MD5

Kurze Erklärung
Was ist MD5? Nun, dabei handelt es sich nicht um einen neuen Geheimdienst, sondern schlicht um eine Prüfsumme. Prüfsummen werden primär verwendet um zwei Dinge festzustellen bzw. auszuschliessen: a) Übertragungsfehler und b) Manipulation. MD5 ist also nur eine von vielen Methoden um eine Prüfsumme zu erzeugen und zu prüfen. Obwohl es inzwischen schon recht betagt ist, es wurde 1991 entwickelt, gilt dessen erzeugte Prüfsumme nach wie vor als fälschungssicher. MD5 wird normal bei sehr grossen Dateien verwendet, da hier die Gefahr eines Übertragungsfehlers naturgemäss höher ist als bei sehr kleinen Dateien.

In der Praxis erzeugt der Sender (in diesem Falle meine Wenigkeit) eine Prüfsumme der eigentlichen Datei. Diese Prüfsumme wird dann neben der Datei ebenfalls zur Verfügung gestellt. Der Empfänger (also Sie) kann nun mit einem geeigneten Programm anhand der Prüfsumme überprüfen ob die Datei erstens korrekt übertragen wurde und zweitens ob sie sich noch im Originalzustand befindet. Es gibt zwei Methoden um die Prüfsumme zur Verfügung zu stellen: entweder als kleine Datei oder als simpler Text direkt auf der Webseite. In letzterem Fall muss man selbst die Prüfsumme in das MD5 Tool zum überprüfen eintragen.

Verwendung auf GTH
Auf GTH wird zu jedem Tool eine MD5 Prüfsumme angeboten, einmal als normaler Text und einmal als fertige MD5 Datei zum herunterladen. Damit kann nach dem Download des jeweiligen Installers und/oder ZIP Archivs schnell und sicher festgestellt werden, ob der Installer und/oder ZIP Archiv korrekt und unverändert vorliegt (Integrität). Mit MD5 kann jedoch nicht festgestellt werden, von wem das Tool tatsächlich stammt! Dazu gibts die digitale Signatur. (siehe PGP)

MD5 Software
Als erstes führe ich den professionellen Dateimanager Total Commander auf. Dieser Dateimanager kann einfach und schnell sowohl MD5 erzeugen als auch prüfen.

Ein weiteres sehr einfach zu bedienendes Windows Tool ist MD5summer welches ohne Installation auskommt und sowohl MD5 prüfen als auch erzeugen kann. Dieses Tool ist aufgrund seiner einfach zu bedienenden Oberfläche das ideale Tool für Benutzer. Die Sprache des Tools ist allerdings englisch.

MD5SUM.EXE ist ein batchfähiges Tool zur Erstellung und Überprüfung von MD5 Prüfsummen. In automatisierten Produktionsumgebungen, wie ich sie z.B. einsetze für meine eigenen Programme, ist ein Tool mit Oberfläche fehl am Platz, da dessen Bedienung zuviel Zeit in Anspruch nehmen würde. Solche Dinge müssen automatisiert ablaufen können und genau für diesen Fall wurde dieses kleine Programm für die Windows Konsole entwickelt. Dieses Tool ist also primär für Skript Autoren gedacht und weniger für den normalen Benutzer.

Ich persönlich brauche in der täglichen Praxis meiner automatisierten Produktionsumgebung nur die MD5SUM.EXE. Für das gelegentliche manuelle erzeugen und prüfen verwende ich den Total Commander. Es gibt noch viele andere MD5 Tools. Es ist für jeden Anspruch, Einsatzzweck und Betriebssystem etwas dabei, einfach mal auf die Suche gehen.


PGP

Kurze Erklärung
PGP ist eine Software zum verschlüsseln und/oder digitalen unterschreiben wichtiger Informationen oder Dateien. Die erste PGP Version stammt von 1991. Die Entstehung bzw. Entwicklung von PGP (Pretty Good Privacy) ist eines der interessantesten Kapitel der IT Geschichte. Sein Erfinder Philip Zimmermann setzte sich damals das Ziel eine Software zu entwickeln, mit der auch Privatpersonen die Möglichkeit haben vertrauliche Daten mit einer starken Verschlüsselung schützen zu können. Dadurch geriet Philip Zimmermann ins Visier der US Regierung und musste sich jahrelang mit der US Zollbehörde auseinandersetzen. Dazu ist ein Ausschnitt von der entsprechenden Wikipedia PGP Seite besonders interessant:

"PGP durfte in seinen Anfangsjahren nicht lizenzfrei aus den USA exportiert werden, da es, ähnlich wie Waffen, unter das US-Exportgesetz fiel. Danach unterlagen Kryptosysteme mit Schlüsseln von mehr als 40 Bit Länge für die symmetrische Verschlüsselung besonderen Exportbestimmungen. Die ersten PGP-Versionen verwendeten den IDEA mit 128 Bit Schlüssellänge. Ende der 90er Jahre liberalisierten die USA diese Gesetze.

Um die Exportbeschränkung zu umgehen, wurde der vollständige Quellcode 1995 in dem Buch „PGP Source Code and Internals“ von Phil Zimmermann veröffentlicht. Als Buch konnte die Software legal aus den USA exportiert werden. Es wurde von über 60 Freiwilligen per Hand abgetippt. Aus dem abgetippten Programmcode wurde dann eine international verfügbare Version von PGP (PGPi) kompiliert."

Quelle: Pretty Good Privacy - Wikipedia

Heute ist PGP und dessen freie Alternative GnuPG rund um den Globus verbeitet.

Verwendung auf GTH
Zu jedem meiner eigenen Tools welches entweder als Installer und/oder als ZIP Archiv verfügbar ist, kann eine sogenannte digitale Signatur heruntergeladen werden. Damit lassen sich gleich 3 Dinge feststellen: 1) ob die Datei unverändert ist (Integrität, siehe auch MD5) und 2) von wem die Datei tatsächlich stammt (Authentizität) und 3) wann die Datei unterschrieben (zeitlicher Nachweis), also mit einem Zertifikat versehen wurde. Im Gegensatz zu einer händischen Unterschrift ist die digitale PGP Signatur absolut fälschungssicher und kann zweifelsfrei dem Unterzeichner zugeordnet werden. Jedes Archiv und jeder Installer wird nach dem Produktionsablauf direkt und persönlich von mir unterzeichnet.

PGP Software
Durch den Hickhack in der Vergangenheit mit Lizenz-Problemen und Besitzerwechsel der PGP Software, empfehle ich GnuPG. Hierbei sollte jedoch GnuPT oder Gpg4win der Vorzug gegeben werden. Dabei handelt es sich sozusagen um Windows-Distributionen von GnuPG mit grafischer Benutzeroberfläche. Das original GnuPG ist nur Kommandozeilen-Fetischisten bzw. PC Profis zu empfehlen, die auch in einer DOS-Box noch wissen was zu tun ist. 
;-) Aufgrund meiner Erfahrungen mit beiden GPG Windows Paketen empfehle ich ganz klar GnuPT. Gpg4win ist ein aufgeblassenes Monstrum mit vielen Abhängigkeiten und einem völlig instabilen Schlüsselmanager namens Kleopatra. GnuPT ist dagegen schön kompakt und hat einen durchdachten Schlüsselmanager der zudem absolut stabil läuft. Zu GnuPT empfehle ich noch das Add-On GnuPT-GPGee mit dem man dann im Kontextmenü (rechte Maustaste) des Explorers sehr einfach auf die wichtigsten Funktionen von GnuPG wie z.B. Datei verschlüsseln/entschlüsseln oder Signatur überprüfen zugreifen kann.

Mein persönlicher Favorit ist jedoch weiterhin PGP 6.5.8 und zwar nur in der modifizierten Version PGP 6.5.8 CKT (Cyber Knights Templar) von Imad R. Faiad. Diese Variante enthält einige Verbesserungen sowie vor allem Korrekturen bez. Sicherheitslücken und ist im Gegensatz zum Original vollständig für Windows XP geeignet. Diese Variante geniest nach wie vor einen sehr guten Ruf in der Welt der Kryptographie. Leider steht sie nicht mehr allgemein zum Download zur Verfügung, soweit ich weiss wegen Lizenz-Problemen. Wer jedoch ein wenig sucht, wird auch fündig.

Weitere Infos zu PGP
Wer sich weiter mit PGP auseinandersetzen möchte, dem empfehle ich die deutschsprachige Seite von Kai Raven. Leider entschied sich Kai den Internet Explorer bez. der Browser Kompatibilität aussen vor zu lassen, der Webauftritt sieht also etwas merkwürdig aus (zumindest bis einschliesslich IE 6). Die Infos auf seiner Seite sehe ich als erstklassig an und sind eig. Pflicht-Lektüre für jeden der sich mit PGP im speziellen und Verschlüsselung/Privatsphäre im allgemeinen beschäftigen möchte. Weiterhin lohnt auch ein Besuch der internationalen PGP Webseite die natürlich eine ganze Menge an Informationen rund um PGP bereithält, sowie alle bisherigen PGP Versionen für eine Vielzahl von Betriebssystemen.