staging.inyokaproject.org

Bitte das Howto auch in das Wiki/Neue Howtos eintragen.

Falls es bei der Team-Entscheidung hilft: Auch andere Linux-Distributionen signieren ihre ISO-Prüfsummen mit GPG-Keys, und veröffentlichen den GPG-Fingerprint auf einer HTTPS-Webseite. Ist also ein Standard-Verfahren:

• Debian ( https://www.debian.org/CD/verify )

• CentOS ( https://www.centos.org/keys/ )

• openSUSE (https://en.opensuse.org/SDB:Download_help#Checksums)

• Fedora ( https://getfedora.org/verify )

Grüße, Roland

Hallo,

Falls es bei der Team-Entscheidung hilft:

Nee, hier ist ja ein Ubuntu-Wiki. Was andere Distros treiben ist eher weniger von Interesse.

Zu deiner Beruhigung: verlinkt wird das Howto auf jeden Fall, wie diskutieren gerade noch ein paar "weiterführende" Ideen. Kann noch ein paar Tage dauern.

Gruß, noisefloor

rolands11 schrieb:

Bitte das Howto auch in das Wiki/Neue Howtos eintragen.

Ist hiermit erledigt. Danke für die Erinnerung. Bin noch neu und mir ist das untergegangen. Sorry und vielen Dank für den Artikel!

Hallo,

nach internen Diskussion haben wir (=das Wikiteam) sich dazu entschlossen, aus dem Howto doch einen Wikiartikel zu machen. Der Grund, weswegen wir die Grundüberarbeitung selber machen ist einfach: Es ist in Sachen Struktur und Syntax so viel zu ändern, dass es schneller und effektiver ist, wenn jemand vom Wikiteam das macht, als wenn wir hier ellenlang posten, wo was wie zu ändern wäre.

Wenn die "Grundüberarbeitung" fertig ist kann natürlich wie üblich jeder am "Finetuning" mit wirken.

Der Artikelname wird dann nach der Überarbeitung geändert in "Ubuntu-Downloads überprüfen", bis dahin bleibt das Howot drin. Ist aus administrativer Sicht einfacher und weniger fehleranfällig, als wenn man vorher mit den Namen und Umbenennungen "jongliert".

Gruß, noisefloor

Hallo,

so, fertig. Feedback, Korrekturen etc sind willkommen.

Gruß, noisefloor

Hallo noisefloor,

hab ein paar Kleinigkeiten korrigiert und den tag "Howto" entfernt. Dir fallen sicher selbst tags ein, die hier sinnvoll wären.

Gruß BillMaier

Hallo,

Artikel ist im Wiki, kein Howto mehr, der Redirect vom Howto auf den Artikel ist angelegt und die Seite ist auf den beiden aktuellen Download-Seite verlinkt.

Gruß, noisefloor

Hallo,

der Artikel müsste IMO aktuallisiert werden. Mit Focal habe ich noch nicht alles im Detail getestet, aber bezüglich Jammy sind IMO ein paar Änderungen notwendig und es ergeben sich einige Fragen, die ich gerne vorab klären bzw. absprechen würde, dann würde ich die Überarbeitung grundsätzlich übernehemen:

Außerdem sind alle ISO- und Prüfsummen-Downloads unverschlüsselt, und somit anfällig für Man-in-the-Middle-Angriffe.

Also die aktuellen Direktlinks für Focal und Jammy lauten:

• https://releases.ubuntu.com/20.04/ubuntu-20.04.5-desktop-amd64.iso

• https://releases.ubuntu.com/22.04/ubuntu-22.04.1-desktop-amd64.iso

Da ist doch dann der Download nicht unverschlüsselt, soweit ich das beobachten kann. Einwände?

Das stimmt so für Jammy nicht bzw. nur teilweise:

gpg -v --recv-keys "8439 38DF 228D 22F7 B374 2BC0 D94A A3F0 EFE2 1092" "C598 6B4F 1257 FFA8 6632 CBA7 4618 1433 FBB7 5451" 
gpg: data source: https://keys.openpgp.org:443
gpg: ASCII-Hülle: Comment: C598 6B4F 1257 FFA8 6632  CBA7 4618 1433 FBB7 5451
gpg: ASCII-Hülle: Comment: 8439 38DF 228D 22F7 B374  2BC0 D94A A3F0 EFE2 1092
gpg: pub  dsa1024/46181433FBB75451 2004-12-30  
gpg: Schlüssel 46181433FBB75451: "Ubuntu CD Image Automatic Signing Key <cdimage@ubuntu.com>" nicht geändert
gpg: pub  rsa4096/D94AA3F0EFE21092 2012-05-11  
gpg: Schlüssel D94AA3F0EFE21092: "Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com>" nicht geändert
gpg: Anzahl insgesamt bearbeiteter Schlüssel: 2
gpg:              unverändert: 2

Wie man sieht wird zwar https://keys.openpgp.org:443 - und damit eine Verbindung über https verwendet - nur sind die Ubuntu-CD-Schlüssel auf keys.openpgp.org gar nicht hinterlegt.

Man sollte es IMO daher so machen:

gpg -v --keyserver hkps://keyserver.ubuntu.com --recv-keys "8439 38DF 228D 22F7 B374 2BC0 D94A A3F0 EFE2 1092" "C598 6B4F 1257 FFA8 6632 CBA7 4618 1433 FBB7 5451" 
gpg: data source: https://162.213.33.9:443
gpg: ASCII-Hülle: Comment: Hostname:
gpg: ASCII-Hülle: Version: Hockeypuck 2.1.0-189-g15ebf24
gpg: ASCII-Hülle: Comment: Hostname:
gpg: ASCII-Hülle: Version: Hockeypuck 2.1.0-189-g15ebf24
gpg: key 46181433FBB75451: number of dropped non-self-signatures: 120
gpg: pub  dsa1024/46181433FBB75451 2004-12-30  Ubuntu CD Image Automatic Signing Key <cdimage@ubuntu.com>
gpg: verwende Vertrauensmodell pgp
gpg: Schlüssel 46181433FBB75451: Öffentlicher Schlüssel "Ubuntu CD Image Automatic Signing Key <cdimage@ubuntu.com>" importiert
gpg: key D94AA3F0EFE21092: number of dropped non-self-signatures: 88
gpg: pub  rsa4096/D94AA3F0EFE21092 2012-05-11  Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com>
gpg: Schlüssel D94AA3F0EFE21092: Öffentlicher Schlüssel "Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com>" importiert
gpg: Anzahl insgesamt bearbeiteter Schlüssel: 2
gpg:               importiert: 2

Dann würde ich noch für das Ermitteln der "Ubuntu CD Image Automatic Signing Key <cdimage@ubuntu.com>"-Schlüssel auf dem Ubuntu-Keyserver folgendes Vorgehen von Anfang an vorschlagen:

gpg --keyserver hkps://keyserver.ubuntu.com --search-keys 'Ubuntu CD Image Automatic Signing Key <cdimage@ubuntu.com>' 
gpg: data source: https://162.213.33.9:443
(1)	Ubuntu CD Image Automatic Signing Key <cdimage@ubuntu.com>
	  3072 bit RSA key A6AD0893499AA841, erzeugt: 2021-04-25
(2)	Ubuntu CD Image Automatic Signing Key <cdimage@ubuntu.com>
	  1024 bit DSA key 46181433FBB75451, erzeugt: 2004-12-30
(3)	Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com>
	  4096 bit RSA key D94AA3F0EFE21092, erzeugt: 2012-05-11
Keys 1-3 of 3 for "Ubuntu CD Image Automatic Signing Key <cdimage@ubuntu.com>".  Eingabe von Nummern, Nächste (N) oder Abbrechen (Q) > Q
gpg: error searching keyserver: Verarbeitung wurde abgebrochen
gpg: Suche auf dem Schlüsselserver fehlgeschlagen: Verarbeitung wurde abgebrochen

Sonst halt alles auf https anpassen.

Soll man empfehlen, immer alle verfügbaren Schlüssel herunterzuladen? Aktuell wird für alle Ubuntu-Versionen zumindest bis Jammy der 2012er Key verwendet.

Einwände sonst noch Vorschläge?

Danke!

LG, Newubunti

Keine Einwände. Danke dass du die Aktualisierung übernehmen möchtest.

Anmerkung zum Problem mit den Keyservern:
Normalerweise synchronisieren sich alle PGP-Keyserver untereinander automatisch, sodass die Ubuntu-Schlüssel auch auf keys.openpgp.org zur Verfügung stehen. Allerdings müssen dort neuerdings die Besitzer der Schlüssel diese zusätzlich aus Sicherheitsgründen bestätigen. Andernfalls fehlt die UserID / E-Mail-Adresse bei den Keys, und gpg verweigert daraufhin deren Import. Ubuntu hat das bei seinen Keys auf openpgp.org offenbar noch nicht gemacht.

Im Prinzip ist das Prüfen der ISO-Images nach dem Download aber sowieso nicht mehr notwendig. Damals wurden die ISO-Images noch über HTTP angeboten, wahrscheinlich aus Performance-Gründen unverschlüsselt.

Erledigt!

LG, Newubunti