gesellschaften Worten: Er kann im Zweifelsfall auch bereits gefakte
> Prüfsummen liefern und so den Prüfsummenvergleich präparierter
> Software als Identifikationskriterium neutralisieren.
Das ist richtig. Eine sichere Abwehr wären kryptographische
Signaturen, an Stelle einfacher Prüfsummen.
Aber praktisch halte ich die Manipulation der Checksummen für nicht
ganz trivial, wenn man sich eine Download-Seite mal ansieht: Oft
werden die Checksummen in der Webseite neben dem Download-Link
angezeigt (nur mal als Beispiel:
http://www.gnupg.org/(en)/download/index.html ).
Das bedeutet, dass bereits wenn du das Softwareverzeichnis
durchsiehst bereits die Checksummen verfälscht werden müssen — und
zwar von *allen* dort vorhandenen Programmen, denn man weiß ja nicht,
welches du gleich runterladen wirst. Ziemlich viel Arbeit für den
transparenten Proxy, die ja auch noch schnell gehen muss.
Wenn die Checksummen in separaten Dateien angeboten werden, dann ist
es zwar eher wahrscheinlich, dass du diese Datei erst *nach* dem
Start des eigentlichen Downloads runterlädst, aber das kann ja auch
nicht garantiert werden. (Also in Zukunft immer *erst* bla.sha1
saugen und danach bla — am besten noch von verschiedenen Mirrors.
;-))
cu, Paeniteo