<p dir="ltr">Hiho.</p>
<p dir="ltr">Ist vielleicht nicht alles perfekt gerade, aber fuer xtreeem security empfehle ich, einfach gluon selbst zu kompilieren. Das sind kaum mehr befehle als die shasums zu checken.</p>
<p dir="ltr">Des weiteren ist geplant, den alten buildserver wieder zu nutzen (jenkins). Der signiert dann auch automatisch.</p>
<p dir="ltr">Sorry fuer mein verpeilen bei den shasums.</p>
<p dir="ltr">Gruss</p>
<p dir="ltr">Rampone</p>
<div class="gmail_quote">Am 31.10.2015 09:34 schrieb "Sebastian Schmittner" <<a href="mailto:sebastian@schmittner.pw">sebastian@schmittner.pw</a>>:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">1) Point taken, Wiki Eintrag entsprechend angepasst.<br>
<br>
2) Self signed TLS Zertfikat ist genau so sicher wie ein GPG Schlüsse,<br>
in jedem Fall muss man selbst den Fingerprint überprüfen. Bei GPG ist<br>
vielleicht das Bewusstsein für die Problematik etwas verbreiteter. ;)<br>
<br>
3) Natürlich ist vorgetäuschte Sicherheit schlechter als keine, aber ich<br>
habe wie gesagt nicht den Eindruck, dass dies aktuell der Fall ist<br>
(siehe 1)).<br>
<br>
lg.echse<br>
<br>
<br>
On Fri, Oct 30, 2015 at 09:03:57PM +0100, Adrian Dombeck wrote:<br>
> Hi echse,<br>
><br>
> > 1)<br>
> > <a href="https://213.165.82.133/images/factory/SHA512SUMS.sign" rel="noreferrer" target="_blank">https://213.165.82.133/images/factory/SHA512SUMS.sign</a> enthält die<br>
> > signierten SHA512 hashes und ist damit zur authentifizierung und<br>
> > integritätsüberprüfung der binaries geeignet. (Vorausgesetzt, Du<br>
> > vertraust Rampones Schlüssel.)<br>
> > gpg < SHA512SUMS.sign<br>
> stimmt, die Datei enthält tatsächlich auch die Hashes. Allerdings<br>
> benutzt man diese nicht, wenn man der Anleitung folgt, sondern die der<br>
> unsignierten Datei.<br>
><br>
> > 2)<br>
> > Die <a href="https://213.165.82.133/images/factory/SHA512SUMS" rel="noreferrer" target="_blank">https://213.165.82.133/images/factory/SHA512SUMS</a> ist in der Tat nur<br>
> > bedingt nützlich um z.B. abgebrochene downloads o.Ä. zu<br>
> > bemerken. Andererseits werden die Daten immerhin per TLS Serviert, wenn<br>
> > Du also wiederum diesem Zertifikat und Rampones Server setup vertraust<br>
> > erfüllt das auch seinen Zweck. Vorteil ist das man die Hashes ohne gpg<br>
> > Infrastruktur prüfen kann.<br>
> TLS ersetzt natürlich keine PGP-Signatur. Abgesehen davon zeigt der<br>
> Browser auch noch eine Sicherheitswarnung an, weil das Zertifikat nicht<br>
> zur Domain passt.<br>
><br>
> > Im vergleich zum wilden unsignierten verteilen der builds in den letzten<br>
> > Monaten finde ich das Sicherheitslevel momentan eigentlich recht<br>
> > akzeptabel. ;)<br>
> Den Eindruck von Sicherheit zu vermitteln ohne Sicherheit zu bieten,<br>
> finde ich gefährlicher als keine Sicherheit.<br>
><br>
> Viele Grüße<br>
> Adrian<br>
><br>
><br>
> On 10/30/2015 08:43 PM, Sebastian Schmittner wrote:<br>
> > Hi Adrian,<br>
> ><br>
> > 1)<br>
> > <a href="https://213.165.82.133/images/factory/SHA512SUMS.sign" rel="noreferrer" target="_blank">https://213.165.82.133/images/factory/SHA512SUMS.sign</a> enthält die<br>
> > signierten SHA512 hashes und ist damit zur authentifizierung und<br>
> > integritätsüberprüfung der binaries geeignet. (Vorausgesetzt, Du<br>
> > vertraust Rampones Schlüssel.)<br>
> > gpg < SHA512SUMS.sign<br>
> ><br>
> > 2)<br>
> > Die <a href="https://213.165.82.133/images/factory/SHA512SUMS" rel="noreferrer" target="_blank">https://213.165.82.133/images/factory/SHA512SUMS</a> ist in der Tat nur<br>
> > bedingt nützlich um z.B. abgebrochene downloads o.Ä. zu<br>
> > bemerken. Andererseits werden die Daten immerhin per TLS Serviert, wenn<br>
> > Du also wiederum diesem Zertifikat und Rampones Server setup vertraust<br>
> > erfüllt das auch seinen Zweck. Vorteil ist das man die Hashes ohne gpg<br>
> > Infrastruktur prüfen kann.<br>
> ><br>
> ><br>
> > Im vergleich zum wilden unsignierten verteilen der builds in den letzten<br>
> > Monaten finde ich das Sicherheitslevel momentan eigentlich recht<br>
> > akzeptabel. ;)<br>
> ><br>
> > lg.echse<br>
> ><br>
> ><br>
> > On Fri, Oct 30, 2015 at 06:01:00PM +0100, Adrian Dombeck wrote:<br>
> >> Hallo,<br>
> >><br>
> >> ich habe gerade die Signaturdatei [1] und die Hashsummen [2] für die<br>
> >> Gluon Beta heruntergeladen, wie in eurem Wiki [3] verlinkt. Die<br>
> >> SHA512SUMS.sign ist korrekt signiert von 30EADDB8 (<a href="mailto:rampone@gmail.com">rampone@gmail.com</a>).<br>
> >> Allerdings ist es keine detached signature, sie verifziert also nicht<br>
> >> die SHA512SUMS, sondern nur sich selber. Dadurch ist die SHA512SUMS zur<br>
> >> Zeit nicht verifizierbar.<br>
> >> Ihr solltet das schnell fixen und außerdem die Anleitung anpassen, so<br>
> >> dass die zu verifizierende Datei mit angegeben wird:<br>
> >> gpg --verify SHA512SUMS.sign SHA512SUMS<br>
> >><br>
> >> Viele Grüße<br>
> >> Adrian<br>
> >><br>
> >> [1] <a href="https://213.165.82.133/images/factory/SHA512SUMS.sign" rel="noreferrer" target="_blank">https://213.165.82.133/images/factory/SHA512SUMS.sign</a><br>
> >> [2] <a href="https://213.165.82.133/images/factory/SHA512SUMS" rel="noreferrer" target="_blank">https://213.165.82.133/images/factory/SHA512SUMS</a><br>
> >> [3]<br>
> >> <a href="https://kbu.freifunk.net/wiki/index.php?title=%C3%9Cberpr%C3%BCfen_der_Signatur" rel="noreferrer" target="_blank">https://kbu.freifunk.net/wiki/index.php?title=%C3%9Cberpr%C3%BCfen_der_Signatur</a><br>
> >><br>
> ><br>
> ><br>
> >> --<br>
> >> _______________________________________________<br>
> >> Freifunk-Bonn mailing list<br>
> >> <a href="mailto:Freifunk-Bonn@lists.kbu.freifunk.net">Freifunk-Bonn@lists.kbu.freifunk.net</a><br>
> >> <a href="http://lists.kbu.freifunk.net/cgi-bin/mailman/listinfo/freifunk-bonn" rel="noreferrer" target="_blank">http://lists.kbu.freifunk.net/cgi-bin/mailman/listinfo/freifunk-bonn</a><br>
> ><br>
> ><br>
><br>
<br>
<br>
<br>
> --<br>
> _______________________________________________<br>
> Freifunk-Bonn mailing list<br>
> <a href="mailto:Freifunk-Bonn@lists.kbu.freifunk.net">Freifunk-Bonn@lists.kbu.freifunk.net</a><br>
> <a href="http://lists.kbu.freifunk.net/cgi-bin/mailman/listinfo/freifunk-bonn" rel="noreferrer" target="_blank">http://lists.kbu.freifunk.net/cgi-bin/mailman/listinfo/freifunk-bonn</a><br>
<br>
<br>--<br>
_______________________________________________<br>
Freifunk-Bonn mailing list<br>
<a href="mailto:Freifunk-Bonn@lists.kbu.freifunk.net">Freifunk-Bonn@lists.kbu.freifunk.net</a><br>
<a href="http://lists.kbu.freifunk.net/cgi-bin/mailman/listinfo/freifunk-bonn" rel="noreferrer" target="_blank">http://lists.kbu.freifunk.net/cgi-bin/mailman/listinfo/freifunk-bonn</a><br>
<br></blockquote></div>