Verständnisproblem mit der Verifizierung

Warum Debian und/oder eine seiner Spielarten? Was muss ich vorher wissen? Wo geht es nach der Installation weiter?
Antworten
Benutzeravatar
Pix
Beiträge: 275
Registriert: 31.01.2003 14:22:21

Verständnisproblem mit der Verifizierung

Beitrag von Pix » 16.07.2017 22:12:47

Hallo,

im Moment stehe ich am Schritt 0 der Vor-Installation.
Mir geht es um die Verifizierung der *.gpg bzw. der *.sign Datei.
Ich muss zugeben, ich habe ein Verständnisproblem mit der Verifizierung.

Was glaube ich, verstanden zu haben?
Die Datei SHA256SUMS ist eine Textdatei, in welcher die Prüfsummen (Checksummen) der ISO Image hinterlegt sind. Die SHA256SUMS und die zugehörigen ISO Images liegen im selben Verzeichnis.

Den Prüfsummenwert der debian-9.0.0-amd64-netinst.iso habe ich unter Windows mit dem Programm “MD5 & SHA Checksum Utility” ermittelt und mit dem Wert aus der Datei SHA256SUMS verglichen. Beide Prüfsummen stimmen überein.

Was sagt mir das?
Es sagt mir, dass der Download korrekt war, die Datei fehlerfrei und vollständig übertragen wurde. Die Übereinstimmung der Prüfsumme sagt mit aber nichts über die Integrität des heruntergeladenen ISO Images oder der SHA256SUMS aus.

Um die Integrität der Datei SHA256SUMS festzustellen, benötige ich eine namensgleiche *.gpg oder eine *.sign Datei. In diesem Fall ist es die Datei SHA256SUMS.sign

Mit der Datei SHA256SUMS.sign kann ich die Unversehrtheit der Datei SHA256SUMS feststellen und somit den Prüfsummen in dieser Datei vertrauen.
Soweit zu dem, was ich glaube verstanden zu haben.

Der nächste logische Schritt wäre, die Unversehrtheit der Datei SHA256SUMS mittels der SHA256SUMS.sign zu prüfen. Dazu brauche ich den öffentlichen Schlüssels des Erstellers der SHA256SUMS.sign, um mit dem öffentlichen Schlüssel, die SHA256SUMS auf Nichtmanipulierbarkeit zu prüfen.

Und an dieser Stelle ist mein Problem. Ich weiss nicht, wie ich das tun soll.

Unter Windows habe ich das Programm “gpg4win” installiert und komme dort keinen Schritt weiter.

Kurzum, was mache ich mit der Datei SHA256SUMS.sign??????

Könnt ihr mir bitte die weitere Vorgehensweise unter Windows beschreiben?
Denn Linux habe ich noch nicht installiert.

Vielen Dank für eure Hilfe
Pacific Crest Trail - Class of 2016 - Thru Hike

Benutzeravatar
smutbert
Moderator
Beiträge: 8314
Registriert: 24.07.2011 13:27:39
Wohnort: Graz

Re: Verständnisproblem mit der Verifizierung

Beitrag von smutbert » 16.07.2017 23:30:11

Soweit alles richtig.
normalerweise (unter Debian oder auch einem anderen Linux) würde man sich über ein Netz, das man für sicher hält, den Debianschlüsselbund herunterladen und dann mit gpg die Signatur prüfen.

Ohne Windowserfahrung würde ich vermuten, dass man mit gpg4win nach Schlüsseln suchen kann und mit etwas Glück so etwas wie einen "Debian CD Signing Key" findet. Dessen Eigenschaften, vor allem den Fingerabdruck vergleicht man mit den Schlüsseln, die auf dieser Seite aufgeführt sind:
https://www.debian.org/CD/verify.en.html

Stimmt alles kann man dem Schlüssel (hoffentlich) vertrauen und das gpg4win mitteilen.
Dann hätte ich vermutet, dass man an dieser Stelle bereits direkt die Signatur prüfen kann, aber laut diesem Thread im Mintforum ist dem nicht so - viel mehr muss man laut dem Thread den Umweg über ein selbst erstelltes Zertifikat gehen. Im ersten Post gibt es eine komplette Anleitung für Mint:
https://forums.linuxmint.com/viewtopic.php?t=229292

Diese weitere Anleitung (für Windows relativ weit unten auf der Seite) erweckt allerdings den Eindruck als wäre der Umweg über das selbst erstellte Zertifikat gar nicht notwendig:
https://www.howtogeek.com/246332/how-to ... ered-with/

(ich kenne gpg4win nicht, aber mit gefällt die zweite Anleitung besser)

Benutzeravatar
Pix
Beiträge: 275
Registriert: 31.01.2003 14:22:21

Re: Verständnisproblem mit der Verifizierung

Beitrag von Pix » 17.07.2017 17:02:46

@smutbert

Vielen Dank für deine Hilfe.

Der zweite Link gefällt mir sehr gut, gibt er doch eine gute Beschreibung über die Vorgehensweise mit Gpg4win wieder.
Pacific Crest Trail - Class of 2016 - Thru Hike

Antworten