Inkontinentes-Hirn
Anmeldungsdatum: 25. Dezember 2016
Beiträge: 116
|
Hi. ☺ Sowohl unter Debian Stretch, als auch unter Lubuntu 16.04.1 passiert folgendes, wenn ich
torbrowser-launcher
starte: Es lädt den tarball herunter und versucht diesen dann zu verifizieren.
Dann erscheint folgende Meldung: | SIGNATURE VERIFICATION FAILED!
You might be under attack, or there might just be a networking problem.
Click Start try the download again.
|
Ich habe hier von dem selben Problem gelesen:
https://unix.stackexchange.com/questions/341513/torbrowser-signature-verification-fails-a-glitch-or-an-attack und versucht was dort geraten wird: | BENUTZER@COMPUTERNAME:~$ gpg --homedir "$HOME/.local/share/torbrowser/gnupg_homedir/" --refresh-keys --keyserver pgp.mit.edu
gpg: 1 Schlüssel wird per hkp://pgp.mit.edu aktualisiert
gpg: Refresh vom Schlüsselserver fehlgeschlagen: Kein Schlüsselserver verfügbar
|
| BENUTZER@COMPUTERNAME:~$ gpg --delete-key D1483FA6C3C07136
gpg (GnuPG) 2.1.18; Copyright (C) 2017 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
gpg: Schlüssel "D1483FA6C3C07136" nicht gefunden: Nicht gefunden
gpg: D1483FA6C3C07136: delete key failed: Nicht gefunden
|
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ Lade ich mir Paket und die passende asc dazu von hier
https://www.torproject.org/projects/torbrowser.html.en
beide herunter in ein Verzeichnis und öffne in diesem dann einen Terminalemulator um es zu verifizieren passiert das: | gpg --import tor-browser-linux64-6.5_en-US.tar.xz.asc
gpg: Keine gültigen OpenPGP-Daten gefunden.
gpg: Anzahl insgesamt bearbeiteter Schlüssel: 0
|
Öffne ich
tor-browser-linux64-6.5_en-US.tar.xz.asc
mit einem Texteditor sind da aber sehr wohl OpenPGP-Daten! | gpg --verify tor-browser-linux64-6.5_en-US.tar.xz.asc tor-browser-linux64-6.5_en-US.tar.xz
gpg: Signatur vom Di 24 Jan 2017 15:42:49 CET
gpg: mittels RSA-Schlüssel D1483FA6C3C07136
gpg: Signatur kann nicht geprüft werden: Kein öffentlicher Schlüssel
|
Ich kann den Browser entpacken, starten und auch benutzen, aber ich will ihn halt verifizieren! ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ Versuche ich den Schlüssel mit dem Programm gpa zu importieren zeigt dieses mir an:
Kein Schlüssel gefunden ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ Ich habe auch das hier probiert (von: https://www.torproject.org/docs/verifying-signatures.html.en) | gpg --keyserver pool.sks-keyservers.net --recv-keys 0x4E2C6E8793298290
gpg: Empfangen vom Schlüsselserver fehlgeschlagen: Kein Schlüsselserver verfügbar
gpg --fingerprint 0x4E2C6E8793298290
gpg: error reading key: Kein öffentlicher Schlüssel
|
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ Ich habe eine Internetverbindung, alle anderen Sachen laufen ja auch (Webbrowser etc.) mit meinem alten Debian Stretch (habe einmal neu installiert) hat das automatische verfizieren und das verifizieren mit gpg IMMER funktioniert! ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ Habe folgendes noch getan: | apt-get purge gnupg torbrowser-launcher
und dann
apt-get autoremove --purge
|
und alle übrigen dazugehörigen Dateien und Verzeichnisse händisch entfernt.
Dann gnupg wieder installiert aber es ist dasselbe...
torbrowser-launcher wieder installiert ebenfalls wie vorher... Wird mein Netzwerwerkpunkt attackiert?
|
adenel
Anmeldungsdatum: 13. Mai 2014
Beiträge: Zähle...
Wohnort: Münsterland
|
Hallo, gpg: Empfangen vom Schlüsselserver fehlgeschlagen: Kein Schlüsselserver verfügbar
Der Server ist nicht verfügbar, nun kann kein Schlüssel geladen werden, zum vergleichen. Bei mir geht es.
gpg: Schlüssel 93298290: "Tor Browser Developers (signing key) <torbrowser@torproject.org>" nicht geändert
gpg: Anzahl insgesamt bearbeiteter Schlüssel: 1
gpg: unverändert: 1
Hier nochmal eine Anleitung:https://www.torproject.org/docs/verifying-signatures.html.en
|
Inkontinentes-Hirn
(Themenstarter)
Anmeldungsdatum: 25. Dezember 2016
Beiträge: 116
|
Hä? (o_0) Diese Anleitung habe ich doch befolgt und zudem auch selbst gepostet!
Hast du meinen Post überhaupt gelesen?...
|
adenel
Anmeldungsdatum: 13. Mai 2014
Beiträge: Zähle...
Wohnort: Münsterland
|
Dein Posting habe ich gelesen aber den Link überlesen. 😳 Kopiere mal: 0x4E2C6E8793298290 Dann >Einstellungen > Passwörter und Verschlüsselung > Menü Entfernt > Entfernte Schlüssel suchen > den Schlüssel einfügen dann Suche.
|
Inkontinentes-Hirn
(Themenstarter)
Anmeldungsdatum: 25. Dezember 2016
Beiträge: 116
|
Ah ok 😉 Öhm...auf welche Einstellungen wo beziehst du dich denn da jetzt?
Falls du damit ein Startmenü einer Desktopumgebung meinst, muss ich dir sagen, dass ich keine habe.
Ich nutze ausschließlich openbox.
|
adenel
Anmeldungsdatum: 13. Mai 2014
Beiträge: 11
Wohnort: Münsterland
|
Ich habe auch Lubuntu 16.04.01 mit Openbox. Unten links auf die Schwalbe(Menü)klicken,
Einstellungen > Passwörter und Verschlüsselung > Menü Entfernt > Entfernte Schlüssel suchen > den
Schlüssel einfügen dann Suche.
|
Inkontinentes-Hirn
(Themenstarter)
Anmeldungsdatum: 25. Dezember 2016
Beiträge: 116
|
adenel schrieb: Ich habe auch Lubuntu 16.04.01 mit Openbox. Unten links auf die Schwalbe(Menü)klicken,
Einstellungen > Passwörter und Verschlüsselung > Menü Entfernt > Entfernte Schlüssel suchen > den
Schlüssel einfügen dann Suche.
Okay ich konnte das lxpanel noch temporär aktivieren (mal gucken ob ich das entfernen kann), ansonsten nutze ich tint2 und brauche das lxpanel auch nicht.
Es gibt bei mir im LXDE-Menü keinen Eintrag
Passwörter und Verschlüsselungen
weder unter Einstellungen
noch sonstwo....
Wie kann ich via Terminalemulator vorgehen?
|
adenel
Anmeldungsdatum: 13. Mai 2014
Beiträge: 11
Wohnort: Münsterland
|
Hallo,
Wie kann ich via Terminalemulator vorgehen?
So wie Du das hier beschrieben hast. gpg --keyserver pool.sks-keyservers.net --recv-keys 0x4E2C6E8793298290 Kannst Du denn via Bash ubuntuuser.de anpingen? Wenn ja und keine Firewall? Oder im Router Domain-Sperren? Dann muss das Herunterladen vom Key in der Bash eigentlich funktionieren. Am besten alles mit Copy und Paste dann schleicht sich auch kein Tippteufel ein. Alternative: Du kannst den Schlüssel auch hier herunterladen https://pgp.mit.edu/pks/lookup?op=get&search=0x4E2C6E8793298290 Gruß
|
Inkontinentes-Hirn
(Themenstarter)
Anmeldungsdatum: 25. Dezember 2016
Beiträge: 116
|
adenel schrieb: Hallo,
Wie kann ich via Terminalemulator vorgehen?
So wie Du das hier beschrieben hast. gpg --keyserver pool.sks-keyservers.net --recv-keys 0x4E2C6E8793298290 Kannst Du denn via Bash ubuntuuser.de anpingen?
Meinst du das:
BENUTZER@COMPUTERNAME:~$ ping ubuntuusers.de
PING ubuntuusers.de (213.95.41.4) 56(84) bytes of data.
64 bytes from ha.ubuntu-eu.org (213.95.41.4): icmp_seq=1 ttl=55 time=62.5 ms
64 bytes from ha.ubuntu-eu.org (213.95.41.4): icmp_seq=2 ttl=55 time=62.0 ms
64 bytes from ha.ubuntu-eu.org (213.95.41.4): icmp_seq=3 ttl=55 time=61.9 ms
64 bytes from ha.ubuntu-eu.org (213.95.41.4): icmp_seq=4 ttl=55 time=61.6 ms
^C
--- ubuntuusers.de ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3003ms
rtt min/avg/max/mdev = 61.609/62.026/62.547/0.336 ms ?
Wenn ja und keine Firewall?
Willst du wissen ob ich eine Firewall habe?
Keine Ahnung.
Wie finde ich das heraus?
Oder im Router Domain-Sperren?
Domainsperren im Router?
Oder was meinst du?
Also bisher ging es ja auch immer, erst seit anfang des Monats ca. nicht mehr...
Hab' heute übrigens noch das aktuelle tails.iso via gpg verifiziert: kein Problem!
Aber Tor: Fehlanzeige wie bisher... Dann muss das Herunterladen vom Key in der Bash eigentlich funktionieren. Am besten alles mit Copy und Paste dann schleicht sich auch kein Tippteufel ein.
Hab' ich ja längst getan und nach zehn Millionen mal eintippen vertippt man sich auch nicht, zumal ich jeden Befehl noch mal durchschaue bevor ich ihn absende.
BENUTZER@COMPUTERNAME:~$ gpg --keyserver pool.sks-keyservers.net --recv-keys 0x4E2C6E8793298290
gpg: Empfangen vom Schlüsselserver fehlgeschlagen: Server zeigt einen unbestimmten Fehler an
Alternative: Du kannst den Schlüssel auch hier herunterladen https://pgp.mit.edu/pks/lookup?op=get&search=0x4E2C6E8793298290
Den Schlüssel des Torprojektes von einer Drittseite herunter laden? (o_0)
Ähm...gefährlich?!
|
adenel
Anmeldungsdatum: 13. Mai 2014
Beiträge: 11
Wohnort: Münsterland
|
Hallo, habe das noch gefunden, (geht ganz einfach, Fehlermeldung in die Suchmaschine sein Vertrauens eingeben)leider ist mein Englisch nicht perfekt aber es scheint das Problem zu sein. Ist zwar Archlinux aber es geht ja um gpg. https://bbs.archlinux.org/viewtopic.php?id=220996
Den Schlüssel des Torprojektes von einer Drittseite herunter laden? (o_0) Ähm...gefährlich?!
Ist ein offizieller Schlüsselserver.
Willst du wissen ob ich eine Firewall habe? Keine Ahnung. Wie finde ich das heraus?
Wenn Du keine Firewall aktiviert bzw. installiert hast, dann hast Du keine.
|
Inkontinentes-Hirn
(Themenstarter)
Anmeldungsdatum: 25. Dezember 2016
Beiträge: 116
|
Hallo. adenel schrieb: Hallo, habe das noch gefunden, (geht ganz einfach, Fehlermeldung in die Suchmaschine sein Vertrauens eingeben) [...]
Ja schon klar, das habe ich ja auch bereits getan bevor ich hier angefragt habe (siehe erster Hyperlink in meinem ersten Post)... leider ist mein Englisch nicht perfekt [..]
Ich mag es auch nicht, dass das meiste immer in Englisch ist, vor allem: der Typ scheint des Deutschen mächtig (siehe seine deutschen Terminalemulatorausgabe).
Deshalb suche ich dieses deutschsprachige Forum hier auf.
Ist ja oft schon frustrierend genug wenn man die Sprache der Maschine nicht versteht, aber dann auch noch Wörtebücher wälzen um eine meist schlechte oder gar sinnfreie Übersetzung einer Hilfestellung bzgl. eines Problems zu erhalten, weil man vorher einfach NICHTS tun kann ist einfach nur ätzend... [...] aber es scheint das Problem zu sein. Ist zwar Archlinux aber es geht ja um gpg.
Okay gpg ist also das ausschließliche Problem, ja? Ist nun also die Lösung des Problems:
downgrading to gnupg-2.1.16-2
?
Birgt ein Downgrade nicht Sicherheitsrisiken? Und:
Dieses Problem müsste doch jeder haben, der die aktuelle gnupg-Version drauf hat und Tor nutzt, wieso lese ich hier keinen? Alles "english-native" IT-Genies?
Den Schlüssel des Torprojektes von einer Drittseite herunter laden? (o_0) Ähm...gefährlich?!
Ist ein offizieller Schlüsselserver.
Ah okay und wo finde ich diese Information?
Habe u.a. hier gesucht aber nichts entdeckt:
https://www.torproject.org/docs/verifying-signatures.html.en
|
adenel
Anmeldungsdatum: 13. Mai 2014
Beiträge: 11
Wohnort: Münsterland
|
Hallo,
Ist nun also die Lösung des Problems: downgrading to gnupg-2.1.16-2 ? Birgt ein Downgrade nicht Sicherheitsrisiken?
Möglich man müsste schauen was die Änderung in dem Versionsprung war aber zum testen würde ich das machen, um den Fehler "einzukreisen"
Dieses Problem müsste doch jeder haben, der die aktuelle gnupg-Version drauf hat und Tor nutzt, wieso lese ich hier keinen? Alles "english-native" IT-Genies?
Nicht unbedingt, es müsste theoretisch der 100% gleiche Computer sein und praktisch kommt dann sowieso was anderes raus. Hast Du probiert frisches Linux vom USB-Stick laufen zu lassen? (Livemodus) Dann kannst Du testen ohne was zu "schrotten"
Ah okay und wo finde ich diese Information? Habe u.a. hier gesucht aber nichts entdeckt
Z.B. hier:https://www.heise.de/security/dienste/Keyserver-474468.html Habe versucht den Fehler zu reproduzieren, ohne Erfolg. Gruß
|
sinusQ
Anmeldungsdatum: 27. Oktober 2010
Beiträge: 193
Wohnort: Neudau
|
Hi! Ich habe den Schlüssel von drei verschiedenen Schlüsselservern holen können: pi@raspi $ gpg --recv-keys 0x4E2C6E8793298290
gpg: fordere Schlüssel 93298290 von hkp-Server keys.gnupg.net an
gpg: Schlüssel 93298290: Öffentlicher Schlüssel "Tor Browser Developers (signing key) <torbrowser@torproject.org>" importiert
gpg: 3 marginal-needed, 1 complete-needed, PGP Vertrauensmodell
gpg: Tiefe: 0 gültig: 1 unterschrieben: 0 Vertrauen: 0-, 0q, 0n, 0m, 0f, 1u
gpg: nächste "Trust-DB"-Pflichtüberprüfung am 2018-01-02
gpg: Anzahl insgesamt bearbeiteter Schlüssel: 1
gpg: importiert: 1 (RSA: 1)
pi@raspi $ gpg --delete-keys 0x4E2C6E8793298290
pub 4096R/93298290 2014-12-15 Tor Browser Developers (signing key) <torbrowser@torproject.org>
Diesen Schlüssel aus dem Schlüsselbund löschen? (j/N) j
pi@raspi $ gpg --keyserver pool.sks-keyservers.net --recv-keys 0x4E2C6E8793298290
gpg: fordere Schlüssel 93298290 von hkp-Server pool.sks-keyservers.net an
gpg: Schlüssel 93298290: Öffentlicher Schlüssel "Tor Browser Developers (signing key) <torbrowser@torproject.org>" importiert
gpg: 3 marginal-needed, 1 complete-needed, PGP Vertrauensmodell
gpg: Tiefe: 0 gültig: 1 unterschrieben: 0 Vertrauen: 0-, 0q, 0n, 0m, 0f, 1u
gpg: nächste "Trust-DB"-Pflichtüberprüfung am 2018-01-02
gpg: Anzahl insgesamt bearbeiteter Schlüssel: 1
gpg: importiert: 1 (RSA: 1)
pi@raspi $ gpg --delete-keys 0x4E2C6E8793298290
Diesen Schlüssel aus dem Schlüsselbund löschen? (j/N) j
pi@raspi $ gpg --keyserver pgp.mit.edu --recv-keys 0x4E2C6E8793298290
gpg: fordere Schlüssel 93298290 von hkp-Server pgp.mit.edu an
gpg: Schlüssel 93298290: Öffentlicher Schlüssel "Tor Browser Developers (signing key) <torbrowser@torproject.org>" importiert
gpg: 3 marginal-needed, 1 complete-needed, PGP Vertrauensmodell
gpg: Tiefe: 0 gültig: 1 unterschrieben: 0 Vertrauen: 0-, 0q, 0n, 0m, 0f, 1u
gpg: nächste "Trust-DB"-Pflichtüberprüfung am 2018-01-02
gpg: Anzahl insgesamt bearbeiteter Schlüssel: 1
gpg: importiert: 1 (RSA: 1)
pi@raspi $ gpg --delete-keys 0x4E2C6E8793298290
Diesen Schlüssel aus dem Schlüsselbund löschen? (j/N) j Möglicherweise ist TCP-Port 11371 ausgehend gesperrt, das kannst du mit telnet pgp.mit.edu 11371 überprüfen. Sollte das nicht funktionieren, entweder Port 11371 freischalten (lassen) oder über 80 versuchen:
pi@raspi $ gpg --keyserver hkp://pool.sks-keyservers.net:80 --recv-keys 0x4E2C6E8793298290
gpg: fordere Schlüssel 93298290 von hkp-Server pool.sks-keyservers.net an
gpg: Schlüssel 93298290: Öffentlicher Schlüssel "Tor Browser Developers (signing key) <torbrowser@torproject.org>" importiert
gpg: 3 marginal-needed, 1 complete-needed, PGP Vertrauensmodell
gpg: Tiefe: 0 gültig: 1 unterschrieben: 0 Vertrauen: 0-, 0q, 0n, 0m, 0f, 1u
gpg: nächste "Trust-DB"-Pflichtüberprüfung am 2018-01-02
gpg: Anzahl insgesamt bearbeiteter Schlüssel: 1
gpg: importiert: 1 (RSA: 1)
pi@raspi $ gpg --delete-keys 0x4E2C6E8793298290
Diesen Schlüssel aus dem Schlüsselbund löschen? (j/N) j lg, Michael
|
Inkontinentes-Hirn
(Themenstarter)
Anmeldungsdatum: 25. Dezember 2016
Beiträge: 116
|
adenel schrieb: Hallo,
Ist nun also die Lösung des Problems: downgrading to gnupg-2.1.16-2 ? Birgt ein Downgrade nicht Sicherheitsrisiken?
Möglich man müsste schauen was die Änderung in dem Versionsprung war aber zum testen würde ich das machen, um den Fehler "einzukreisen"
Ich will lieber nicht downgraden, sorry... ☹
Denn auch WENN das dann funktionieren SOLLTE, würde das ja bedeuten, das ich eine veraltete gnupg-Version benutzen müsste...
sinusQ schrieb: Hi! Ich habe den Schlüssel von drei verschiedenen Schlüsselservern holen können:
Also ich habe nun folgendes:
~$ gpg --keyserver pgp.mit.edu --recv-keys 0x4E2C6E8793298290
gpg: Empfangen vom Schlüsselserver fehlgeschlagen: Kein Schlüsselserver verfügbar
~$ gpg --keyserver pool.sks-keyservers.net --recv-keys 0x4E2C6E8793298290
gpg: Empfangen vom Schlüsselserver fehlgeschlagen: Kein Schlüsselserver verfügbar
~$ gpg --recv-keys 0x4E2C6E8793298290
gpg: Schlüssel 4E2C6E8793298290: Öffentlicher Schlüssel "Tor Browser Developers (signing key) <torbrowser@torproject.org>" importiert
gpg: keine ultimativ vertrauenswürdigen Schlüssel gefunden
gpg: Anzahl insgesamt bearbeiteter Schlüssel: 1
gpg: importiert: 1 Beim letzten funktionierte es. Die händische Verifizierung des manuell heruntegeladenen Archivs funktioniert nun auch.
gpg --verify tor-browser-linux64-6.5_en-US.tar.xz.asc tor-browser-linux64-6.5_en-US.tar.xz
gpg: Signatur vom Di 24 Jan 2017 15:42:49 CET
gpg: mittels RSA-Schlüssel D1483FA6C3C07136
gpg: Korrekte Signatur von "Tor Browser Developers (signing key) <torbrowser@torproject.org>" [unbekannt]
gpg: WARNUNG: Dieser Schlüssel trägt keine vertrauenswürdige Signatur!
gpg: Es gibt keinen Hinweis, daß die Signatur wirklich dem vorgeblichen Besitzer gehört.
Haupt-Fingerabdruck = EF6E 286D DA85 EA2A 4BA7 DE68 4E2C 6E87 9329 8290
Unter-Fingerabdruck = A430 0A6B C93C 0877 A445 1486 D148 3FA6 C3C0 7136 Aber beim torbrowser-launcher erhalte ich nach wie vor die selbe Warnmeldung bei scheiternder Verifizierung... Versteh' ich nicht... Den torbrowser-launcher brauche ich auch nur wegen onionshare, da das selber kompillieren nicht geklappt hat.
Lag' glaube ich am Skript der Entwickler, vielleicht wurde das ja mittlerweile gefixt; ich werde das noch mal probieren.
Möglicherweise ist TCP-Port 11371 ausgehend gesperrt, das kannst du mit telnet pgp.mit.edu 11371 überprüfen.
Keine Ahnung was das bedeutet, aber hier: ~$ telnet pgp.mit.edu 11371
Trying 18.9.60.141...
Connected to cryptonomicon.mit.edu.
Escape character is '^]'.
Connection closed by foreign host. Zunächst einmal ein großes Danke an euch beide für die Hilfe! ☺
|
sinusQ
Anmeldungsdatum: 27. Oktober 2010
Beiträge: 193
Wohnort: Neudau
|
Inkontinentes-Hirn schrieb: Keine Ahnung was das bedeutet, aber hier: ~$ telnet pgp.mit.edu 11371
Trying 18.9.60.141...
Connected to cryptonomicon.mit.edu.
Escape character is '^]'.
Connection closed by foreign host.
Das sagt, dass die Namensauflösung funktioniert (pgp.mit.edu - 18.9.60.141) und dass TCP-Port 11371 ausgehend erlaubt ist (Connected to cryptonomicon.mit.edu). Würde mich interessieren, warum das Empfangen des Keys nicht funktioniert. 🙄
|