cosinus
Anmeldungsdatum: 11. Mai 2010
Beiträge: 1374
Wohnort: HB
|
unbuntuS12 schrieb: Es ist vollkommen egal, wo die Signatur steht. Die kann in einer extra Datei stehen oder in derselben Datei.
Dennoch sind die ISO-Dateien auf der Downloaderserver "nackt", nur wer will kann auch die Hash- und gpg-Dateien runterladen und dann prüfen bis der Arzt kommt. 😛
Für mich ist das etwas anderes als wenn die ISO-Files selbst verschlüsselt und signiert wären.
|
unbuntuS12
Anmeldungsdatum: 2. Juni 2010
Beiträge: 1816
|
cosinus schrieb: Dennoch sind die ISO-Dateien auf der Downloaderserver "nackt", nur wer will kann auch die Hash- und gpg-Dateien runterladen und dann prüfen bis der Arzt kommt. 😛
"Nur, wer will"... also... jeder. Genauso, wie es dir freisteht, zu überprüfen, ob die Signatur in meinem Beispiel tatsächlich eine echte ist oder nicht.
Für mich ist das etwas anderes als wenn die ISO-Files selbst verschlüsselt und signiert wären.
Die sind selbst signiert. Wir reden hier nur über die Darreichungsform der Signatur. Und: Inwiefern ist das was anderes? Wenn du ehrlich bist, bist du von vornherein davon ausgegangen, dass die ISOs überhaupt nicht signiert sind. Du schriebst eingangs:
Was willst du mit den gpg Dateien? Die ISO-Dateien selbst sind weder signiert noch verschlüsselt.
...was darauf hindeutet, dass du nicht verstanden hast, wie das mit den Signaturen läuft. Und das hat sich im Laufe der Diskussion für mich bestätigt. Ich kann also nur wiederholen: Er wollte die Signatur holen, um sie zu prüfen, weil die ISOs nämlich signinert sind.
|
cosinus
Anmeldungsdatum: 11. Mai 2010
Beiträge: 1374
Wohnort: HB
|
Du kapierst einfach nicht was ich meine. Und daraus leitest du ab, dass ich keine Ahnung hätte.Diskutierst du hier immer so? 🙄 Was bitte kapierst du an diesem Unterschied nicht: image.iso ←→ image.iso.gpg image.iso –> "nacktes" ISO - diese Datei selbst ist nicht signiert. Signaturinfos sieht man in den seaparaten gpg files!
|
Dogeater
Anmeldungsdatum: 16. Juni 2015
Beiträge: 3381
|
cosinus schrieb: Dogeater schrieb: unbuntuS12 schrieb: Dogeater schrieb: Fürs nächste Mal dann besser einen Torrent benutzen, der macht automatische Integritätschecks.
Das wird ja immer bessser hier.
Was meinst du damit?
Ich hab den Eindruck, dass er durch die Blume sagen möchte: "Was ist das denn für ein Mist von Tipp!?" 😛
Und wo bitte ist jetzt der Fehler? Da sind doch die direkten Links, auf der offiziellen Seite. Ich sehe euer Problem nich. https://www.ubuntu.com/download/alternative-downloads
|
unbuntuS12
Anmeldungsdatum: 2. Juni 2010
Beiträge: 1816
|
Natürlich kapiere ich, was du meinst. Ich versuche nur seit 34 Beiträge zu argumentieren, dass das vollkommen belanglos ist. "Für mich ist das was anderes" - schön und gut, aber wenn es dazu führt, dass du Leute, die ausdrücklich eine Signatur prüfen wollen, fragst, was sie mit der GPG-Datei wollen (in der die Signaturen stehen!), weil das ISO ja "selbst nicht signiert" sei, dann legt das sehr nahe, dass du nicht verstanden hast, wie's läuft.
|
cosinus
Anmeldungsdatum: 11. Mai 2010
Beiträge: 1374
Wohnort: HB
|
Dogeater schrieb: Und wo bitte ist jetzt der Fehler? Da sind doch die direkten Links, auf der offiziellen Seite. Ich sehe euer Problem nich. https://www.ubuntu.com/download/alternative-downloads
Es geht hierrum –> http://cdimages.ubuntu.com/releases/17.04/release/ Das ist http und kein https
|
cosinus
Anmeldungsdatum: 11. Mai 2010
Beiträge: 1374
Wohnort: HB
|
unbuntuS12 schrieb: Natürlich kapiere ich, was du meinst. Ich versuche nur seit 34 Beiträge zu argumentieren, dass das vollkommen belanglos ist. "Für mich ist das was anderes" - schön und gut, aber wenn es dazu führt, dass du Leute, die ausdrücklich eine Signatur prüfen wollen, fragst, was sie mit der GPG-Datei wollen (in der die Signaturen stehen!), weil das ISO ja "selbst nicht signiert" sei, dann legt das sehr nahe, dass du nicht verstanden hast, wie's läuft.
Nochmal, du hast nicht geschnallt was ich meine ubuntu.iso –> "nackte" ISO-Datei ubuntu.iso.gpg –> verschlüsselte/signierte ISO-Datei, die Datei enthält die komplette ISO Letzteres ist was völlig anderes als das was auf dem Server cdimages.ubuntu.com liegt: 1. sha256sums
2. sha256sums.gpg
3. ubuntu.iso Wenn du das immer noch nicht schnallst versuch ich heute Abend mal ne noch einfachere Erklärung für dich zu formulieren.
|
unbuntuS12
Anmeldungsdatum: 2. Juni 2010
Beiträge: 1816
|
Nochmal, du hast nicht geschnallt was ich meine
Willst du mich veräppeln? Geh' lieber mal darauf ein, wieso du Leute, die Signaturen prüfen wollen, fragst, was sie mit den Signaturen wollen...
|
Dogeater
Anmeldungsdatum: 16. Juni 2015
Beiträge: 3381
|
cosinus schrieb: Dogeater schrieb: Und wo bitte ist jetzt der Fehler? Da sind doch die direkten Links, auf der offiziellen Seite. Ich sehe euer Problem nich. https://www.ubuntu.com/download/alternative-downloads
Es geht hierrum –> http://cdimages.ubuntu.com/releases/17.04/release/ Das ist http und kein https
Nein, darum geht es gerade nicht. 😛 Aber vielleicht beantwortet unbuntuS12 ja noch meine Frage, er hat sich ja dran gestoßen mit seinem Wissen über Torrents, die übrigens auf einzelne Pakete gecheckt werden, ungültige Pakete werden nämlich verworfen. Der Check erfolgt nicht erst beim Abschluss. Es ist also genauso sicher wie ein normaler Download.
|
unbuntuS12
Anmeldungsdatum: 2. Juni 2010
Beiträge: 1816
|
Dogeater schrieb: cosinus schrieb: Das ist http und kein https
Nein, darum geht es gerade nicht. 😛
Doch, darum geht's. Bei http ist die Quelle unsicher, ob Torrent oder nicht. Der Integritätscheck bringt dir nichts, wenn du keinen Anhaltspunkt hast, ob der zugrundeliegende Hash valide ist. Torrents werden ja über Hashes überhaupt erst gefunden. Wenn ich den Download deines Torrent-Files manipuliere, kann ich dafür sorgen, dass deine Integritätsprüfung durchläuft, obwohl das Image manipuliert ist. Wenn du das Torrent-File über eine verschlüsselte Verbindung beziehst, ist das deutlich schwieriger.
|
Dogeater
Anmeldungsdatum: 16. Juni 2015
Beiträge: 3381
|
Du gehst also generell davon aus, dass man sich die Torrents von Hinterhofseiten herunterlädt? Zu eurem Beispiel, es sieht es sogar danach aus, als seien die Torrents die sichersten Bezugsquellen zur Zeit.
|
cosinus
Anmeldungsdatum: 11. Mai 2010
Beiträge: 1374
Wohnort: HB
|
unbuntuS12 schrieb: Nochmal, du hast nicht geschnallt was ich meine
Willst du mich veräppeln? Geh' lieber mal darauf ein, wieso du Leute, die Signaturen prüfen wollen, fragst, was sie mit den Signaturen wollen...
Ich sag ja, du schnallst es nicht. 😊 Stattdessen reitest du auf eine Nachfrage von mir an den TO herum.
|
cosinus
Anmeldungsdatum: 11. Mai 2010
Beiträge: 1374
Wohnort: HB
|
Dogeater schrieb: Du gehst also generell davon aus, dass man sich die Torrents von Hinterhofseiten herunterlädt? Zu eurem Beispiel, es sieht es sogar danach aus, als seien die Torrents die sichersten Bezugsquellen zur Zeit.
Vermutlich geht er davon aus, dass man sich von irgendwo die torrents besorgt...auch wenns vom offiziellen Ubuntu Auftritt kommt, ist das unsicher, weil wie jeder weiß, kann dann der 8jährige Nachbarssohn MITM machen und dir irgendwas Kompromittiertes unterschieben oder so, kommt ja jeden Tag hunderte Male vor! 😛 Soll Ubuntu einfach https downloads anbieten und alle könnten sich hier abregen 😊
|
seahawk1986
Anmeldungsdatum: 27. Oktober 2006
Beiträge: 11179
Wohnort: München
|
Dogeater schrieb: Das ist http und kein https
Nein, darum geht es gerade nicht. 😛 Aber vielleicht beantwortet unbuntuS12 ja noch meine Frage, er hat sich ja dran gestoßen mit seinem Wissen über Torrents, die übrigens auf einzelne Pakete gecheckt werden, ungültige Pakete werden nämlich verworfen. Der Check erfolgt nicht erst beim Abschluss. Es ist also genauso sicher wie ein normaler Download.
Der Weg auf dem man an das ISO oder eine fertige UBuntu CD/DVD kommt ist prinzipiell völlig egal (FTP, BitTorrent, HTTP, Turnschuhnetzwerk, Internetversand, usw.). Wichtig ist, dass man verifizieren kann, dass die veröffentlichte Checksumme authentisch ist und dazu passt.
|
cosinus
Anmeldungsdatum: 11. Mai 2010
Beiträge: 1374
Wohnort: HB
|
seahawk1986 schrieb: Der Weg auf dem man an das ISO oder eine fertige UBuntu CD/DVD kommt ist prinzipiell völlig egal (FTP, BitTorrent, HTTP, Turnschuhnetzwerk, Internetversand, usw.). Wichtig ist, dass man verifizieren kann, dass die veröffentlichte Checksumme authentisch ist und dazu passt.
Wie wird denn sichergestellt, dass der public key i.O. ist?
|