Hallo,
der Artikel müsste IMO aktuallisiert werden. Mit Focal habe ich noch nicht alles im Detail getestet, aber bezüglich Jammy sind IMO ein paar Änderungen notwendig und es ergeben sich einige Fragen, die ich gerne vorab klären bzw. absprechen würde, dann würde ich die Überarbeitung grundsätzlich übernehemen:
Außerdem sind alle ISO- und Prüfsummen-Downloads unverschlüsselt, und somit anfällig für Man-in-the-Middle-Angriffe.
Also die aktuellen Direktlinks für Focal und Jammy lauten:
Da ist doch dann der Download nicht unverschlüsselt, soweit ich das beobachten kann. Einwände?
Hinweis:
...
Bei neueren GnuPG-Versionen kann der Parameter "--keyserver hkp://keyserver.ubuntu.com" allerdings auch weggelassen werden. Es wird dann der Standard-Keyserver über das HTTPS-Protokoll verwendet, welches auf den meisten Firewalls freigeschaltet sein dürfte. Nähere Informationen darüber stehen im Wiki-Artikel Web of Trust inkl. möglicher Problembehebungen.
Das stimmt so für Jammy nicht bzw. nur teilweise:
gpg -v --recv-keys "8439 38DF 228D 22F7 B374 2BC0 D94A A3F0 EFE2 1092" "C598 6B4F 1257 FFA8 6632 CBA7 4618 1433 FBB7 5451"
gpg: data source: https://keys.openpgp.org:443
gpg: ASCII-Hülle: Comment: C598 6B4F 1257 FFA8 6632 CBA7 4618 1433 FBB7 5451
gpg: ASCII-Hülle: Comment: 8439 38DF 228D 22F7 B374 2BC0 D94A A3F0 EFE2 1092
gpg: pub dsa1024/46181433FBB75451 2004-12-30
gpg: Schlüssel 46181433FBB75451: "Ubuntu CD Image Automatic Signing Key <cdimage@ubuntu.com>" nicht geändert
gpg: pub rsa4096/D94AA3F0EFE21092 2012-05-11
gpg: Schlüssel D94AA3F0EFE21092: "Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com>" nicht geändert
gpg: Anzahl insgesamt bearbeiteter Schlüssel: 2
gpg: unverändert: 2
Wie man sieht wird zwar https://keys.openpgp.org:443
- und damit eine Verbindung über https
verwendet - nur sind die Ubuntu-CD-Schlüssel auf keys.openpgp.org
gar nicht hinterlegt.
Man sollte es IMO daher so machen:
gpg -v --keyserver hkps://keyserver.ubuntu.com --recv-keys "8439 38DF 228D 22F7 B374 2BC0 D94A A3F0 EFE2 1092" "C598 6B4F 1257 FFA8 6632 CBA7 4618 1433 FBB7 5451"
gpg: data source: https://162.213.33.9:443
gpg: ASCII-Hülle: Comment: Hostname:
gpg: ASCII-Hülle: Version: Hockeypuck 2.1.0-189-g15ebf24
gpg: ASCII-Hülle: Comment: Hostname:
gpg: ASCII-Hülle: Version: Hockeypuck 2.1.0-189-g15ebf24
gpg: key 46181433FBB75451: number of dropped non-self-signatures: 120
gpg: pub dsa1024/46181433FBB75451 2004-12-30 Ubuntu CD Image Automatic Signing Key <cdimage@ubuntu.com>
gpg: verwende Vertrauensmodell pgp
gpg: Schlüssel 46181433FBB75451: Öffentlicher Schlüssel "Ubuntu CD Image Automatic Signing Key <cdimage@ubuntu.com>" importiert
gpg: key D94AA3F0EFE21092: number of dropped non-self-signatures: 88
gpg: pub rsa4096/D94AA3F0EFE21092 2012-05-11 Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com>
gpg: Schlüssel D94AA3F0EFE21092: Öffentlicher Schlüssel "Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com>" importiert
gpg: Anzahl insgesamt bearbeiteter Schlüssel: 2
gpg: importiert: 2
Dann würde ich noch für das Ermitteln der "Ubuntu CD Image Automatic Signing Key <cdimage@ubuntu.com>"-Schlüssel auf dem Ubuntu-Keyserver folgendes Vorgehen von Anfang an vorschlagen:
gpg --keyserver hkps://keyserver.ubuntu.com --search-keys 'Ubuntu CD Image Automatic Signing Key <cdimage@ubuntu.com>'
gpg: data source: https://162.213.33.9:443
(1) Ubuntu CD Image Automatic Signing Key <cdimage@ubuntu.com>
3072 bit RSA key A6AD0893499AA841, erzeugt: 2021-04-25
(2) Ubuntu CD Image Automatic Signing Key <cdimage@ubuntu.com>
1024 bit DSA key 46181433FBB75451, erzeugt: 2004-12-30
(3) Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com>
4096 bit RSA key D94AA3F0EFE21092, erzeugt: 2012-05-11
Keys 1-3 of 3 for "Ubuntu CD Image Automatic Signing Key <cdimage@ubuntu.com>". Eingabe von Nummern, Nächste (N) oder Abbrechen (Q) > Q
gpg: error searching keyserver: Verarbeitung wurde abgebrochen
gpg: Suche auf dem Schlüsselserver fehlgeschlagen: Verarbeitung wurde abgebrochen
Sonst halt alles auf https
anpassen.
Soll man empfehlen, immer alle verfügbaren Schlüssel herunterzuladen? Aktuell wird für alle Ubuntu-Versionen zumindest bis Jammy der 2012er Key verwendet.
Einwände sonst noch Vorschläge?
Danke!
LG,
Newubunti