[Freifunk-Bonn] SHA256SUMS.sign für Gluon Beta verifiziert SHA256SUMS nicht

Sebastian Schmittner sebastian at schmittner.pw
Sa Okt 31 09:34:00 CET 2015 

1) Point taken, Wiki Eintrag entsprechend angepasst.

2) Self signed TLS Zertfikat ist genau so sicher wie ein GPG Schlüsse,
in jedem Fall muss man selbst den Fingerprint überprüfen. Bei GPG ist
vielleicht das Bewusstsein für die Problematik etwas verbreiteter. ;)

3) Natürlich ist vorgetäuschte Sicherheit schlechter als keine, aber ich
habe wie gesagt nicht den Eindruck, dass dies aktuell der Fall ist
(siehe 1)).

lg.echse


On Fri, Oct 30, 2015 at 09:03:57PM +0100, Adrian Dombeck wrote:
> Hi echse,
> 
> > 1)
> > https://213.165.82.133/images/factory/SHA512SUMS.sign enthält die
> > signierten SHA512 hashes und ist damit zur authentifizierung und
> > integritätsüberprüfung der binaries geeignet. (Vorausgesetzt, Du
> > vertraust Rampones Schlüssel.)
> > gpg < SHA512SUMS.sign
> stimmt, die Datei enthält tatsächlich auch die Hashes. Allerdings
> benutzt man diese nicht, wenn man der Anleitung folgt, sondern die der
> unsignierten Datei.
> 
> > 2)
> > Die https://213.165.82.133/images/factory/SHA512SUMS ist in der Tat nur
> > bedingt nützlich um z.B. abgebrochene downloads o.Ä. zu
> > bemerken. Andererseits werden die Daten immerhin per TLS Serviert, wenn
> > Du also wiederum diesem Zertifikat und Rampones Server setup vertraust
> > erfüllt das auch seinen Zweck. Vorteil ist das man die Hashes ohne gpg
> > Infrastruktur prüfen kann.
> TLS ersetzt natürlich keine PGP-Signatur. Abgesehen davon zeigt der
> Browser auch noch eine Sicherheitswarnung an, weil das Zertifikat nicht
> zur Domain passt.
> 
> > Im vergleich zum wilden unsignierten verteilen der builds in den letzten
> > Monaten finde ich das Sicherheitslevel momentan eigentlich recht
> > akzeptabel. ;)
> Den Eindruck von Sicherheit zu vermitteln ohne Sicherheit zu bieten,
> finde ich gefährlicher als keine Sicherheit.
> 
> Viele Grüße
> Adrian
> 
> 
> On 10/30/2015 08:43 PM, Sebastian Schmittner wrote:
> > Hi Adrian,
> >
> > 1)
> > https://213.165.82.133/images/factory/SHA512SUMS.sign enthält die
> > signierten SHA512 hashes und ist damit zur authentifizierung und
> > integritätsüberprüfung der binaries geeignet. (Vorausgesetzt, Du
> > vertraust Rampones Schlüssel.)
> > gpg < SHA512SUMS.sign
> >
> > 2)
> > Die https://213.165.82.133/images/factory/SHA512SUMS ist in der Tat nur
> > bedingt nützlich um z.B. abgebrochene downloads o.Ä. zu
> > bemerken. Andererseits werden die Daten immerhin per TLS Serviert, wenn
> > Du also wiederum diesem Zertifikat und Rampones Server setup vertraust
> > erfüllt das auch seinen Zweck. Vorteil ist das man die Hashes ohne gpg
> > Infrastruktur prüfen kann.
> >
> >
> > Im vergleich zum wilden unsignierten verteilen der builds in den letzten
> > Monaten finde ich das Sicherheitslevel momentan eigentlich recht
> > akzeptabel. ;)
> >
> > lg.echse
> >
> >
> > On Fri, Oct 30, 2015 at 06:01:00PM +0100, Adrian Dombeck wrote:
> >> Hallo,
> >>
> >> ich habe gerade die Signaturdatei [1] und die Hashsummen [2] für die
> >> Gluon Beta heruntergeladen, wie in eurem Wiki [3] verlinkt. Die
> >> SHA512SUMS.sign ist korrekt signiert von 30EADDB8 (rampone at gmail.com).
> >> Allerdings ist es keine detached signature, sie verifziert also nicht
> >> die SHA512SUMS, sondern nur sich selber. Dadurch ist die SHA512SUMS zur
> >> Zeit nicht verifizierbar.
> >> Ihr solltet das schnell fixen und außerdem die Anleitung anpassen, so
> >> dass die zu verifizierende Datei mit angegeben wird:
> >> gpg --verify SHA512SUMS.sign SHA512SUMS
> >>
> >> Viele Grüße
> >> Adrian
> >>
> >> [1] https://213.165.82.133/images/factory/SHA512SUMS.sign
> >> [2] https://213.165.82.133/images/factory/SHA512SUMS
> >> [3]
> >> https://kbu.freifunk.net/wiki/index.php?title=%C3%9Cberpr%C3%BCfen_der_Signatur
> >>
> >
> >
> >> -- 
> >> _______________________________________________
> >> Freifunk-Bonn mailing list
> >> Freifunk-Bonn at lists.kbu.freifunk.net
> >> http://lists.kbu.freifunk.net/cgi-bin/mailman/listinfo/freifunk-bonn
> >
> >
> 



> -- 
> _______________________________________________
> Freifunk-Bonn mailing list
> Freifunk-Bonn at lists.kbu.freifunk.net
> http://lists.kbu.freifunk.net/cgi-bin/mailman/listinfo/freifunk-bonn

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 819 bytes
Beschreibung: Digital signature
URL         : <http://lists.kbu.freifunk.net/pipermail/freifunk-bonn/attachments/20151031/a5c24966/attachment.sig>

Mehr Informationen über die Mailingliste Freifunk-Bonn