[Freifunk-Bonn] SHA256SUMS.sign für Gluon Beta verifiziert SHA256SUMS nicht

Sebastian Schmittner sebastian at schmittner.pw
Fr Okt 30 20:43:48 CET 2015 

Hi Adrian,

1)
https://213.165.82.133/images/factory/SHA512SUMS.sign enthält die
signierten SHA512 hashes und ist damit zur authentifizierung und
integritätsüberprüfung der binaries geeignet. (Vorausgesetzt, Du
vertraust Rampones Schlüssel.)
gpg < SHA512SUMS.sign

2)
Die https://213.165.82.133/images/factory/SHA512SUMS ist in der Tat nur
bedingt nützlich um z.B. abgebrochene downloads o.Ä. zu
bemerken. Andererseits werden die Daten immerhin per TLS Serviert, wenn
Du also wiederum diesem Zertifikat und Rampones Server setup vertraust
erfüllt das auch seinen Zweck. Vorteil ist das man die Hashes ohne gpg
Infrastruktur prüfen kann.


Im vergleich zum wilden unsignierten verteilen der builds in den letzten
Monaten finde ich das Sicherheitslevel momentan eigentlich recht
akzeptabel. ;)

lg.echse


On Fri, Oct 30, 2015 at 06:01:00PM +0100, Adrian Dombeck wrote:
> Hallo,
> 
> ich habe gerade die Signaturdatei [1] und die Hashsummen [2] für die
> Gluon Beta heruntergeladen, wie in eurem Wiki [3] verlinkt. Die
> SHA512SUMS.sign ist korrekt signiert von 30EADDB8 (rampone at gmail.com).
> Allerdings ist es keine detached signature, sie verifziert also nicht
> die SHA512SUMS, sondern nur sich selber. Dadurch ist die SHA512SUMS zur
> Zeit nicht verifizierbar.
> Ihr solltet das schnell fixen und außerdem die Anleitung anpassen, so
> dass die zu verifizierende Datei mit angegeben wird:
> gpg --verify SHA512SUMS.sign SHA512SUMS
> 
> Viele Grüße
> Adrian
> 
> [1] https://213.165.82.133/images/factory/SHA512SUMS.sign
> [2] https://213.165.82.133/images/factory/SHA512SUMS
> [3]
> https://kbu.freifunk.net/wiki/index.php?title=%C3%9Cberpr%C3%BCfen_der_Signatur
> 



> -- 
> _______________________________________________
> Freifunk-Bonn mailing list
> Freifunk-Bonn at lists.kbu.freifunk.net
> http://lists.kbu.freifunk.net/cgi-bin/mailman/listinfo/freifunk-bonn

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 819 bytes
Beschreibung: Digital signature
URL         : <http://lists.kbu.freifunk.net/pipermail/freifunk-bonn/attachments/20151030/c177aef0/attachment-0001.sig>

Mehr Informationen über die Mailingliste Freifunk-Bonn