ubuntuusers.de

Hallo liebes Forum, ich nutze Ubuntu jetzt schon seit einigen Jahren, war aber bisher sehr froh drum, dass es neben etwas copypaste nicht viel gebraucht hat, um das System zu nutzen. Nun wollte ich mir die Version 20.04 rauf tun, habe mir die neue Version von http://releases.ubuntu.com/20.04/ runtergeladen. SHA256SUMS und SHA256SUMS.gpg hinterher. Terminal geöffnet, in den Downloadordner gewechselt und das übliche Prozedere gestartet.

gpg --keyserver hkp://keyserver.ubuntu.com --recv-keys "8439 38DF 228D 22F7 B374 2BC0 D94A A3F0 EFE2 1092" "C598 6B4F 1257 FFA8 6632 CBA7 4618 1433 FBB7 5451" 
gpg: key 46181433FBB75451: 2 duplicate signatures removed
gpg: key 46181433FBB75451: 108 Beglaubigungen wegen fehlender Schlüssel nicht geprüft
gpg: Schlüssel 46181433FBB75451: "Ubuntu CD Image Automatic Signing Key <cdimage@ubuntu.com>" nicht geändert
gpg: key D94AA3F0EFE21092: 2 duplicate signatures removed
gpg: key D94AA3F0EFE21092: 62 Beglaubigungen wegen fehlender Schlüssel nicht geprüft
gpg: Schlüssel D94AA3F0EFE21092: "Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com>" nicht geändert
gpg: Anzahl insgesamt bearbeiteter Schlüssel: 2

Da habe ich mich schon gefragt, was es mit den nicht geprüften Beglaubigungen auf sich hat. Da ich aber nicht wusste, was das konkret bedeutet, hab ich einfach mal weiter gemacht.

gpg --list-keys --with-fingerprint 0xFBB75451 0xEFE21092 
pub   dsa1024 2004-12-30 [SC]
      C598 6B4F 1257 FFA8 6632  CBA7 4618 1433 FBB7 5451
uid        [ unbekannt] Ubuntu CD Image Automatic Signing Key <cdimage@ubuntu.com>

pub   rsa4096 2012-05-11 [SC]
      8439 38DF 228D 22F7 B374  2BC0 D94A A3F0 EFE2 1092
uid        [ unbekannt] Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com>

Das entsprach nun glaub auch nicht so ganz der Ausgabe, wie sie sein sollte...

gpg --verify SHA256SUMS.gpg SHA256SUMS 
gpg: Signatur vom Do 23 Apr 2020 15:46:21 CEST
gpg:                mittels RSA-Schlüssel D94AA3F0EFE21092
gpg: Korrekte Signatur von "Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com>" [unbekannt]
gpg: WARNUNG: Dieser Schlüssel trägt keine vertrauenswürdige Signatur!
gpg:          Es gibt keinen Hinweis, daß die Signatur wirklich dem vorgeblichen Besitzer gehört.
Haupt-Fingerabdruck  = 8439 38DF 228D 22F7 B374  2BC0 D94A A3F0 EFE2 1092

Spätestens mit dem letzten Schritt war mir dann klar, dass die Überprüfung fehlgeschlagen ist. Eine Wiederholung nach einem erneuten Runterladen der ISO brachte kein neues Ergebnis, und die Anleitung auf Ubuntuusers hat mir irgendwie auch nicht weiter geholfen.

Ich weiß ... DAU und so ... und faul auch noch ... aber vielleicht kann mir da mal kurz jemand drüber schauen und sagen, was das Problem war? Vermutlich dürfte das für den geübten Blick gleich klar sein. Schonmal schönen Dank im Voraus ☺

Beste Grüße matse

Willkommen im Forum. ☺

matse schrieb:

…

gpg --verify SHA256SUMS.gpg SHA256SUMS 
gpg: Signatur vom Do 23 Apr 2020 15:46:21 CEST
gpg:                mittels RSA-Schlüssel D94AA3F0EFE21092
gpg: Korrekte Signatur von "Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com>" [unbekannt]
gpg: WARNUNG: Dieser Schlüssel trägt keine vertrauenswürdige Signatur!
gpg:          Es gibt keinen Hinweis, daß die Signatur wirklich dem vorgeblichen Besitzer gehört.
Haupt-Fingerabdruck  = 8439 38DF 228D 22F7 B374  2BC0 D94A A3F0 EFE2 1092

Spätestens mit dem letzten Schritt war mir dann klar, dass die Überprüfung fehlgeschlagen ist.

Da hast du einen falschen Schluss gezogen. Die Signatur wurde erfolgreich überprüft (gelbe Markierung).

Der anschließende Warnhinweis ist allerdings verwirrend. Erst wenn du zuvor bspw. mit der Kommandozeile von gpg oder mit einer grafischen Schlüsselverwaltung den Schlüssel als sehr vertrauenswürdig einstufst, verschwindet die Warnung.

Hier im Wiki (Ubuntu-Downloads überprüfen) steht übrigens die gleiche Warnung. Von daher nichts falsch gemacht.

PS: Falls du dich näher damit befassen möchtest: GnuPG/Web of Trust (Abschnitt „Vertrauensstufen“)

Huch, das kommt jetzt überraschend. Aber Tatsache, dass das auch im Wiki so drin steht. Gerade die Warnung schien mir so eindeutig, dass ich das im Einzelnen (vielleicht auch der Uhrzeit geschuldet) dann gar nicht weiter in Frage gestellt habe ...

Nach einem kurzen Blick in den WoT-Link hab ich glaub verstanden, was mit der Warnung gemeint ist. Datei und Schlüssel passen zueinander, aber der Schlüssel selbst wurde einfach noch von niemandem verifiziert, den ich als (marginal oder mehr) vertrauenswürdig einstufe. Das liegt aber daran, dass ich aktuell wohl niemandem vertraue... Macht es denn Sinn ein paar Trusted Users hinzuzufügen? Mir stellt sich nämlich die Frage, ob ein Schlüssel, der "neben" der enstprechenden Datei auf dem selben Server liegt und nicht weiter verifiziert wird, überhaupt viel Sicherheit bietet. Angenommen ein Server würde kompromittiert, könnten ja sowohl Datei wie auch Schlüssel verändert werden.

Nun gut, in dem Fall werde ich damit einfach mal weiter arbeiten. Aber für die Zukunft würde ich das gern besser einordnen können ☺

Vielen Dank auf jeden Fall für die schnelle Hilfe. Vielleicht findet sich ja noch eine Antwort auf die tiefer gehende Frage ☺

Beste Grüße, ihr seid klasse ☺ matse

matse schrieb:

… Mir stellt sich nämlich die Frage, ob ein Schlüssel, der "neben" der enstprechenden Datei auf dem selben Server liegt und nicht weiter verifiziert wird, überhaupt viel Sicherheit bietet. Angenommen ein Server würde kompromittiert, könnten ja sowohl Datei wie auch Schlüssel verändert werden.

Die Frage habe ich mir auch schon gestellt. Für mich persönlich und auf den Download der Ubuntu-Iso bezogen reicht es mir, wenn ich hier im Wiki

• im Artikel die richtige Schlüsselnummer finde

• im Verlauf des Artikels sehe, dass die Schlüsselnummer nicht außer der Reihe geändert wurde.