waeren digitale Beweise vor Gericht anfechtbar.
Quellen und weiterfuehrende Links
- RFC 1071 - Computing the Internet Checksum - Technische Spezifikation der IP-Checksum
- Wikipedia: Pruefsumme - Ausfuehrlicher Ueberblick mit mathematischen Grundlagen
- Wikipedia: Checksum (EN) - Englischsprachige Referenz mit technischen Details