cosinus schrieb:
Was willst du mit den gpg Dateien? Die ISO-Dateien selbst sind weder signiert noch verschlüsselt.
Himmelherrgott, das sind die Signaturen! Und wie der TE schon sagt, braucht man dafür den öffentlichen Schlüssel.
Dogeater schrieb:
Fürs nächste Mal dann besser einen Torrent benutzen, der macht automatische Integritätschecks.
Das wird ja immer bessser hier. Ja, bei Torrents wird nachher mit einer Prüfsümme überprüft, ob der Download erfolgreich war. Aber: Da jeder einen Torrent hochladen kann, empfiehlt es sich sehr, die Prüfsumme mit der auf der Ubuntu-Seite abzugleichen, damit man sicher ist, dass man auch die richtige Datei hat.
@TE: Ich gehe nochmal einen Schritt zurück. Was ist denn eigentlich der Sinn dieser Übung, das heißt, warum diese ganzen Signaturen und Hashes? Das Problem ist, dass, wenn du etwas aus dem Internet herunterlädst, du nicht wissen kannst, was du bekommst und von wem du es bekommst. Das ist insbesondere dann kritisch, wenn es um ein Betriebssystem geht. Wir wollen also wissen: Ist der Download fehlerfrei und kommt er tatsächlich von Canonical.
Wenn wir uns jetzt mal die Seite http://de.releases.ubuntu.com/17.04/ anschauen, dann sehen wir, dass dort kein "https" steht, die Verbindung ist also unverschlüsselt. Das bedeutet, jeder, der auf der Leitung sitzt (dein Internet Service Provider, dein Mitbewohner mit Zugriff auf den Router, dein Arbeitgeber, der DE-CIX...) kann den Verkehr mitlesen und manipulieren. Aber, jetzt kommt's: Das kann er natürlich nicht nur für die ISO-Datei, sondern genauso für die Prüfsummendatei und die Signaturdatei. Wo kommt jetzt die Sicherheit mit ins Spiel? Wenn du die Signatur herunterlädst, dann steht da drin, mit welchem öffentlichen Schlüssel die erstellt worden ist. Den Schlüssel kannst du dir besorgen und mit GPG(4Win) prüfen. Aber: Woher weißt du, dass du den richtigen öffentlichen Schlüssel heruntergeladen hast?
Die Antwort ist: Erstmal gar nicht. Und zweitens: Bemühe das WoT, das Web of Trust. Wir können das Ganze ja mal durchspielen.
Datei und Signatur herunterladen:
> $ wget http://de.releases.ubuntu.com/17.04/{SHA256SUMS,SHA256SUMS.gpg}
--2017-07-18 10:11:01-- http://de.releases.ubuntu.com/17.04/SHA256SUMS
Resolving de.releases.ubuntu.com... 2001:67c:1560:8001::7, 91.189.88.166
Connecting to de.releases.ubuntu.com|2001:67c:1560:8001::7|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 575
Saving to: ‘SHA256SUMS’
SHA256SUMS 100%[==========================================================================================================================================>] 575 --.-KB/s in 0s
2017-07-18 10:11:01 (10.1 MB/s) - ‘SHA256SUMS’ saved [575/575]
--2017-07-18 10:11:01-- http://de.releases.ubuntu.com/17.04/SHA256SUMS.gpg
Reusing existing connection to [de.releases.ubuntu.com]:80.
HTTP request sent, awaiting response... 200 OK
Length: 933
Saving to: ‘SHA256SUMS.gpg’
SHA256SUMS.gpg 100%[==========================================================================================================================================>] 933 --.-KB/s in 0s
2017-07-18 10:11:01 (46.0 MB/s) - ‘SHA256SUMS.gpg’ saved [933/933]
FINISHED --2017-07-18 10:11:01--
Total wall clock time: 0.09s
Downloaded: 2 files, 1.5K in 0s (19.5 MB/s)
Signaturdatei umbenenen (GnuPG hat gemeckert):
> $ mv SHA256SUMS.gpg SHA256SUMS.sig
Signatur prüfen:
> $ gpg --verify SHA256SUMS.sig
gpg: assuming signed data in 'SHA256SUMS'
gpg: Signature made Thu 13 Apr 2017 01:06:25 PM CEST
gpg: using DSA key 46181433FBB75451
gpg: Good signature from "Ubuntu CD Image Automatic Signing Key <cdimage@ubuntu.com>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: C598 6B4F 1257 FFA8 6632 CBA7 4618 1433 FBB7 5451
gpg: Signature made Thu 13 Apr 2017 01:06:25 PM CEST
gpg: using RSA key D94AA3F0EFE21092
gpg: Good signature from "Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 8439 38DF 228D 22F7 B374 2BC0 D94A A3F0 EFE2 1092
Ergebnis oben in gelb: Kryptografisch ist alles ok, aber das sagt uns nichts, weil jeder einen Schlüssel erstellen und eine gültige Signatur damit erstellen kann. Wenn oben die Meldung kommt, der Schlüssel sei nicht vorhanden: Schlüssel holen (ich hole jetzt nur einen von den beiden).
> $ gpg --recv-keys D94AA3F0EFE21092
gpg: key D94AA3F0EFE21092: "Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com>" 15 new signatures
gpg: marginals needed: 3 completes needed: 1 trust model: pgp
gpg: depth: 0 valid: 11 signed: 60 trust: 0-, 0q, 0n, 0m, 0f, 11u
gpg: depth: 1 valid: 60 signed: 8 trust: 20-, 2q, 0n, 36m, 2f, 0u
gpg: depth: 2 valid: 3 signed: 1 trust: 2-, 0q, 0n, 1m, 0f, 0u
gpg: next trustdb check due at 2017-11-26
gpg: Total number processed: 1
gpg: new signatures: 15
Wir können auch die Signaturen dieses Schlüssels anzeigen lassen:
> $ gpg --list-sigs D94AA3F0EFE21092
pub rsa4096 2012-05-11 [SC]
843938DF228D22F7B3742BC0D94AA3F0EFE21092
uid [ unknown] Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com>
sig 82B0CB8DFD138B4D 2012-09-29 [User ID not found]
sig 5CB9BB3B1216648A 2014-10-31 [User ID not found]
sig 0BFB847F3F272F5B 2012-05-11 [User ID not found]
sig 393587D97D86500B 2012-05-11 [User ID not found]
sig 5759F35001AA4A64 2012-05-12 [User ID not found]
sig 1F6750FD3CBDCCE0 2012-12-08 [User ID not found]
sig 3 D94AA3F0EFE21092 2012-05-11 Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com>
sig DF605BB0760F2D65 2016-05-10 [User ID not found]
sig 701A3EC10E0F17BE 2016-05-11 [User ID not found]
sig D7B6DFCE0A4418E5 2017-05-08 [User ID not found]
sig 823A9060CFCAF8C3 2017-06-16 [User ID not found]
sig A0F213F146EB581F 2016-05-16 [User ID not found]
sig 7C0C63166C671691 2017-01-02 [User ID not found]
sig FA1E2610C2BE74BE 2016-04-22 [User ID not found]
sig 626D6053E5F76497 2016-05-17 [User ID not found]
sig 84E3926ACE3A08AB 2017-01-14 [User ID not found]
sig 0B4258F3C91B057B 2017-05-16 [User ID not found]
sig 2 95B48A1500000000 2016-06-16 [User ID not found]
sig E6596246D46BD98A 2016-04-07 [User ID not found]
sig 881479B51065A575 2016-07-22 [User ID not found]
sig 2 03B1FD513D43EB7F 2017-03-11 [User ID not found]
sig 1 P 8508252F9B301536 2017-03-20 [User ID not found]
...aber das hilft nicht mal bei mir weiter, obwohl ich sehr gut im WoT vernetzt bin und mehere Schlüssel im Strong Set habe.
Da du gar keinen Schlüssel haben wirst, wird dir das also auch nicht helfen. Du kannst also gar nicht ohne Weiteres den Ursprung des Schlüssels prüfen. Was kannst du zur Abhilfe tun? Im Wesentlichen kannst du nur gucken, ob du eine Canonical-Seite findest, die über https angeboten wird und über die du entweder direkt den Download oder wenigstens die Prüfsumme bekommst. Damit vertraust du dann lediglich den in deinem Browser vorinstallierten Zertifikaten.