[Freifunk-Bonn] SHA256SUMS.sign für Gluon Beta verifiziert SHA256SUMS nicht

Ramon Waldherr rampone at gmail.com
Sa Okt 31 16:13:32 CET 2015 

Hiho.

Ist vielleicht nicht alles perfekt gerade, aber fuer xtreeem security
empfehle ich, einfach gluon selbst zu kompilieren. Das sind kaum mehr
befehle als die shasums zu checken.

Des weiteren ist geplant, den alten buildserver wieder zu nutzen (jenkins).
Der signiert dann auch automatisch.

Sorry fuer mein verpeilen bei den shasums.

Gruss

Rampone
Am 31.10.2015 09:34 schrieb "Sebastian Schmittner" <sebastian at schmittner.pw
>:

> 1) Point taken, Wiki Eintrag entsprechend angepasst.
>
> 2) Self signed TLS Zertfikat ist genau so sicher wie ein GPG Schlüsse,
> in jedem Fall muss man selbst den Fingerprint überprüfen. Bei GPG ist
> vielleicht das Bewusstsein für die Problematik etwas verbreiteter. ;)
>
> 3) Natürlich ist vorgetäuschte Sicherheit schlechter als keine, aber ich
> habe wie gesagt nicht den Eindruck, dass dies aktuell der Fall ist
> (siehe 1)).
>
> lg.echse
>
>
> On Fri, Oct 30, 2015 at 09:03:57PM +0100, Adrian Dombeck wrote:
> > Hi echse,
> >
> > > 1)
> > > https://213.165.82.133/images/factory/SHA512SUMS.sign enthält die
> > > signierten SHA512 hashes und ist damit zur authentifizierung und
> > > integritätsüberprüfung der binaries geeignet. (Vorausgesetzt, Du
> > > vertraust Rampones Schlüssel.)
> > > gpg < SHA512SUMS.sign
> > stimmt, die Datei enthält tatsächlich auch die Hashes. Allerdings
> > benutzt man diese nicht, wenn man der Anleitung folgt, sondern die der
> > unsignierten Datei.
> >
> > > 2)
> > > Die https://213.165.82.133/images/factory/SHA512SUMS ist in der Tat
> nur
> > > bedingt nützlich um z.B. abgebrochene downloads o.Ä. zu
> > > bemerken. Andererseits werden die Daten immerhin per TLS Serviert, wenn
> > > Du also wiederum diesem Zertifikat und Rampones Server setup vertraust
> > > erfüllt das auch seinen Zweck. Vorteil ist das man die Hashes ohne gpg
> > > Infrastruktur prüfen kann.
> > TLS ersetzt natürlich keine PGP-Signatur. Abgesehen davon zeigt der
> > Browser auch noch eine Sicherheitswarnung an, weil das Zertifikat nicht
> > zur Domain passt.
> >
> > > Im vergleich zum wilden unsignierten verteilen der builds in den
> letzten
> > > Monaten finde ich das Sicherheitslevel momentan eigentlich recht
> > > akzeptabel. ;)
> > Den Eindruck von Sicherheit zu vermitteln ohne Sicherheit zu bieten,
> > finde ich gefährlicher als keine Sicherheit.
> >
> > Viele Grüße
> > Adrian
> >
> >
> > On 10/30/2015 08:43 PM, Sebastian Schmittner wrote:
> > > Hi Adrian,
> > >
> > > 1)
> > > https://213.165.82.133/images/factory/SHA512SUMS.sign enthält die
> > > signierten SHA512 hashes und ist damit zur authentifizierung und
> > > integritätsüberprüfung der binaries geeignet. (Vorausgesetzt, Du
> > > vertraust Rampones Schlüssel.)
> > > gpg < SHA512SUMS.sign
> > >
> > > 2)
> > > Die https://213.165.82.133/images/factory/SHA512SUMS ist in der Tat
> nur
> > > bedingt nützlich um z.B. abgebrochene downloads o.Ä. zu
> > > bemerken. Andererseits werden die Daten immerhin per TLS Serviert, wenn
> > > Du also wiederum diesem Zertifikat und Rampones Server setup vertraust
> > > erfüllt das auch seinen Zweck. Vorteil ist das man die Hashes ohne gpg
> > > Infrastruktur prüfen kann.
> > >
> > >
> > > Im vergleich zum wilden unsignierten verteilen der builds in den
> letzten
> > > Monaten finde ich das Sicherheitslevel momentan eigentlich recht
> > > akzeptabel. ;)
> > >
> > > lg.echse
> > >
> > >
> > > On Fri, Oct 30, 2015 at 06:01:00PM +0100, Adrian Dombeck wrote:
> > >> Hallo,
> > >>
> > >> ich habe gerade die Signaturdatei [1] und die Hashsummen [2] für die
> > >> Gluon Beta heruntergeladen, wie in eurem Wiki [3] verlinkt. Die
> > >> SHA512SUMS.sign ist korrekt signiert von 30EADDB8 (rampone at gmail.com
> ).
> > >> Allerdings ist es keine detached signature, sie verifziert also nicht
> > >> die SHA512SUMS, sondern nur sich selber. Dadurch ist die SHA512SUMS
> zur
> > >> Zeit nicht verifizierbar.
> > >> Ihr solltet das schnell fixen und außerdem die Anleitung anpassen, so
> > >> dass die zu verifizierende Datei mit angegeben wird:
> > >> gpg --verify SHA512SUMS.sign SHA512SUMS
> > >>
> > >> Viele Grüße
> > >> Adrian
> > >>
> > >> [1] https://213.165.82.133/images/factory/SHA512SUMS.sign
> > >> [2] https://213.165.82.133/images/factory/SHA512SUMS
> > >> [3]
> > >>
> https://kbu.freifunk.net/wiki/index.php?title=%C3%9Cberpr%C3%BCfen_der_Signatur
> > >>
> > >
> > >
> > >> --
> > >> _______________________________________________
> > >> Freifunk-Bonn mailing list
> > >> Freifunk-Bonn at lists.kbu.freifunk.net
> > >> http://lists.kbu.freifunk.net/cgi-bin/mailman/listinfo/freifunk-bonn
> > >
> > >
> >
>
>
>
> > --
> > _______________________________________________
> > Freifunk-Bonn mailing list
> > Freifunk-Bonn at lists.kbu.freifunk.net
> > http://lists.kbu.freifunk.net/cgi-bin/mailman/listinfo/freifunk-bonn
>
>
> --
> _______________________________________________
> Freifunk-Bonn mailing list
> Freifunk-Bonn at lists.kbu.freifunk.net
> http://lists.kbu.freifunk.net/cgi-bin/mailman/listinfo/freifunk-bonn
>
>
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.kbu.freifunk.net/pipermail/freifunk-bonn/attachments/20151031/7cff95f9/attachment.htm>

Mehr Informationen über die Mailingliste Freifunk-Bonn