
<p dir="ltr">Hiho.</p>

<p dir="ltr">Ist vielleicht nicht alles perfekt gerade, aber fuer xtreeem security empfehle ich, einfach gluon selbst zu kompilieren. Das sind kaum mehr befehle als die shasums zu checken.</p>

<p dir="ltr">Des weiteren ist geplant, den alten buildserver wieder zu nutzen (jenkins). Der signiert dann auch automatisch.</p>

<p dir="ltr">Sorry fuer mein verpeilen bei den shasums.</p>

<p dir="ltr">Gruss</p>

<p dir="ltr">Rampone</p>

<div class="gmail_quote">Am 31.10.2015 09:34 schrieb "Sebastian Schmittner" <<a href="mailto:sebastian@schmittner.pw">sebastian@schmittner.pw</a>>:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">1) Point taken, Wiki Eintrag entsprechend angepasst.<br>

<br>

2) Self signed TLS Zertfikat ist genau so sicher wie ein GPG Schlüsse,<br>

in jedem Fall muss man selbst den Fingerprint überprüfen. Bei GPG ist<br>

vielleicht das Bewusstsein für die Problematik etwas verbreiteter. ;)<br>

<br>

3) Natürlich ist vorgetäuschte Sicherheit schlechter als keine, aber ich<br>

habe wie gesagt nicht den Eindruck, dass dies aktuell der Fall ist<br>

(siehe 1)).<br>

<br>

lg.echse<br>

<br>

<br>

On Fri, Oct 30, 2015 at 09:03:57PM +0100, Adrian Dombeck wrote:<br>

> Hi echse,<br>

><br>

> > 1)<br>

> > <a href="https://213.165.82.133/images/factory/SHA512SUMS.sign" rel="noreferrer" target="_blank">https://213.165.82.133/images/factory/SHA512SUMS.sign</a> enthält die<br>

> > signierten SHA512 hashes und ist damit zur authentifizierung und<br>

> > integritätsüberprüfung der binaries geeignet. (Vorausgesetzt, Du<br>

> > vertraust Rampones Schlüssel.)<br>

> > gpg < SHA512SUMS.sign<br>

> stimmt, die Datei enthält tatsächlich auch die Hashes. Allerdings<br>

> benutzt man diese nicht, wenn man der Anleitung folgt, sondern die der<br>

> unsignierten Datei.<br>

><br>

> > 2)<br>

> > Die <a href="https://213.165.82.133/images/factory/SHA512SUMS" rel="noreferrer" target="_blank">https://213.165.82.133/images/factory/SHA512SUMS</a> ist in der Tat nur<br>

> > bedingt nützlich um z.B. abgebrochene downloads o.Ä. zu<br>

> > bemerken. Andererseits werden die Daten immerhin per TLS Serviert, wenn<br>

> > Du also wiederum diesem Zertifikat und Rampones Server setup vertraust<br>

> > erfüllt das auch seinen Zweck. Vorteil ist das man die Hashes ohne gpg<br>

> > Infrastruktur prüfen kann.<br>

> TLS ersetzt natürlich keine PGP-Signatur. Abgesehen davon zeigt der<br>

> Browser auch noch eine Sicherheitswarnung an, weil das Zertifikat nicht<br>

> zur Domain passt.<br>

><br>

> > Im vergleich zum wilden unsignierten verteilen der builds in den letzten<br>

> > Monaten finde ich das Sicherheitslevel momentan eigentlich recht<br>

> > akzeptabel. ;)<br>

> Den Eindruck von Sicherheit zu vermitteln ohne Sicherheit zu bieten,<br>

> finde ich gefährlicher als keine Sicherheit.<br>

><br>

> Viele Grüße<br>

> Adrian<br>

><br>

><br>

> On 10/30/2015 08:43 PM, Sebastian Schmittner wrote:<br>

> > Hi Adrian,<br>

> ><br>

> > 1)<br>

> > <a href="https://213.165.82.133/images/factory/SHA512SUMS.sign" rel="noreferrer" target="_blank">https://213.165.82.133/images/factory/SHA512SUMS.sign</a> enthält die<br>

> > signierten SHA512 hashes und ist damit zur authentifizierung und<br>

> > integritätsüberprüfung der binaries geeignet. (Vorausgesetzt, Du<br>

> > vertraust Rampones Schlüssel.)<br>

> > gpg < SHA512SUMS.sign<br>

> ><br>

> > 2)<br>

> > Die <a href="https://213.165.82.133/images/factory/SHA512SUMS" rel="noreferrer" target="_blank">https://213.165.82.133/images/factory/SHA512SUMS</a> ist in der Tat nur<br>

> > bedingt nützlich um z.B. abgebrochene downloads o.Ä. zu<br>

> > bemerken. Andererseits werden die Daten immerhin per TLS Serviert, wenn<br>

> > Du also wiederum diesem Zertifikat und Rampones Server setup vertraust<br>

> > erfüllt das auch seinen Zweck. Vorteil ist das man die Hashes ohne gpg<br>

> > Infrastruktur prüfen kann.<br>

> ><br>

> ><br>

> > Im vergleich zum wilden unsignierten verteilen der builds in den letzten<br>

> > Monaten finde ich das Sicherheitslevel momentan eigentlich recht<br>

> > akzeptabel. ;)<br>

> ><br>

> > lg.echse<br>

> ><br>

> ><br>

> > On Fri, Oct 30, 2015 at 06:01:00PM +0100, Adrian Dombeck wrote:<br>

> >> Hallo,<br>

> >><br>

> >> ich habe gerade die Signaturdatei [1] und die Hashsummen [2] für die<br>

> >> Gluon Beta heruntergeladen, wie in eurem Wiki [3] verlinkt. Die<br>

> >> SHA512SUMS.sign ist korrekt signiert von 30EADDB8 (<a href="mailto:rampone@gmail.com">rampone@gmail.com</a>).<br>

> >> Allerdings ist es keine detached signature, sie verifziert also nicht<br>

> >> die SHA512SUMS, sondern nur sich selber. Dadurch ist die SHA512SUMS zur<br>

> >> Zeit nicht verifizierbar.<br>

> >> Ihr solltet das schnell fixen und außerdem die Anleitung anpassen, so<br>

> >> dass die zu verifizierende Datei mit angegeben wird:<br>

> >> gpg --verify SHA512SUMS.sign SHA512SUMS<br>

> >><br>

> >> Viele Grüße<br>

> >> Adrian<br>

> >><br>

> >> [1] <a href="https://213.165.82.133/images/factory/SHA512SUMS.sign" rel="noreferrer" target="_blank">https://213.165.82.133/images/factory/SHA512SUMS.sign</a><br>

> >> [2] <a href="https://213.165.82.133/images/factory/SHA512SUMS" rel="noreferrer" target="_blank">https://213.165.82.133/images/factory/SHA512SUMS</a><br>

> >> [3]<br>

> >> <a href="https://kbu.freifunk.net/wiki/index.php?title=%C3%9Cberpr%C3%BCfen_der_Signatur" rel="noreferrer" target="_blank">https://kbu.freifunk.net/wiki/index.php?title=%C3%9Cberpr%C3%BCfen_der_Signatur</a><br>

> >><br>

> ><br>

> ><br>

> >> --<br>

> >> _______________________________________________<br>

> >> Freifunk-Bonn mailing list<br>

> >> <a href="mailto:Freifunk-Bonn@lists.kbu.freifunk.net">Freifunk-Bonn@lists.kbu.freifunk.net</a><br>

> >> <a href="http://lists.kbu.freifunk.net/cgi-bin/mailman/listinfo/freifunk-bonn" rel="noreferrer" target="_blank">http://lists.kbu.freifunk.net/cgi-bin/mailman/listinfo/freifunk-bonn</a><br>

> ><br>

> ><br>

><br>

<br>

<br>

<br>

> --<br>

> _______________________________________________<br>

> Freifunk-Bonn mailing list<br>

> <a href="mailto:Freifunk-Bonn@lists.kbu.freifunk.net">Freifunk-Bonn@lists.kbu.freifunk.net</a><br>

> <a href="http://lists.kbu.freifunk.net/cgi-bin/mailman/listinfo/freifunk-bonn" rel="noreferrer" target="_blank">http://lists.kbu.freifunk.net/cgi-bin/mailman/listinfo/freifunk-bonn</a><br>

<br>

<br>--<br>

_______________________________________________<br>

Freifunk-Bonn mailing list<br>

<a href="mailto:Freifunk-Bonn@lists.kbu.freifunk.net">Freifunk-Bonn@lists.kbu.freifunk.net</a><br>

<a href="http://lists.kbu.freifunk.net/cgi-bin/mailman/listinfo/freifunk-bonn" rel="noreferrer" target="_blank">http://lists.kbu.freifunk.net/cgi-bin/mailman/listinfo/freifunk-bonn</a><br>

<br></blockquote></div>