TomL hat geschrieben: 25.03.2019 23:18:46
Trollkirsche hat geschrieben: 25.03.2019 22:20:18
Meinem Verständnis nach kann man die Vertrauenswürdigkeit ja nur gewährleisten, wenn der schlüssel woanders runtergeladen wurde als auf der Seite, auf der das ISO angeboten wird?
Das ist bei gnupg etwas anders. Der grml-maintainer hat mit gnupg einen Privat-Key erzeugt, der (hoffentlich) nicht öffentlich zugänglich ist. Du wirst diesen Private-Key jedenfalls nirgends runterladen können. Zusätzlich zu seinem geheimen Privat-Key wurde mit gpg ein dazu passender öffentlicher Public-Key erzeugt. Mit seinem Privat-Key hat er eine Signatur für das Installer-Iso erzeugt, also sowas wie eine Echtheitszertifikat. Du kannst nun mit dem Signaturfile, dem Pubkey und dem Iso die Echtheit des Iso's verifizieren. Wie der Fingerprint aussieht und wer der Keyfile-Ersteller war , steht ebenfalls auf der Seite, das wird weiterhin auch wieder beim importierten pubkey angezeigt. Ich denke nicht, dass auf der Seite unbemerkt geschummelt werden kann... da muss ja dann alles offen lesbare und dazu passend auch alle Prüffiles angepackt werden.
Ich hoffe, dass ich das richtig wiedergegeben habe....
Erstmal ein ganz grossed Dankeschön an euch allen!
Es ist fantastisch wie ihr einem unter die Arme greift und ihm die Dinge erklärt. Eure Hilfe ist wahrhaft von nobler Art! Ich weiss sie extrem zu schätzen.
Für deine Ausführung danke ich dir. Nun ist das Prinzip klar. Ich wusste gpg zwar im Mailbereich einzusetzen, aber hab sie gnupg nie verwendet, um eine Datei zu signieren.
Dennoch ist mir etwas immer noch nicht klar:
Wie kann es sein, dass wenn ich auf der Arbeit "grml.org" eingebe, eine andere Seite angezeigt bekomme als wenn ich auf den hier im Forum genannten Link klicke?
Bei der einen Seite (http://) kann ich eine Torrent Datei runterladen.
Auf der https Seite sehe ich die Möglichkeit von Mirrors runterzuladen:
Download from a specific mirror
Direct download links:
Grml96 full ISO [Signature]
Grml64 full ISO [Signature]
Grml32 full ISO [Signature]
Grml96 small ISO [Signature]
Grml64 small ISO [Signature]
Grml32 small ISO [Signature]
Ich sehe folgenden Fingerprint auf der HP:
Key fingerprint = 33CC B136 401A FEC8 43A3 8763 96A8 7872 B7EA 3737
Bei der überprüfung des Isos bekomme ich folgenden Output:
gpg --verify grml64-full_2018.12.iso.asc grml64-full_2018.12.iso
gpg: Signature made Son 30 Dez 2018 16:18:46 CET
gpg: using RSA key 33CCB136401AFEC843A3876396A87872B7EA3737
gpg: Good signature from "Michael Prokop <
mail@michael-prokop.at>" [unknown]
gpg: aka "Michael Prokop <
mika@grml.org>" [unknown]
gpg: aka "Michael Prokop <
mika@debian.org>" [unknown]
gpg: aka "Michael Prokop <
prokop@grml-solutions.com>" [unknown]
gpg: aka "Michael Prokop <
michael.prokop@synpro.solutions>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 33CC B136 401A FEC8 43A3 8763 96A8 7872 B7EA 3737
Wenn ich das nun richtig verstanden habe, dann zeigt der Fingerprint und das "Good signature", dass die überprüfung erfolgreich war?
Bis dann!