…so kontrollierst du eine heruntergeladene Datei.
Wenn du eine Datei aus dem Internet herunterlädst, möchtest du natürlich sicher sein, dass sie vollständig und unverändert bei dir angekommen ist. Genau dabei kann dir eine SHA-256-Prüfsumme helfen.
In dieser Anleitung erfährst Du, wie du unter Windows den SHA-256-Wert einer beliebigen Downloaddatei ermitteln und mit einem angegebenen Vergleichswert prüfen kannst.
Als Beispiel verwenden wir hier die Installer-Datei unseres Programms kostnix-web.de – Windows Toolbox mit dem Namen:
kostnix-web.de-Windows-Toolbox-installer.exe
Die Anleitung funktioniert aber genauso mit anderen Dateien, zum Beispiel mit ZIP-Dateien, Installationsprogrammen, portablen Programmen oder ISO-Dateien.
Was ist eine SHA-256-Prüfsumme?
Eine SHA-256-Prüfsumme ist eine Art digitaler Fingerabdruck einer Datei.
Windows berechnet aus dem Inhalt der Datei einen langen Wert aus Buchstaben und Zahlen. Dieser Wert ist bei einer unveränderten Datei immer gleich.
Wird die Datei verändert, beschädigt oder unvollständig heruntergeladen, ändert sich auch die SHA-256-Prüfsumme.
Deshalb kannst du mit einer Prüfsumme kontrollieren, ob deine heruntergeladene Datei zu dem offiziell angegebenen Wert passt.
Wofür ist eine SHA-256-Prüfsumme nützlich?
Eine SHA-256-Prüfung hilft dir zum Beispiel dabei, festzustellen, ob:
- der Download vollständig abgeschlossen wurde
- die Datei beim Herunterladen beschädigt wurde
- die Datei noch genau der bereitgestellten Originaldatei entspricht
- du versehentlich eine falsche oder alte Datei prüfst
Wichtig ist aber auch:
Eine Prüfsumme allein sagt nicht automatisch, ob ein Programm gut, sinnvoll oder vertrauenswürdig ist. Sie zeigt vor allem, ob die Datei mit dem angegebenen Vergleichswert übereinstimmt.
Bei Programmen ist zusätzlich eine digitale Signatur sinnvoll. Sie zeigt dir, von welchem Herausgeber die Datei signiert wurde.
SHA-256-Wert einer Datei mit PowerShell ermitteln
Windows bringt bereits alles mit, was du für die Prüfung brauchst. Du musst kein zusätzliches Programm installieren.
Schritt 1: Datei herunterladen
Lade die gewünschte Datei herunter und merke dir, wo sie gespeichert wurde.
Meistens liegt sie im Ordner:
Downloads
In unserem Beispiel heißt die Datei:
kostnix-web.de - Windows Toolbox Installer.exe
Schritt 2: Pfad der Datei kopieren
Öffne den Ordner, in dem die heruntergeladene Datei liegt.
Klicke mit der rechten Maustaste auf die Datei und wähle:
Als Pfad kopieren
Windows kopiert dadurch den vollständigen Speicherort der Datei in die Zwischenablage.
Der Pfad kann zum Beispiel so aussehen:
Die Anführungszeichen sind wichtig, wenn der Dateiname Leerzeichen enthält.
""C:\Users\...\Neuer Ordner\kostnix-web.de-Windows-Toolbox-installer.exe""
Schritt 3: PowerShell oder Windows Terminal öffnen
Öffne nun die PowerShell oder das Windows Terminal.
Das geht zum Beispiel so:
Drücke die Tastenkombination:
[Windows-Taste] + [X]
Wähle anschließend:
Terminal oder Windows PowerShell
Je nach Windows-Version kann die Bezeichnung etwas unterschiedlich sein.
Schritt 4: SHA-256-Prüfsumme berechnen
Gib in PowerShell folgenden Befehl ein:
Get-FileHash "DATEIPFAD" -Algorithm SHA256
Ersetze DATEIPFAD durch den kopierten Pfad deiner Datei.
Für unser Beispiel könnte der Befehl so aussehen:
Get-FileHash "C:\Users\...\Neuer Ordner\kostnix-web.de - Windows Toolbox Installer.exe" -Algorithm SHA256
Drücke anschließend die Eingabetaste.
Schritt 5: Ergebnis ansehen
PowerShell zeigt dir danach ungefähr folgende Ausgabe:
Algorithm Hash Path
--------- ---- ----
SHA256 1234567890ABCDEF1234567890ABCDEF1234567890ABCDEF1234567890ABCDEF C:\Users\...\Neuer Ordner\kostnix-web.de...
Der wichtige Teil ist der lange Wert in der Spalte:
Hash
Das ist die berechnete SHA-256-Prüfsumme deiner Datei.
Schritt 6: SHA-256-Wert vergleichen
Vergleiche den berechneten Wert mit dem SHA-256-Wert, der auf der Downloadseite angegeben ist.
Achte dabei genau auf jedes Zeichen.
Groß- und Kleinschreibung ist bei diesem Vergleich normalerweise nicht entscheidend. Der Wert selbst muss aber vollständig übereinstimmen.
Was bedeutet das Ergebnis?
Die Werte stimmen überein
Wenn der berechnete SHA-256-Wert genau mit dem angegebenen Wert übereinstimmt, passt die Datei zum veröffentlichten Vergleichswert.
Das bedeutet:
Die Datei wurde vollständig heruntergeladen und seit der Berechnung des angegebenen SHA-256-Werts nicht verändert.
Die Werte stimmen nicht überein
Wenn die Werte nicht übereinstimmen, solltest du die Datei nicht öffnen oder starten.
Mögliche Ursachen sind zum Beispiel:
- der Download wurde beschädigt
- die Datei wurde nicht vollständig heruntergeladen
- du prüfst eine andere Datei oder eine andere Version
- auf der Webseite wurde ein falscher oder veralteter Vergleichswert angegeben
- die Datei wurde nachträglich verändert
Lösche die Datei in diesem Fall und lade sie erneut direkt von der offiziellen Downloadseite herunter. Prüfe anschließend den SHA-256-Wert noch einmal.
Alternative: SHA-256-Wert direkt im Download-Ordner berechnen
Du kannst auch zuerst in den Download-Ordner wechseln und dann nur den Dateinamen angeben.
Beispiel:
cd "$env:USERPROFILE\Downloads"
Get-FileHash ".\kostnix-web.de - Windows Toolbox Installer.exe" -Algorithm SHA256
Das ist besonders praktisch, wenn die Datei im normalen Downloads-Ordner liegt.
Häufige Fehler
Der Pfad wurde nicht in Anführungszeichen gesetzt
Wenn der Dateiname Leerzeichen enthält, muss der Pfad in Anführungszeichen stehen.
Richtig:
Get-FileHash "C:\Users\DeinName\Downloads\kostnix-web.de - Windows Toolbox Installer.exe" -Algorithm SHA256
Falsch:
Get-FileHash C:\Users\DeinName\Downloads\kostnix-web.de - Windows Toolbox Installer.exe -Algorithm SHA256
Die Datei wurde umbenannt
Wenn du die Datei nach dem Download umbenannt hast, ist das normalerweise kein Problem. Die SHA-256-Prüfsumme bezieht sich auf den Inhalt der Datei, nicht auf den Dateinamen.
Wichtig ist aber, dass du wirklich die richtige Datei prüfst.
Es wurde eine andere Version heruntergeladen
Bei Programmen ändern sich Dateien häufig mit jeder neuen Version. Dadurch ändert sich auch der SHA-256-Wert.
Achte deshalb darauf, dass der angegebene SHA-256-Wert wirklich zu genau der Datei und Version gehört, die du heruntergeladen hast.
Ergänzende Prüfung: digitale Signatur
Bei ausführbaren Programmen, also zum Beispiel .exe-Dateien, kann zusätzlich eine digitale Signatur vorhanden sein.
Eine digitale Signatur zeigt dir, von welchem Herausgeber die Datei signiert wurde und ob Windows die Signatur als gültig erkennt.
Bei einer heruntergeladenen Datei kannst du die Signatur so prüfen:
- Klicke mit der rechten Maustaste auf die Datei.
- Wähle Eigenschaften.
- Öffne den Reiter Digitale Signaturen.
- Wähle die Signatur aus.
- Klicke auf Details.
Wenn die Signatur gültig ist, zeigt Windows dies in den Signaturdetails an.
Bei der kostnix-web.de – Windows Toolbox sollte Windows als Herausgeber aktuell Uwe Steden anzeigen.
SHA-256-Prüfsumme und digitale Signatur – was ist der Unterschied?
Die SHA-256-Prüfsumme zeigt dir, ob eine Datei exakt zu einem angegebenen Vergleichswert passt.
Die digitale Signatur zeigt dir zusätzlich, von welchem Herausgeber die Datei signiert wurde und ob die Signatur gültig ist.
Beides ergänzt sich gut.
Für mehr Sicherheit solltest du bei Programmen möglichst auf Folgendes achten:
- Download von der offiziellen Webseite und
- passender SHA-256-Wert und
- gültige digitale Signatur
Zusammenfassung
Mit der SHA-256-Prüfsumme kannst du unter Windows einfach prüfen, ob eine heruntergeladene Datei unverändert und vollständig ist.
Du brauchst dafür kein Zusatzprogramm. Der Windows-Befehl Get-FileHash reicht aus.
Für eine Datei wie:
kostnix-web.de - Windows Toolbox Installer.exe
lautet der Befehl zum Beispiel:
Get-FileHash "C:\Users\DeinName\Downloads\kostnix-web.de - Windows Toolbox Installer.exe" -Algorithm SHA256
Stimmt der berechnete Wert mit dem auf der Downloadseite angegebenen SHA-256-Wert überein, passt die Datei zum veröffentlichten Original.
Gerade bei Programmen ist die Prüfung der SHA-256-Prüfsumme eine sinnvolle zusätzliche Kontrolle zur digitalen Signatur.
0 Kommentare