Integrität von ISO-Dateien überprüfen

Ich lese auf den Internetseiten von Linux-Distributionen und in Onlineforen, ich solle die Integrität der Installations-Images überprüfen. Wie mache ich das?

In seltenen Fällen kann es zu Fehlern bei der Dateiübertragung kommen. Außerdem ist es theoretisch möglich, dass ein Angreifer vor oder während des Downloads die ISO-Datei gegen ein manipuliertes Installationsimage austauscht. Mit einer Prüfsumme stellen Sie sicher, dass die heruntergeladene ISO-Datei exakt der vom Projekt veröffentlichten entspricht. Technisch handelt es sich bei der Prüfsumme um einen kryptografischen Hash; der dazu am häufigsten verwendete Algorithmus heißt SHA-256.

Sie überprüfen die ISO-Datei, indem Sie eine Prüfsumme berechnen und diese mit der vom Projekt bekannt gegebenen Prüfsumme vergleichen. Diese finden Sie meist in einem checksum-file; eine Textdatei, welche die Prüfsumme der ISO-Datei enthält und mit PGP kryptografisch signiert ist. Die Datei mit der Prüfsumme finden Sie auf der Downloadseite, wo Sie auch das ISO heruntergeladen haben. Bei Linux Mint etwa heißt die Datei sha256sum.txt.

Unter Windows berechnen Sie die Prüfsumme mit dem Befehl certutil. Öffnen Sie über Windows+X ein Terminal und geben Sie certutil -hashfile ein. Ziehen Sie dann die ISO-Datei in das Terminalfenster, damit Windows den Pfad zur Datei ergänzt, und ergänzen Sie dahinter sha256. Der gesamte Befehl, um die Prüfsumme zu berechnen, lautet wie folgt, wobei ISODATEI für den Dateipfad steht (zum Beispiel "C:\Users\ct\Dowloads\linuxmint…64bit.iso"):

certutil -hashfile "ISODATEI" sha256

Unter Linux gelangt man noch einfacher ans Ziel:

sha256sum ISODATEI 

Vergleichen Sie das Ergebnis mit dem in sha256sum.txt hinterlegten Wert. Falls sie nicht identisch sind, laden Sie die ISO-Datei noch einmal herunter. Gegen den unwahrscheinlichen Fall eines Manipulationsversuchs schützen Sie sich, indem Sie zusätzlich auch die PGP-Signatur der Referenzdatei überprüfen.

(ktn)