Muss ich SHA256SUMS.gpg evtl. vorher signieren? Und wenn ja wie mache ich das?
Überprüfung einer heruntergeladenen ISO
|
(Themenstarter)
Anmeldungsdatum: Beiträge: 241 |
|
Anmeldungsdatum: Beiträge: 87 |
|
|
(Themenstarter)
Anmeldungsdatum: Beiträge: 241 |
Oh man ist das alles schwierig gemacht. Alltagstauglich für die große Masse der User ist das aber nicht! |
|
(Themenstarter)
Anmeldungsdatum: Beiträge: 241 |
Ich habe das alles schon mal probiert bin aber immer gescheitert. Daher meine Anfrage hier. |
|
(Themenstarter)
Anmeldungsdatum: Beiträge: 241 |
Ich glaube kaum das diese Überprüfung der ISO mittels gpg von vielen Usern gemacht wird. Ein ausführliches Wiki in Deutsch wäre da sicher von nöten. |
|
(Themenstarter)
Anmeldungsdatum: Beiträge: 241 |
Sollte man vielleicht zu dem Befehl gpg --verify SHA256SUMS.gpg SHA256SUMS vielleicht noch den Ort also den Downloadordner in den Terminalbefehl integrieren? |
|
Anmeldungsdatum: Beiträge: 87 |
|
|
(Themenstarter)
Anmeldungsdatum: Beiträge: 241 |
Tja da hört es bei mir schon auf. Wie so ein Befehl aussieht weis ich leider nicht. Da seid ihr jetzt gefragt. |
|
Anmeldungsdatum: Beiträge: 11278 |
Nein, Englisch Lernen ist vonnöten - wer erst auf eine Übersetzung warten muss, verpasst so viel im Leben... Und cd hat sogar einen eigenen (deutschen) Wiki-Artikel. Ich tippe mal auf cd ~/Downloads wenn die Dateien in das Standard-Verzeichnis heruntergeladen wurden. |
|
(Themenstarter)
Anmeldungsdatum: Beiträge: 241 |
He ich habs. Vorher muss man cd /home/torsten/Downloads eingeben dann fuktioniert es. Man das muss man erst mal wissen!!! |
|
(Themenstarter)
Anmeldungsdatum: Beiträge: 241 |
Leute wer soll das den wissen. Bitte schreibt dazu mal einen ausführlichen Wikibeitrag zur Überprüfung der Autentzität der Ubuntu-ISO. Mit der MD5 Geschichte im Wiki ist es nicht gemacht. |
|
Anmeldungsdatum: Beiträge: 87 |
|
Anmeldungsdatum: Beiträge: 9684 |
|
|
(Themenstarter)
Anmeldungsdatum: Beiträge: 241 |
Ja ist doch klar aber diese Sache ist sehr wichtig geworden. Schaut euch bloß das Desaster von Linux Mint an. Da werden kompromitierte ISO's verteilt. Wer da nicht die ISO richtig checkt wird abgeschnüffelt. Das kann z.B. böse mit Onlinebanking werden. Bitte macht da ein ausfühliches Wiki dazu. Die Überprüfung der MD5 Prüfsummen reicht da nicht aus! Die zeigt nur an ob die Datei ordnungsgemäß herunter geladen wird aber NICHT ob es auch die Authentische ISO ist!!! Das ist kreuz gefährlich. Kommt noch dazu das die Website http://releases.ubuntu.com/14.04.4/ mit den ISO's nicht mal via https verschlüsselt ist. Ich denke das da schleunigst sich was ändern muss! Vielen Dank für Eure Hilfe ! |
|
Anmeldungsdatum: Beiträge: 11278 |
Ja und das nötige Hintergrundwissen sollte man sich anlesen. Wenn man es nicht verstanden hat (niemand sagt, dass Kryptographie ein einfaches Thema ist), kann man den Ergebnissen nicht vertrauen und dann steht man dumm da... Automatische absolute Sicherheit kann es da nicht geben, man muss dabei anderen vertrauen (können). Hier mal am Beispiel für das Ubuntu 14.04.4 Server ISO, die Vorgehensweise für die anderen Images funktioniert analog (man muss nur den Namen für das jeweilige ISO anpassen). Die Dateien lade ich mit wget herunter (man kann natürlich auch den eigenen Browser dafür nutzen, wenn man das einfacher findet). Die Links für die Dateien bekommt man in dem Fall von http://releases.ubuntu.com/14.04.4/, Zeilen in denen ich einen Befehl angebe, haben ein vorangestelltes Dollar-Zeichen $": $ cd ~/Downloads $ wget http://releases.ubuntu.com/14.04.4/SHA256SUMS.gpg $ wget http://releases.ubuntu.com/14.04.4/SHA256SUMS $ wget http://releases.ubuntu.com/14.04.4/ubuntu-14.04.4-server-amd64.iso Jetzt interessiert uns, wer die Datei mit den Prüfsummen signiert hat, denn wenn wir dem Eigentümer des Schlüssels nicht vertrauen, nützen die weiteren Schritte nichts - dazu nutzen wir GnuPG. Die Theorie dahinter kann man z.B. in https://www.gnupg.org/gph/de/manual.pdf nachlesen (ist eine Lektüre für ein verregnetes Wochenende): $ gpg --verify SHA256SUMS.gpg SHA256SUMS gpg: Signatur vom Do 18 Feb 2016 21:15:23 CET mittels DSA-Schlüssel ID FBB75451 gpg: Signatur kann nicht geprüft werden: Kein öffentlicher Schlüssel gpg: Signatur vom Do 18 Feb 2016 21:15:23 CET mittels RSA-Schlüssel ID EFE21092 gpg: Signatur kann nicht geprüft werden: Kein öffentlicher Schlüssel In dem Fall haben wir die öffentlichen Schlüssel noch nicht in unserem Schlüsselbund, also holen wir sie uns vom Key-Server: $ gpg --keyserver hkp://keyserver.ubuntu.com --recv-keys 0xFBB75451 0xEFE21092 gpg: /home/user/.gnupg/trustdb.gpg: trust-db erzeugt gpg: Schlüssel EFE21092: Öffentlicher Schlüssel "Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com>" importiert gpg: Schlüssel FBB75451: Öffentlicher Schlüssel "Ubuntu CD Image Automatic Signing Key <cdimage@ubuntu.com>" importiert gpg: keine ultimativ vertrauenswürdigen Schlüssel gefunden gpg: Anzahl insgesamt bearbeiteter Schlüssel: 2 gpg: importiert: 2 Dass die Schlüssel-IDs korrekt sind, könnten wir z.B. aus dem englischen Ubuntu-Wiki erfahren oder noch besser - wenn wir bereits ein Ubuntu-System haben, dem wir vertrauen, von apt-key, indem wir die Fingerabdrücke der Schlüssel vergleichen (der Goldstandard wäre einen verantwortlichen Canonical-Mitarbeiter zu treffen und ihn nach dem Fingerprint für die Schlüssel zu fragen oder über das Web of Trust die Bestätigung dafür zu bekommen, dass das die richtigen öffentlichen Schlüssel sind): $ apt-key finger
/etc/apt/trusted.gpg
--------------------
pub 1024D/437D05B5 2004-09-12
Schl.-Fingerabdruck = 6302 39CC 130E 1A7F D81A 27B1 4097 6EAF 437D 05B5
uid Ubuntu Archive Automatic Signing Key <ftpmaster@ubuntu.com>
sub 2048g/79164387 2004-09-12
pub 1024D/FBB75451 2004-12-30
Schl.-Fingerabdruck = C598 6B4F 1257 FFA8 6632 CBA7 4618 1433 FBB7 5451
uid Ubuntu CD Image Automatic Signing Key <cdimage@ubuntu.com>
pub 4096R/C0B21F32 2012-05-11
Schl.-Fingerabdruck = 790B C727 7767 219C 42C8 6F93 3B4F E6AC C0B2 1F32
uid Ubuntu Archive Automatic Signing Key (2012) <ftpmaster@ubuntu.com>
pub 4096R/EFE21092 2012-05-11
Schl.-Fingerabdruck = 8439 38DF 228D 22F7 B374 2BC0 D94A A3F0 EFE2 1092
uid Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com>
pub 1024D/3E5C1192 2010-09-20
Schl.-Fingerabdruck = C474 15DF F48C 0964 5B78 6094 1612 6D3A 3E5C 1192
uid Ubuntu Extras Archive Automatic Signing Key <ftpmaster@ubuntu.com>Und für die gerade importierten Schlüssel: $ gpg --list-keys --fingerprint
/home/user/.gnupg/pubring.gpg
----------------------------------
pub 1024D/FBB75451 2004-12-30
Schl.-Fingerabdruck = C598 6B4F 1257 FFA8 6632 CBA7 4618 1433 FBB7 5451
uid Ubuntu CD Image Automatic Signing Key <cdimage@ubuntu.com>
pub 4096R/EFE21092 2012-05-11
Schl.-Fingerabdruck = 8439 38DF 228D 22F7 B374 2BC0 D94A A3F0 EFE2 1092
uid Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com>
Wenn wir jetzt noch einmal nachsehen, ob die Signatur korrekt ist (der öffentliche Schlüssel passt zur Signatur), bekommen wir noch den Hinweis, das wir selbst die Schlüssel noch nicht als vertrauenswürdig markiert haben, was man selbst noch ändern könnte, wenn man die Bestätigung dafür hat vgl. GnuPG/Web of Trust: gpg --verify SHA256SUMS.gpg SHA256SUMS gpg: Signatur vom Do 18 Feb 2016 21:15:23 CET mittels DSA-Schlüssel ID FBB75451 gpg: Korrekte Signatur von "Ubuntu CD Image Automatic Signing Key <cdimage@ubuntu.com>" [unbekannt] gpg: WARNUNG: Dieser Schlüssel trägt keine vertrauenswürdige Signatur! gpg: Es gibt keinen Hinweis, daß die Signatur wirklich dem vorgeblichen Besitzer gehört. Haupt-Fingerabdruck = C598 6B4F 1257 FFA8 6632 CBA7 4618 1433 FBB7 5451 gpg: Signatur vom Do 18 Feb 2016 21:15:23 CET mittels RSA-Schlüssel ID EFE21092 gpg: Korrekte Signatur von "Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com>" [unbekannt] gpg: WARNUNG: Dieser Schlüssel trägt keine vertrauenswürdige Signatur! gpg: Es gibt keinen Hinweis, daß die Signatur wirklich dem vorgeblichen Besitzer gehört. Haupt-Fingerabdruck = 8439 38DF 228D 22F7 B374 2BC0 D94A A3F0 EFE2 1092 Wenn wir jetzt der Meinung sind, dass wir der signierten Prüfsumme vertrauen können, überprüfen wir noch, ob die Prüfsumme zum heruntergeladenen ISO passt (die Fehlermeldungen, dass nicht alle in der Datei SHA256SUMS genannten Dateien existieren, filtere ich in dem Beispiel mal raus): $ sha256sum -c SHA256SUMS 2>1 | grep "OK" ubuntu-14.04.4-server-amd64.iso: OK Und schon wissen wir, dass die Prüfsumme für das ISO korrekt ist und wenn dir darauf vertrauen, dass der Hash für die Prüfsumme tatsächlich von den Ubuntu-Maintainern signiert wurde, passt alles zusammen.
Die Überprüfung von vertrauenswürdigen signierten Hashes sollte aber beim aktuellen Kenntnisstand genügen (wegen der bekannten Schwächen von MD5SUM, dass es Kollisionen geben kann, nehmen wir ja den SHA256 Hash).
Deswegen verifizierst du ja die Authentizität der signierten Prüfsumme (Hash) mit dem öffentlichen Schlüssel des Erstellers (bei dem du dich überzeugen musst, dass es der richtige ist).
Es ist eigentlich völlig egal, auf welchem Weg die Datei auf deinen Rechner kommt und ob die Leitung dabei gesichert ist oder nicht. Das Zertifikat für eine SSL-Verbindung hat nur einen anderen Vertrauensweg - ein Zertifikat-Anbieter bestätigt damit seinem Kunden anderen gegenüber (z.B. Browsern, die mit entsprechenden Stammzertifikaten ausgeliefert werden), dass das der Webserver desjenigen ist, für den das Zertifikat ausgestellt wurde - aber daraus darfst du nicht den Fehlschluss ziehen, dass die Daten auf dem Webserver nicht kompromittiert sein können. Wichtig ist, dass du die Vertrauenskette zum Urheber und die Integrität der erhaltenen Dateien sicherstellen kannst. |