<html>
  <head>
    <meta content="text/html; charset=utf-8" http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    <div class="moz-cite-prefix">Hi echse,<br>
      <br>
      <blockquote type="cite">
        <pre wrap="">1)
<a class="moz-txt-link-freetext" href="https://213.165.82.133/images/factory/SHA512SUMS.sign">https://213.165.82.133/images/factory/SHA512SUMS.sign</a> enthält die
signierten SHA512 hashes und ist damit zur authentifizierung und
integritätsüberprüfung der binaries geeignet. (Vorausgesetzt, Du
vertraust Rampones Schlüssel.)
gpg < SHA512SUMS.sign
</pre>
      </blockquote>
      stimmt, die Datei enthält tatsächlich auch die Hashes. Allerdings
      benutzt man diese nicht, wenn man der Anleitung folgt, sondern die
      der unsignierten Datei.<br>
      <br>
      <blockquote type="cite">
        <pre wrap="">2)
Die <a class="moz-txt-link-freetext" href="https://213.165.82.133/images/factory/SHA512SUMS">https://213.165.82.133/images/factory/SHA512SUMS</a> ist in der Tat nur
bedingt nützlich um z.B. abgebrochene downloads o.Ä. zu
bemerken. Andererseits werden die Daten immerhin per TLS Serviert, wenn
Du also wiederum diesem Zertifikat und Rampones Server setup vertraust
erfüllt das auch seinen Zweck. Vorteil ist das man die Hashes ohne gpg
Infrastruktur prüfen kann.</pre>
      </blockquote>
      TLS ersetzt natürlich keine PGP-Signatur. Abgesehen davon zeigt
      der Browser auch noch eine Sicherheitswarnung an, weil das
      Zertifikat nicht zur Domain passt.<br>
      <br>
      <blockquote type="cite">
        <pre wrap="">Im vergleich zum wilden unsignierten verteilen der builds in den letzten
Monaten finde ich das Sicherheitslevel momentan eigentlich recht
akzeptabel. ;)</pre>
      </blockquote>
      Den Eindruck von Sicherheit zu vermitteln ohne Sicherheit zu
      bieten, finde ich gefährlicher als keine Sicherheit.<br>
      <br>
      Viele Grüße<br>
      Adrian<br>
      <br>
      <br>
      On 10/30/2015 08:43 PM, Sebastian Schmittner wrote:<br>
    </div>
    <blockquote cite="mid:20151030194348.GN9040@schmittner.pw"
      type="cite">
      <pre wrap="">Hi Adrian,

1)
<a class="moz-txt-link-freetext" href="https://213.165.82.133/images/factory/SHA512SUMS.sign">https://213.165.82.133/images/factory/SHA512SUMS.sign</a> enthält die
signierten SHA512 hashes und ist damit zur authentifizierung und
integritätsüberprüfung der binaries geeignet. (Vorausgesetzt, Du
vertraust Rampones Schlüssel.)
gpg < SHA512SUMS.sign

2)
Die <a class="moz-txt-link-freetext" href="https://213.165.82.133/images/factory/SHA512SUMS">https://213.165.82.133/images/factory/SHA512SUMS</a> ist in der Tat nur
bedingt nützlich um z.B. abgebrochene downloads o.Ä. zu
bemerken. Andererseits werden die Daten immerhin per TLS Serviert, wenn
Du also wiederum diesem Zertifikat und Rampones Server setup vertraust
erfüllt das auch seinen Zweck. Vorteil ist das man die Hashes ohne gpg
Infrastruktur prüfen kann.


Im vergleich zum wilden unsignierten verteilen der builds in den letzten
Monaten finde ich das Sicherheitslevel momentan eigentlich recht
akzeptabel. ;)

lg.echse


On Fri, Oct 30, 2015 at 06:01:00PM +0100, Adrian Dombeck wrote:
</pre>
      <blockquote type="cite">
        <pre wrap="">Hallo,

ich habe gerade die Signaturdatei [1] und die Hashsummen [2] für die
Gluon Beta heruntergeladen, wie in eurem Wiki [3] verlinkt. Die
SHA512SUMS.sign ist korrekt signiert von 30EADDB8 (<a class="moz-txt-link-abbreviated" href="mailto:rampone@gmail.com">rampone@gmail.com</a>).
Allerdings ist es keine detached signature, sie verifziert also nicht
die SHA512SUMS, sondern nur sich selber. Dadurch ist die SHA512SUMS zur
Zeit nicht verifizierbar.
Ihr solltet das schnell fixen und außerdem die Anleitung anpassen, so
dass die zu verifizierende Datei mit angegeben wird:
gpg --verify SHA512SUMS.sign SHA512SUMS

Viele Grüße
Adrian

[1] <a class="moz-txt-link-freetext" href="https://213.165.82.133/images/factory/SHA512SUMS.sign">https://213.165.82.133/images/factory/SHA512SUMS.sign</a>
[2] <a class="moz-txt-link-freetext" href="https://213.165.82.133/images/factory/SHA512SUMS">https://213.165.82.133/images/factory/SHA512SUMS</a>
[3]
<a class="moz-txt-link-freetext" href="https://kbu.freifunk.net/wiki/index.php?title=%C3%9Cberpr%C3%BCfen_der_Signatur">https://kbu.freifunk.net/wiki/index.php?title=%C3%9Cberpr%C3%BCfen_der_Signatur</a>

</pre>
      </blockquote>
      <pre wrap="">


</pre>
      <blockquote type="cite">
        <pre wrap="">-- 
_______________________________________________
Freifunk-Bonn mailing list
<a class="moz-txt-link-abbreviated" href="mailto:Freifunk-Bonn@lists.kbu.freifunk.net">Freifunk-Bonn@lists.kbu.freifunk.net</a>
<a class="moz-txt-link-freetext" href="http://lists.kbu.freifunk.net/cgi-bin/mailman/listinfo/freifunk-bonn">http://lists.kbu.freifunk.net/cgi-bin/mailman/listinfo/freifunk-bonn</a>
</pre>
      </blockquote>
      <pre wrap="">
</pre>
      <br>
      <fieldset class="mimeAttachmentHeader"></fieldset>
      <br>
    </blockquote>
    <br>
  </body>
</html>