staging.inyokaproject.org

Sorry das ich hier mich so reinquetsche. Kann mir mal hier einer so richtig erklären wie ich die von Ubuntu oder Xubuntu herunter geladene ISO mittels z.B. der SHA256SUMS.gpg auf Echtheit der Original-ISO überprüfe? Das überprüfen mittels MDSUMS Hash und SHA265SUMS Hash mittels dem Tool "GtkHash" funktioniert wunderbar. Diese Verfahren zeigen aber nur die korrekt heruntergeladene ISO von der Webseite.

Bei Ubuntu gibt es da einen Artikel zu:

https://help.ubuntu.com/community/VerifyIsoHowto

Die Seite kenne ich. Bin aber der englischen Sprache nicht mächtig. Habe da schon versucht mittels Tranlaterübersetzung was nach zu machen. Kapiere das alles aber trotzdem nicht im geringsten. Deshalb meine Anfrage.

Der Artikel hier im Wiki hat dir nicht geholfen? https://wiki.ubuntuusers.de/md5sum/

Im Grunde läuft es darauf hinaus, dass du mit Hilfe von GnuPG die Signatur der Datei "SHA256SUMS" mit Hilfe der signierten Datei "SHA256SUMS.gpg" überprüfst:

glasen@glasen-hardt:[~]: gpg --verify SHA256SUMS.gpg SHA256SUMS 
gpg: Unterschrift vom Do 18 Feb 2016 21:16:29 CET mittels DSA-Schlüssel ID FBB75451
gpg: Unterschrift kann nicht geprüft werden: Öffentlicher Schlüssel nicht gefunden
gpg: Unterschrift vom Do 18 Feb 2016 21:16:29 CET mittels RSA-Schlüssel ID EFE21092
gpg: Unterschrift kann nicht geprüft werden: Öffentlicher Schlüssel nicht gefunden

Der Signaturschlüssel entspricht dabei dem Schlüssel mit dem die Pakete der CDs unter Ubuntu signiert sind. Dessen Signatur taucht beim Aufrufen von "apt-key list" auf:

glasen@glasen-hardt:[~]: apt-key list
/etc/apt/trusted.gpg
--------------------
pub   1024D/437D05B5 2004-09-12
uid                  Ubuntu Archive Automatic Signing Key <ftpmaster@ubuntu.com>
sub   2048g/79164387 2004-09-12

pub   1024D/FBB75451 2004-12-30
uid                  Ubuntu CD Image Automatic Signing Key <cdimage@ubuntu.com>

pub   4096R/C0B21F32 2012-05-11
uid                  Ubuntu Archive Automatic Signing Key (2012) <ftpmaster@ubuntu.com>

pub   4096R/EFE21092 2012-05-11
uid                  Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com>

Beide Schlüssel kannst du dir in deinen privaten Schlüsselbund importieren:

gpg --keyserver hkp://keyserver.ubuntu.com --recv-keys FBB75451 EFE21092

Danach spuckt GNUPG dann auch folgende Meldung aus:

glasen@glasen-hardt:[~]: gpg --verify SHA256SUMS.gpg SHA256SUMS 
gpg: Unterschrift vom Do 18 Feb 2016 21:16:29 CET mittels DSA-Schlüssel ID FBB75451
gpg: Korrekte Unterschrift von »Ubuntu CD Image Automatic Signing Key <cdimage@ubuntu.com>«
gpg: WARNUNG: Dieser Schlüssel trägt keine vertrauenswürdige Signatur!
gpg:          Es gibt keinen Hinweis, daß die Signatur wirklich dem vorgeblichen Besitzer gehört.
Haupt-Fingerabdruck  = C598 6B4F 1257 FFA8 6632  CBA7 4618 1433 FBB7 5451
gpg: Unterschrift vom Do 18 Feb 2016 21:16:29 CET mittels RSA-Schlüssel ID EFE21092
gpg: Korrekte Unterschrift von »Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com>«
gpg: WARNUNG: Dieser Schlüssel trägt keine vertrauenswürdige Signatur!
gpg:          Es gibt keinen Hinweis, daß die Signatur wirklich dem vorgeblichen Besitzer gehört.
Haupt-Fingerabdruck  = 8439 38DF 228D 22F7 B374  2BC0 D94A A3F0 EFE2 1092

Hi glasenisback vielen Dank für deine sehr ausführliche Antwort. Also ich habe die Ubuntu-ISO und die SHA256SUMS.gpg im Downloadordner. Die SHA256SUMS kann ich nicht herunterladen.

Schon der erste Terminalbefehl gpg --verify SHA256SUMS.gpg SHA256SUMS funktioniert da bei mir nicht. gpg: 'SHA256SUMS.gpg' kann nicht geöffnet werden gpg: verify signatures failed: Fehler beim Öffnen der Datei

Der Befehl gpg --keyserver hkp://keyserver.ubuntu.com --recv-keys FBB75451 EFE21092 hat dagegen geklappt.

Der Befehl apt-key list zeigt auch alles so an wie du es anzeigst.

Diki schrieb:

Die SHA256SUMS kann ich nicht herunterladen.

Woran hapert es denn?

Tja ich würde ja gpg --verify SHA256SUMS.gpg SHA256SUMS ausführen wollen nur es funktioniert so bei mir leider nicht.

Die passenden Datein SHA256SUMS.gpg und SHA256SUMS hast du aber runtergeladen, oder?

SHA256SUMS habe ich jetzt herunter geladen.Auch SHA256SUMS.gpg

Dann poste mal die Meldungen, die

gpg --verify SHA256SUMS.gpg SHA256SUMS

ausgibt.

~~gpg: Befehl nicht gefunden

gpg: 'SHA256SUMS.gpg' kann nicht geöffnet werden gpg: verify signatures failed: Fehler beim Öffnen der Datei

Liegen die Dateien SHA256SUMS.gpg und SHA256SUMS im aktuellen Verzeichnis?

Muss ich evtl. SHA256SUMS.gpg vorher signieren? Und wenn ja wie mache ich das?