staging.inyokaproject.org

rolands11 schrieb:

Keine Einwände. Danke dass du die Aktualisierung übernehmen möchtest.

(...)

Im Prinzip ist das Prüfen der ISO-Images nach dem Download aber sowieso nicht mehr notwendig. Damals wurden die ISO-Images noch über HTTP angeboten, wahrscheinlich aus Performance-Gründen unverschlüsselt.

Das habe ich mir auch so gedacht, das mit der alleinigen Sicherheit der HTTPS-Verschlüsselung. Allerdings steht im ersten Artikel-Absatz Folgendes:

Über die Prüfsumme wird festgestellt, ob z.B. Übertragungsfehler aufgetreten sind ("bit flip"). Allerdings garantiert die Prüfsumme alleine nicht, dass es sich um die original ISO-Datei von Ubuntu handelt. Hätte sich z.B. jemand Zugang zum Download-Server verschafft und die ISO-Dateien manipuliert, so wäre es ein Leichtes auch die Prüfsumme entsprechend anzupassen, so dass diese zur manipulierten ISO-Datei passt.

Für diesen Zweck bietet Ubuntu seinen offiziellen GPG-Key zum Herunterladen an. Dieser kann anhand seines Fingerprints über eine HTTPS-verschlüsselte Webseite geprüft werden. Mit diesem sicheren GPG-Key wird dann die Prüfsummendatei verfiziert.

Dazu 2 Fragen:

1. Wg. Übertragungsfehlern: Müsste die nicht bereits das Download-Programm bzw. der Intenet-Browser automatisch kontrollieren und dann ggf. einen fehlerhaften Download melden?

2. Wg. "Zugang-Verschaffung zum Download-Server": Könnte dies nicht gleichermaßen auch dem GPG-Server widerfahren? Oder ist es unwahrscheinlich, dass beides gleichzeitig passiert, also, dass beide Server kompromittiert werden? Und – etwas abseits des Themas: Was ist denn z.B. beim Online-Banking so viel sicherer, dass man dabei keine umständliche zusätliche Überprüfung vornehmen muss?

Hallo,

im Artikel-Kopf steht Folgendes:

(...) Über die Prüfsumme wird festgestellt, ob z.B. Übertragungsfehler aufgetreten sind ("bit flip"). Allerdings garantiert die Prüfsumme alleine nicht, dass es sich um die original ISO-Datei von Ubuntu handelt. Hätte sich z.B. jemand Zugang zum Download-Server verschafft und die ISO-Dateien manipuliert, so wäre es ein Leichtes auch die Prüfsumme entsprechend anzupassen, so dass diese zur manipulierten ISO-Datei passt.

Außerdem:

rolands11 schrieb:

(...)

Im Prinzip ist das Prüfen der ISO-Images nach dem Download aber sowieso nicht mehr notwendig. Damals wurden die ISO-Images noch über HTTP angeboten, wahrscheinlich aus Performance-Gründen unverschlüsselt.

Zu beiden Zitaten habe ich Fragen:

1. Müssten etwaige Übertragungsfehler nicht bereits durch den jeweiligen Download-Manager bzw. Browser automatisch erkannt werden?

2. Durch die standardmäßigen HTTPS-Downloads fallen Man-In-The-Middle-Attacken ja mittlerweile weg. Bleibt also eigentlich nur noch der Fall des Verschaffens vom Zugang zum Download-Server und nachfolgender Manipulation von ISO-Datei(en) und Prüfsumme(n). Allerdings: Falls sich jemand auch noch Zugang zum Key-Server verschafft und dann den GPG-Key so manipuliert, dass dieser zur Prüfsumme passt, läuft doch diese zusätzliche Sicherheits-Maßnahme ins Leere, oder? Oder aber: Ist es unwahrscheinlich, dass beide Server geknackt werden?

3. Auch wenn diese Frage etwas vom eigentlichen Thema abgeht: Wie ist das denn beim Online-Banking, da hat man ja HTTPS-Verschlüsselung, Passwörter u. -keys, 2FA etc.. Und braucht keine zusätzliche GPG-Key-Überprüfung!

Moin,

1. Müssten etwaige Übertragungsfehler nicht bereits durch den jeweiligen Download-Manager bzw. Browser automatisch erkannt werden?

Nein das passiert nicht automatisch, dafür müsste der Server eine Prüfsumme mitteilen und diese vom Client/Browser dann abgeglichen werden. Nutzt du beispielsweise Bittorrent, dann passiert das im Hintergrund (einer der Vorteile dieser Methode).

1. Durch die standardmäßigen HTTPS-Downloads fallen Man-In-The-Middle-Attacken ja mittlerweile weg. Bleibt also eigentlich nur noch der Fall des Verschaffens vom Zugang zum Download-Server und nachfolgender Manipulation von ISO-Datei(en) und Prüfsumme(n). Allerdings: Falls sich jemand auch noch Zugang zum Key-Server verschafft und dann den GPG-Key so manipuliert, dass dieser zur Prüfsumme passt, läuft doch diese zusätzliche Sicherheits-Maßnahme ins Leere, oder?

Prinzipiell richtig, wenn du den Key von der gleichen Webseite runterlädst. Die Keys liegen aber üblicherweise auf den Schlüsselservern und sind von diversen weiteren Keys unterschrieben. Wenn hier also mehrere bekannte Schlüssel diesen ersten Key unterschrieben haben, kannst du davon ausgehen, dass er korrekt ist. Am Ende basiert es in solchen Fällen meist auf dem GnuPG/Web of Trust. Siehe auch Web_of_Trust.

Oder aber: Ist es unwahrscheinlich, dass beide Server geknackt werden?

Auch das ist natürlich eher unwahrscheinlich, zumal Schlüsselserver hoffentlich von Leuten betrieben werden, die sich sehr gut in der Materie auskennen.

1. Auch wenn diese Frage etwas vom eigentlichen Thema abgeht: Wie ist das denn beim Online-Banking, da hat man ja HTTPS-Verschlüsselung, Passwörter u. -keys, 2FA etc.. Und braucht keine zusätzliche GPG-Key-Überprüfung!

Sehe ich auch so, die Frage hat mit den vorangegangenen nichts mehr zu tun. Bei der Bank möchtest du als Nutzer feststellen, dass du auf der richtigen Webseite gelandet bist, das weißt die Bank mit ihrem Zertifikat nach. Bei Banken werden dafür hoffentlich überall Zertifikate der höchsten Sicherheitsstufe (Extended Validation Zertifikate) verwendet. Dann möchte die Bank aber auch wissen, dass du wirklich du bist. Das überprüft sie durch deinen Login und anschließend durch einen zweiten Faktor, früher Papier-TAN, heute chipTAN, App oder ähnliches, siehe Zwei-Faktor-Authentisierung:. Hier müssten die Banken noch einiges aufholen, in der Kryptowelt ist das Sicherheitsniveau erheblich höher, aber die tun halt auch nur das was sie müssen. Gerade die Sparkasse hat Zweifaktor-Login z.B. erst auf den allerletzten Drücker eingeführt, obwohl eine entsprechende Anforderung dazu von der EU schon vor Jahren (2015?) verabschiedet wurde.

Hallo,

ich bin total fassungslos: Wer löscht hier meine Beiträge (2 mal innerhalb von 2 Tagen) und warum???

Siehe bitte Anhang!!!

Hier wird nichts gelöscht. Dein Beitrag ist von einem Moderator abgetrennt worden, weil eine Supportfrage und kein Diskussionsbeitrag zum Wiki-Artikel.

Du hast dazu auch eine email erhalten mit Link zum abgetrennten Thema. Pech, wenn du die automatische email-Benachrichtigung abgestellt hast.

linux_joy schrieb:

ich bin total fassungslos

Ich auch. Seit 16 Jahren hier und nicht in der Lage in die Eigenen Beiträge zu gucken...

Oder die akzeptierten Regeln zu befolgen...

HarryD schrieb:

Du hast dazu auch eine email erhalten mit Link zum abgetrennten Thema.

Und ich möchte auch wetten, dass er rechts neben der Anmeldefunktion angezeigt bekommt, dass er (mindestens) eine neue private Nachricht erhalten hat.

linux_joy schrieb:

ich bin total fassungslos: Wer löscht hier meine Beiträge (2 mal innerhalb von 2 Tagen) und warum???

Das war ich, wie Du an den Moderationstags unschwer erkennen kannst. Dort steht mittlerweile auch dreimal die Begründung. Wenn ein Beitrag mal verschoben wird, kann man den leicht durch die Suche nach eigenen Beiträgen wiederfinden. Außerdem hatte ich Dir nach dem zweiten Mal zusätzlich eine PN zukommen lassen.

Hallo,

vielen Dank für Eure (teilweise sehr ausführlichen) Antworten. Und ich bitte Euch hiermit vielmals um Entschuldigung wegen der Verwirrung, die ich gestiftet habe. Leider habe ich die letzten Tage soviel Stress gehabt, dass ich weder nach meinen E-Mails geguckt noch die PN-Benachrichtigung rects oben bemerkt habe.

Schön, dass Du den Thread hier noch gefunden hast. Wir wollen Dir nichts Böses, nur ein bisschen Ordnung halten 😉.

Hallo linux_joy,

Hast du die AGB deiner Bank durchgelesen, d.h. steht das was mit "aktuellem Betriebssystem" ? Wenn ja, hat sich das mit einer Live Version schon erledigt.

Gruss Lidux

Hallo Lidux,

mir ging es bei der zusätzlichen Erwähnung der Situation beim Online-Banking nicht darum, dieses mit einer Live-Version zu unternehmen (bzw. unternehmen zu können), sondern... lies Du dazu bitte selber die entsprechenden vorigen Posts 😎 !

Lidux schrieb:

Hast du die AGB deiner Bank durchgelesen, d.h. steht das was mit "aktuellem Betriebssystem" ? Wenn ja, hat sich das mit einer Live Version schon erledigt.

Mann kann in AGBs, genauso wie in einen Arbeitsvertrag erstmal alles reinschreiben. Die Frage ist meist eher ob einem das nicht ein Gericht wieder um die Ohren haut. 😉