[Freifunk-Bonn] SHA256SUMS.sign für Gluon Beta verifiziert SHA256SUMS nicht
Adrian Dombeck
adrian.dombeck at rub.de
Fr Okt 30 21:03:57 CET 2015
Hi echse,
> 1)
> https://213.165.82.133/images/factory/SHA512SUMS.sign enthält die
> signierten SHA512 hashes und ist damit zur authentifizierung und
> integritätsüberprüfung der binaries geeignet. (Vorausgesetzt, Du
> vertraust Rampones Schlüssel.)
> gpg < SHA512SUMS.sign
stimmt, die Datei enthält tatsächlich auch die Hashes. Allerdings
benutzt man diese nicht, wenn man der Anleitung folgt, sondern die der
unsignierten Datei.
> 2)
> Die https://213.165.82.133/images/factory/SHA512SUMS ist in der Tat nur
> bedingt nützlich um z.B. abgebrochene downloads o.Ä. zu
> bemerken. Andererseits werden die Daten immerhin per TLS Serviert, wenn
> Du also wiederum diesem Zertifikat und Rampones Server setup vertraust
> erfüllt das auch seinen Zweck. Vorteil ist das man die Hashes ohne gpg
> Infrastruktur prüfen kann.
TLS ersetzt natürlich keine PGP-Signatur. Abgesehen davon zeigt der
Browser auch noch eine Sicherheitswarnung an, weil das Zertifikat nicht
zur Domain passt.
> Im vergleich zum wilden unsignierten verteilen der builds in den letzten
> Monaten finde ich das Sicherheitslevel momentan eigentlich recht
> akzeptabel. ;)
Den Eindruck von Sicherheit zu vermitteln ohne Sicherheit zu bieten,
finde ich gefährlicher als keine Sicherheit.
Viele Grüße
Adrian
On 10/30/2015 08:43 PM, Sebastian Schmittner wrote:
> Hi Adrian,
>
> 1)
> https://213.165.82.133/images/factory/SHA512SUMS.sign enthält die
> signierten SHA512 hashes und ist damit zur authentifizierung und
> integritätsüberprüfung der binaries geeignet. (Vorausgesetzt, Du
> vertraust Rampones Schlüssel.)
> gpg < SHA512SUMS.sign
>
> 2)
> Die https://213.165.82.133/images/factory/SHA512SUMS ist in der Tat nur
> bedingt nützlich um z.B. abgebrochene downloads o.Ä. zu
> bemerken. Andererseits werden die Daten immerhin per TLS Serviert, wenn
> Du also wiederum diesem Zertifikat und Rampones Server setup vertraust
> erfüllt das auch seinen Zweck. Vorteil ist das man die Hashes ohne gpg
> Infrastruktur prüfen kann.
>
>
> Im vergleich zum wilden unsignierten verteilen der builds in den letzten
> Monaten finde ich das Sicherheitslevel momentan eigentlich recht
> akzeptabel. ;)
>
> lg.echse
>
>
> On Fri, Oct 30, 2015 at 06:01:00PM +0100, Adrian Dombeck wrote:
>> Hallo,
>>
>> ich habe gerade die Signaturdatei [1] und die Hashsummen [2] für die
>> Gluon Beta heruntergeladen, wie in eurem Wiki [3] verlinkt. Die
>> SHA512SUMS.sign ist korrekt signiert von 30EADDB8 (rampone at gmail.com).
>> Allerdings ist es keine detached signature, sie verifziert also nicht
>> die SHA512SUMS, sondern nur sich selber. Dadurch ist die SHA512SUMS zur
>> Zeit nicht verifizierbar.
>> Ihr solltet das schnell fixen und außerdem die Anleitung anpassen, so
>> dass die zu verifizierende Datei mit angegeben wird:
>> gpg --verify SHA512SUMS.sign SHA512SUMS
>>
>> Viele Grüße
>> Adrian
>>
>> [1] https://213.165.82.133/images/factory/SHA512SUMS.sign
>> [2] https://213.165.82.133/images/factory/SHA512SUMS
>> [3]
>> https://kbu.freifunk.net/wiki/index.php?title=%C3%9Cberpr%C3%BCfen_der_Signatur
>>
>
>
>> --
>> _______________________________________________
>> Freifunk-Bonn mailing list
>> Freifunk-Bonn at lists.kbu.freifunk.net
>> http://lists.kbu.freifunk.net/cgi-bin/mailman/listinfo/freifunk-bonn
>
>
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.kbu.freifunk.net/pipermail/freifunk-bonn/attachments/20151030/8a2e6520/attachment.htm>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : signature.asc
Dateityp : application/pgp-signature
Dateigröße : 473 bytes
Beschreibung: OpenPGP digital signature
URL : <http://lists.kbu.freifunk.net/pipermail/freifunk-bonn/attachments/20151030/8a2e6520/attachment.sig>
Mehr Informationen über die Mailingliste Freifunk-Bonn