|
Anmeldungsdatum: Beiträge: 31 |
Hallo, habe eine (Verständnis-)Frage an Euch bezüglich ISO-Download-Verifizieriung (Ubuntu-Download und Ubuntu-Derivate) In meinem Fall hätte ich Interesse Kubuntu zu installieren. Reicht hier eine SHA-256-Prüfsumme von einer HTTPS-Seite wie z.B. https://kubuntu.org oder muss ich mir noch GPG-Signaturen besorgen? Gruß Charles |
Anmeldungsdatum: Beiträge: 271 Wohnort: im Exil ;( |
Das kannst du halten, wie du möchtest. Die Prüfsumme ist nur für die Unversehrtheit des Downloads an sich. Erst mit der Signatur gehst du richtig sicher. Ist aber schon alles niedergeschrieben (man muss es nur finden): Downloads/Noble Numbat (Abschnitt „Pruefsumme-kontrollieren“) |
Anmeldungsdatum: Beiträge: 4659 |
Für das Kubuntu Oracular Oriole Release könnte man auch den KDE ISO Imagewriter benutzen, der macht das überprüfen automatisch, wenn dem KDE ISO Imagewriter die korrekten Checksummen und Signaturdateien vorglegt werden. Dazu muss auch das Namensschema stimmen, was beim Release der Fall ist. Mit den Daily Builds der Kubuntu ISO Dateien funktioniert das hingegen nicht, wegen unpassendem Namensschema. |
|
(Themenstarter)
Anmeldungsdatum: Beiträge: 31 |
Beweist eine SHA-256-Prüfsumme auch nicht die Integrität? Siehe https://help.ubuntu.com/community/HowToSHA256SUM "SHA-256 hashes used properly can confirm both file integrity and authenticity" "The SHA-256 hash must be signed or come from a secure source (such as a HTTPS page or a GPG-signed file) of an organization you trust. " |
|
Anmeldungsdatum: Beiträge: 271 Wohnort: im Exil ;( |
Da steht „… used properly can confirm …“ – … können bei richtiger Anwendung bestätigen …. Sofern du sicher sein kannst, dass die Prüfsumme nicht manipuliert wurde, reicht deren Überprüfung. Indem du bspw. das Zertifikat der Webseite von früher kennst und siehst, dass es sich nicht verändert hat. Alternativ kannst du – wie ich bereits schrieb – die Signatur prüfen, wie es im weiteren Text heißt:
Übrigens: Da hast du eine schön alte Seite (2015) ausgegraben. Für das, was du machen möchtest. wird verlinkt. Und dort erfahren wird nichts anderes als hier im Wiki. (Nur dass wir es erst übersetzen müssen.) |
|
Anmeldungsdatum: Beiträge: 1331 |
Nur, wenn du weißt, woher der Hash kommt. Wer ein manipuliertes ISO zum Download bereitstellen kann, der kann auch einen dazu passenden Hash bereitstellen. Er kann aber weder das eine noch das andere mit dem Schlüssel der offiziellen Herausgabestelle signieren. Der Hash-Vergleich beweist nur (mit zwar nicht 100-prozentiger, aber ausreichender Sicherheit), dass die von dir heruntergeladene Datei bitgleich ist mit der, aus der der Hash auf der Website ermittelt wurde. Ob vor diesem Zeitpunkt etwas mit der Datei gemacht wurde, ist damit nicht ausgeschlossen. --ks |
|
(Themenstarter)
Anmeldungsdatum: Beiträge: 31 |
Ok, ich habe es jetzt verstanden. Danke Euch für die Informationen. Gruß Charles |