ubuntuusers.de

Verständnisfrage zur Verifizierung

Status: Ungelöst | Ubuntu-Version: Ubuntu 17.04 (Zesty Zapus)
Antworten |

vulpes

Avatar von vulpes

Anmeldungsdatum:
14. März 2014

Beiträge: 10

Hallo,

im Moment stehe ich am Schritt 0 der Vor-Installation. Mit geht es um die Verifizierung der Datei ubuntu-17.04-desktop-amd64.iso. Ich muss an der Stelle zugeben, ich habe ein Verständnisproblem mit der Verifizierung.

Was glaube ich, verstanden zu haben?

Die Datei SHA256SUMS ist eine Textdatei, in welcher die Prüfsummen (Checksummen) der ISO Image hinterlegt sind. Die SHA256SUMS und die zugehörigen ISO Images liegen im selben Verzeichnis.

Den Prüfsummenwert der Datei ubuntu-17.04-desktop-amd64.iso habe ich unter Windows mit dem Programm “MD5 & SHA Checksum Utility” ermittelt und mit dem Wert aus der Datei SHA256SUMS verglichen. Beide Prüfsummen stimmen überein.

Was sagt mir das? Es sagt mir aus, dass der Download korrekt war, die Datei fehlerfrei und vollständig übertragen wurde. Die Übereinstimmung der Prüfsumme sagt mit aber nichts über die Integrität des heruntergeladenen ISO Images aus.

Um die Integrität des ISO Images oder der Datei SHA256SUMS festzustellen, benötige ich eine namensgleiche *.gpg oder eine *.sign Datei. In diesem Fall ist es die Datei SHA256SUMS.gpg

Mit der Datei SHA256SUMS.gpg kann ich die Unversehrtheit der Datei SHA256SUMS feststellen und somit den Prüfsummen in dieser Datei vertrauen.

Und hier komme ich nicht weiter.

1. Ich brauche den öffentlichen Schlüssel des Erstellers der SHA256SUMS.gpg Datei, woher bekomme ich den? 2. Wie gehe ich danach weiter vor?

Unter Windows habe ich das Programm “gpg4win” installiert und komme dort keinen Schritt weiter. Der nächste logische Schritt wäre, die SHA256SUMS.gpg nehmen und damit die Unversehrtheit der Checksummendatei SHA256SUMS prüfen.

Aber ich weiss nicht wie ich das mit dem Programm gpg4win machen soll.

Könnt ihr mir bitte helfen und vielen Dank für eure Mühe

cosinus

Avatar von cosinus

Anmeldungsdatum:
11. Mai 2010

Beiträge: 1374

Wohnort: HB

Die Übereinstimmung der Prüfsumme sagt mit aber nichts über die Integrität des heruntergeladenen ISO Images aus.

Wie kommst du denn darauf? Wenn die Prüfsummen überreinstimmen, hast du mit an Sicherheit grenzender Wahrscheinlichkeit dieselbe Datei, wie sie das Ubuntu-DVD-Image-Team freigegegeben hat. Es sei denn du unterstellst denen irgendwie, nicht sorgfältig gearbeitet zu haben, dann hast du natürlich ne Schrottdatei wenn du das glaubst.

Was willst du mit den gpg Dateien? Die ISO-Dateien selbst sind weder signiert noch verschlüsselt.

Dogeater

Anmeldungsdatum:
16. Juni 2015

Beiträge: 3381

Ist mir auch schonmal passiert. Am Schluss ist übrigens immer die schrottige Xlyne-DVD-RW aus dem Ramschregal schuld. ^^

Fürs nächste Mal dann besser einen Torrent benutzen, der macht automatische Integritätschecks.

cosinus

Avatar von cosinus

Anmeldungsdatum:
11. Mai 2010

Beiträge: 1374

Wohnort: HB

Dogeater schrieb:

Ist mir auch schonmal passiert.

Was genau denn? Ich seh hier irgendwie den Zusammenhang mit dem TO nicht 😕

Am Schluss ist übrigens immer die schrottige Xlyne-DVD-RW aus dem Ramschregal schuld. ^^

Ok, wer noch seine OS von rotierenden Discs installieren will, kann ja die Disc nach dem Brennvorgang verifizieren.

Fürs nächste Mal dann besser einen Torrent benutzen, der macht automatische Integritätschecks.

Kann man machen, ich hatte nie Probleme mit den normalen Downloads.

unbuntuS12

Anmeldungsdatum:
2. Juni 2010

Beiträge: 1816

cosinus schrieb:

Was willst du mit den gpg Dateien? Die ISO-Dateien selbst sind weder signiert noch verschlüsselt.

Himmelherrgott, das sind die Signaturen! Und wie der TE schon sagt, braucht man dafür den öffentlichen Schlüssel.

Dogeater schrieb:

Fürs nächste Mal dann besser einen Torrent benutzen, der macht automatische Integritätschecks.

Das wird ja immer bessser hier. Ja, bei Torrents wird nachher mit einer Prüfsümme überprüft, ob der Download erfolgreich war. Aber: Da jeder einen Torrent hochladen kann, empfiehlt es sich sehr, die Prüfsumme mit der auf der Ubuntu-Seite abzugleichen, damit man sicher ist, dass man auch die richtige Datei hat.

@TE: Ich gehe nochmal einen Schritt zurück. Was ist denn eigentlich der Sinn dieser Übung, das heißt, warum diese ganzen Signaturen und Hashes? Das Problem ist, dass, wenn du etwas aus dem Internet herunterlädst, du nicht wissen kannst, was du bekommst und von wem du es bekommst. Das ist insbesondere dann kritisch, wenn es um ein Betriebssystem geht. Wir wollen also wissen: Ist der Download fehlerfrei und kommt er tatsächlich von Canonical.

Wenn wir uns jetzt mal die Seite http://de.releases.ubuntu.com/17.04/ anschauen, dann sehen wir, dass dort kein "https" steht, die Verbindung ist also unverschlüsselt. Das bedeutet, jeder, der auf der Leitung sitzt (dein Internet Service Provider, dein Mitbewohner mit Zugriff auf den Router, dein Arbeitgeber, der DE-CIX...) kann den Verkehr mitlesen und manipulieren. Aber, jetzt kommt's: Das kann er natürlich nicht nur für die ISO-Datei, sondern genauso für die Prüfsummendatei und die Signaturdatei. Wo kommt jetzt die Sicherheit mit ins Spiel? Wenn du die Signatur herunterlädst, dann steht da drin, mit welchem öffentlichen Schlüssel die erstellt worden ist. Den Schlüssel kannst du dir besorgen und mit GPG(4Win) prüfen. Aber: Woher weißt du, dass du den richtigen öffentlichen Schlüssel heruntergeladen hast?

Die Antwort ist: Erstmal gar nicht. Und zweitens: Bemühe das WoT, das Web of Trust. Wir können das Ganze ja mal durchspielen.

Datei und Signatur herunterladen:

> $ wget http://de.releases.ubuntu.com/17.04/{SHA256SUMS,SHA256SUMS.gpg}                                                                                                                                                                      
--2017-07-18 10:11:01--  http://de.releases.ubuntu.com/17.04/SHA256SUMS
Resolving de.releases.ubuntu.com... 2001:67c:1560:8001::7, 91.189.88.166
Connecting to de.releases.ubuntu.com|2001:67c:1560:8001::7|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 575
Saving to: ‘SHA256SUMS’

SHA256SUMS                                                  100%[==========================================================================================================================================>]     575  --.-KB/s    in 0s      

2017-07-18 10:11:01 (10.1 MB/s) - ‘SHA256SUMS’ saved [575/575]

--2017-07-18 10:11:01--  http://de.releases.ubuntu.com/17.04/SHA256SUMS.gpg
Reusing existing connection to [de.releases.ubuntu.com]:80.
HTTP request sent, awaiting response... 200 OK
Length: 933
Saving to: ‘SHA256SUMS.gpg’

SHA256SUMS.gpg                                              100%[==========================================================================================================================================>]     933  --.-KB/s    in 0s      

2017-07-18 10:11:01 (46.0 MB/s) - ‘SHA256SUMS.gpg’ saved [933/933]

FINISHED --2017-07-18 10:11:01--
Total wall clock time: 0.09s
Downloaded: 2 files, 1.5K in 0s (19.5 MB/s)

Signaturdatei umbenenen (GnuPG hat gemeckert):

> $ mv SHA256SUMS.gpg SHA256SUMS.sig

Signatur prüfen:

> $ gpg --verify SHA256SUMS.sig                                                                                                                                                                                                               
gpg: assuming signed data in 'SHA256SUMS'
gpg: Signature made Thu 13 Apr 2017 01:06:25 PM CEST
gpg:                using DSA key 46181433FBB75451
gpg: Good signature from "Ubuntu CD Image Automatic Signing Key <cdimage@ubuntu.com>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: C598 6B4F 1257 FFA8 6632  CBA7 4618 1433 FBB7 5451
gpg: Signature made Thu 13 Apr 2017 01:06:25 PM CEST
gpg:                using RSA key D94AA3F0EFE21092
gpg: Good signature from "Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 8439 38DF 228D 22F7 B374  2BC0 D94A A3F0 EFE2 1092

Ergebnis oben in gelb: Kryptografisch ist alles ok, aber das sagt uns nichts, weil jeder einen Schlüssel erstellen und eine gültige Signatur damit erstellen kann. Wenn oben die Meldung kommt, der Schlüssel sei nicht vorhanden: Schlüssel holen (ich hole jetzt nur einen von den beiden).

> $ gpg --recv-keys D94AA3F0EFE21092                                                                                                                                                                                                          
gpg: key D94AA3F0EFE21092: "Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com>" 15 new signatures
gpg: marginals needed: 3  completes needed: 1  trust model: pgp
gpg: depth: 0  valid:  11  signed:  60  trust: 0-, 0q, 0n, 0m, 0f, 11u
gpg: depth: 1  valid:  60  signed:   8  trust: 20-, 2q, 0n, 36m, 2f, 0u
gpg: depth: 2  valid:   3  signed:   1  trust: 2-, 0q, 0n, 1m, 0f, 0u
gpg: next trustdb check due at 2017-11-26
gpg: Total number processed: 1
gpg:         new signatures: 15

Wir können auch die Signaturen dieses Schlüssels anzeigen lassen:

> $ gpg --list-sigs D94AA3F0EFE21092                                                                                                                                                                                                          
pub   rsa4096 2012-05-11 [SC]
      843938DF228D22F7B3742BC0D94AA3F0EFE21092
uid           [ unknown] Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com>
sig          82B0CB8DFD138B4D 2012-09-29  [User ID not found]
sig          5CB9BB3B1216648A 2014-10-31  [User ID not found]
sig          0BFB847F3F272F5B 2012-05-11  [User ID not found]
sig          393587D97D86500B 2012-05-11  [User ID not found]
sig          5759F35001AA4A64 2012-05-12  [User ID not found]
sig          1F6750FD3CBDCCE0 2012-12-08  [User ID not found]
sig 3        D94AA3F0EFE21092 2012-05-11  Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com>
sig          DF605BB0760F2D65 2016-05-10  [User ID not found]
sig          701A3EC10E0F17BE 2016-05-11  [User ID not found]
sig          D7B6DFCE0A4418E5 2017-05-08  [User ID not found]
sig          823A9060CFCAF8C3 2017-06-16  [User ID not found]
sig          A0F213F146EB581F 2016-05-16  [User ID not found]
sig          7C0C63166C671691 2017-01-02  [User ID not found]
sig          FA1E2610C2BE74BE 2016-04-22  [User ID not found]
sig          626D6053E5F76497 2016-05-17  [User ID not found]
sig          84E3926ACE3A08AB 2017-01-14  [User ID not found]
sig          0B4258F3C91B057B 2017-05-16  [User ID not found]
sig 2        95B48A1500000000 2016-06-16  [User ID not found]
sig          E6596246D46BD98A 2016-04-07  [User ID not found]
sig          881479B51065A575 2016-07-22  [User ID not found]
sig 2        03B1FD513D43EB7F 2017-03-11  [User ID not found]
sig 1   P    8508252F9B301536 2017-03-20  [User ID not found]

...aber das hilft nicht mal bei mir weiter, obwohl ich sehr gut im WoT vernetzt bin und mehere Schlüssel im Strong Set habe.

Da du gar keinen Schlüssel haben wirst, wird dir das also auch nicht helfen. Du kannst also gar nicht ohne Weiteres den Ursprung des Schlüssels prüfen. Was kannst du zur Abhilfe tun? Im Wesentlichen kannst du nur gucken, ob du eine Canonical-Seite findest, die über https angeboten wird und über die du entweder direkt den Download oder wenigstens die Prüfsumme bekommst. Damit vertraust du dann lediglich den in deinem Browser vorinstallierten Zertifikaten.

cosinus

Avatar von cosinus

Anmeldungsdatum:
11. Mai 2010

Beiträge: 1374

Wohnort: HB

unbuntuS12 schrieb:

cosinus schrieb:

Was willst du mit den gpg Dateien? Die ISO-Dateien selbst sind weder signiert noch verschlüsselt.

Himmelherrgott, das sind die Signaturen! Und wie der TE schon sagt, braucht man dafür den öffentlichen Schlüssel.

Himmelherrgott, was soll mir das jetzt sagen? 🙄
Was hat das mit den ISO-Files zu tun, die weder signiert noch verschlüsselt sind?

unbuntuS12

Anmeldungsdatum:
2. Juni 2010

Beiträge: 1816

Wenn du irgendwas signieren willst, dann musst du vorher hashen. Selbst, wenn du eine x-beliebige Klartextdatei signierst, bilden sämtliche Signaturalgorithmen einen Hash über den Klartext und signieren (=veschlüsseln mit dem privaten Schlüssel) den. Wenn du jetzt aber n Dokumente signieren willst, dann kannst du dir das Leben leichter machen, indem du erst manuell Hashes über die Ausgangstexte bildest, diese in eine Datei schreibst (SHA256SUMS) und diese dann signierst. Dabei wird ein Hash über die Datei (sprich: die Hashes) gebildet und dieser signiert. Insofern: Die ISOs sind signiert und die Signaturen stehen in SHA256SUMS.gpg.

Dogeater

Anmeldungsdatum:
16. Juni 2015

Beiträge: 3381

Na ich hatte eine DVD-RW, da war ein Win7-ISO draufgebrannt und verifiziert. Dann lag sie noch ungefähr eine Woche herum und Win7 wurde auf einem Lappi installiert. Die Aktivierung schlug fehl. Über drei Ecken fand ich später heraus, dass die DVD nicht dem ISO entsprach. Also habe ich eine Platinum DVD-R ins Laufwerk geworfen, gebrannt, neu installiert. Und die Aktivierung damit lief dann völlig problemlos.

Und da ich mittlerweile drei Xlyne mit Sektorfehlern hier herumliegen habe, muss ich vom Kauf jener abraten, so nebenbei. ^^

DVDs benutze ich noch für Fedora, da dessen anaconda seit Fedora 25 das easy2boot und dessen virtuell eingelegtes ISO auf der /dev/sdd4 nicht mehr mag und die Installation crasht.

cosinus

Avatar von cosinus

Anmeldungsdatum:
11. Mai 2010

Beiträge: 1374

Wohnort: HB

Wo bitte sind die ISO-Files signiert? Über die Prüfsummen wir doch "nur" klargemacht, dass diese und jene Datei diesen und jenen Fingerabdruck hat. Damit man feststellen kann, ob die Prüfsummen auch nicht von anderen manipuliert wurden, gibt es diese signierte (gpg) Dateien. Aber deswegen sind die ISO-Files doch nicht selbst signiert?!

Aber ganz ehrlich, wenn jmd schon befürchtet, dass sowohl die Prüfsummen als auch die ISO-Files manipuliert wurden, bedeutet dass ja, dass er nicht sonderlich viel vertrauen in dieser Downloadquelle hat.

Dogeater

Anmeldungsdatum:
16. Juni 2015

Beiträge: 3381

unbuntuS12 schrieb:

Dogeater schrieb:

Fürs nächste Mal dann besser einen Torrent benutzen, der macht automatische Integritätschecks.

Das wird ja immer bessser hier.

Was meinst du damit?

unbuntuS12

Anmeldungsdatum:
2. Juni 2010

Beiträge: 1816

cosinus schrieb:

Über die Prüfsummen wir doch "nur" klargemacht, dass diese und jene Datei diesen und jenen Fingerabdruck hat. Damit man feststellen kann, ob die Prüfsummen auch nicht von anderen manipuliert wurden, gibt es diese signierte (gpg) Dateien. Aber deswegen sind die ISO-Files doch nicht selbst signiert?!

Kannst du bitte wenigstens versuchen zu verstehen, was andere schreiben, bevor du antwortest. Ich habe bereits geschrieben: Du signierst immer einen Hash. "Das ISO-File" zu signieren, heißt, einen Hash über das ISO zu bilden und diesen!!!!111elf zu signieren.

Wenn du also - nach deiner Redensart einen Hash über ein ISO bildest, dann passiert folgendes:

crypt_privSchlüssel(hash(iso))

Wenn du vorher manuell einen Hash bildest, dann ist das Ergebnis

crypt_privSchlüssel(hash(hash(iso)))

cosinus

Avatar von cosinus

Anmeldungsdatum:
11. Mai 2010

Beiträge: 1374

Wohnort: HB

Dogeater schrieb:

unbuntuS12 schrieb:

Dogeater schrieb:

Fürs nächste Mal dann besser einen Torrent benutzen, der macht automatische Integritätschecks.

Das wird ja immer bessser hier.

Was meinst du damit?

Ich hab den Eindruck, dass er durch die Blume sagen möchte: "Was ist das denn für ein Mist von Tipp!?" 😛

Warum haben die von cdimages.ubuntu.com eigentlich noch kein https?

seahawk1986

Anmeldungsdatum:
27. Oktober 2006

Beiträge: 11260

Wohnort: München

Die Kette ist idealerweise diese:

  • Du hast einen verifizierten bzw. vertrauenswürdigen öffentlichen Schlüssel von cdimage@ubuntu.com

  • du prüfst mit diesem Schlüssel die signierte Checksumme - wenn das passt, weißt du dass die Checksumme vertrauenswürdig ist

  • jetzt prüfst du, ob die Checksumme zum ISO passt - da es keine bekannte Methode für Kollisionsangriffe bei SHA256 gibt, kannst du dann mit großer Sicherheit davon ausgehen, dass das Image dem entspricht, mit dem die Checksumme ermittelt wurde und damit nicht manipuliert wurde

Das ganze wird auch in community/VerifyIsoHowto beschrieben (wie von UbuntuS12 gewünscht eine Seite, die über https erreichbar ist und den Schlüssel mit Fingerprint zeigt).

Das Problem des TE ist allerdings, dass er das unter Windows machen will. SHA256 Checksummen kann man unter Windows 7 und höher mit dem vorinstallierten CertUtil erzeugen - in einer Eingabeaufforderung:

CertUtil -hashfile ISODATEI SHA256  

Den kann man mit dem Hash aus dem Haschfile für das ISO abgleichen. Und den passenden öffentlichen Schlüssel kann man sich vom Keyserver holen: http://keyserver.ubuntu.com/pks/lookup?op=vindex&search=cdimage%40ubuntu.com&fingerprint=on

Den müsste man dann in gpg4win importieren und das die signierte Hash-Datei checken lassen.

cosinus

Avatar von cosinus

Anmeldungsdatum:
11. Mai 2010

Beiträge: 1374

Wohnort: HB

unbuntuS12 schrieb:

Kannst du bitte wenigstens versuchen zu verstehen(...) diesen!!!!111elf

Kannst du dich bitte mal vorher abregen bevor du antwortest?
Einatmen - Ausatmen - OMMM 😇

So und bitte schreib nun nochmal in einem etwas zivilisierterem Ton. Danke. Du musst mich hier auch nicht wie einen Idioten behandeln, nur weil du über etwas anderes reden willst. 🙄

Also nochmal: ja, ich kann mit Hilfe der Prüfsummen feststellen, ob die ISOs okay sind (oder auch nicht). Mit Hilfe der gpg-Files (und dem public key) kann ich festellen, ob die Prüfsummen manipuliert wurden oder nicht. Deswegen sind die ISO-Files aber selbst nicht signiert, es bleiben "nackte" ISO-Files. Man hätte ja auch zB die ISO-Files selbst direkt verschlüsseln/signieren können, dann lädt man eine ubuntu.iso.gpg herunter und entschlüsselt diese dann mit dem public key von Ubuntu.

Frieden Bro? 😊

unbuntuS12

Anmeldungsdatum:
2. Juni 2010

Beiträge: 1816

cosinus schrieb:

Also nochmal: ja, ich kann mit Hilfe der Prüfsummen feststellen, ob die ISOs okay sind. Mit Hilfe der gpg-Files kann ich festellen, dass die Prüfsummen auch nicht manipuliert wurden.

Eben. Das nennt man Signaturprüfung. In den gpg-Files steht eine Signatur. Die prüfst du. Du musst lediglich manuell die SHA-256-Summe über den Download bilden und den Wert mit dem in der erfolgreich signaturgeprüften gpg-Datei vergleichen.

Deswegen sind die ISO-File saber selbst nicht signiert, es bleiben "nackte" ISO-Files.

Es ist vollkommen egal, wo die Signatur steht. Die kann in einer extra Datei stehen oder in derselben Datei.

Man hätte ja auch zB die ISO-Files selbst direkt verschlüsseln/signieren können, dann lädt man eine ubuntu.iso.gpg herunter und entschlüsselt diese dann mit dem public key.

Und was passiert dabei? Die Signatur wird direkt an den Klartext der Datei angehängt und dann wird alles zusammen verschlüsselt. Wenn ich die Datei entschlüsseln kann, dann kann ich auch die Signatur abtrennen. Anbei ein Beispiel (die Signatur ist ein zufälliger base64-String) zur Illustration.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

Das ist eine Testnachricht

-----BEGIN PGP SIGNATURE-----

SEdJYU5UWDhwUldxdDRsTEhCSzRBSlB0OTNyRk9VWUZZMFhSd2V1cWZYSUlHMVV0aUZtTGd1QUEz
d1NOWjRldHdybVp6NnhGWXlUMGs3YWhra0lSMjFrTkFHS0dxNHZtbW5MeEJhbFpEcFJITVNTR1o3
YXRiaEE1bG5lSFM0OWxhcmEwZWFPYkNBODk5dFNhOEFoSlFLRUNQOWVSUE0zWkN0djd5a081QkE0
SHBXa1M0NG42Z3pBMHl2UmxjeVFacGJBR0FFdFBIR0lhTlRYOHBSV3F0NGxMSEJLNEFKUHQ5M3JG
T1VZRlkwWFJ3ZXVxZlhJSUcxVXRpRm1MZ3VBQTN3U05aNGV0d3JtWno2eEZZeVQwazdhaGtrSVIy
MWtOQUdLR3E0dm1tbkx4QmFsWkRwUkhNU1NHWjdhdGJoQTVsbmVIUzQ5bGFyYTBlYU9iQ0E4OTl0
U2E4QWhKUUtFQ1A5ZVJQTTNaQ3R2N3lrTzVCQTRIcFdrUzQ0bjZnekEweXZSbGN5UVpwYkFHQUV0
UEhHSWFOVFg4cFJXcXQ0bExIQks0QUpQdDkzckZPVVlGWTBYUndldXFmWElJRzFVdGlGbUxndUFB
M3dTTlo0ZXR3cm1aejZ4Rll5VDBrN2Foa2tJUjIxa05BR0tHcTR2bW1uTHhCYWxaRHBSSE1TU0da
N2F0YmhBNWxuZUhTNDlsYXJhMGVhT2JDQTg5OXRTYThBaEpRS0VDUDllUlBNM1pDdHY3eWtPNUJB
NEhwV2tTNDRuNmd6QTB5dlJsY3lRWnBiQUdBRXRQSEdJYU5UWDhwUldxdDRsTEhCSzRBSlB0OTNy
Rk9VWUZZMFhSd2V1cWZYSUlHMVV0aUZtTGd1QUEzd1NOWjRldHdybVp6NnhGWXlUMGs3YWhra0lS
MjFrTkFHS0dxNHZtbW5MeEJhbFpEcFJITVNTR1o3YXRiaEE1bG5lSFM0OWxhcmEwZWFPYkNBODk5
dFNhOEFoSlFLRUNQOWVSUE0zWkN0djd5a081QkE0SHBXa1M0NG42Z3pBMHl2UmxjeVFacGJBR0FF
dFAK
-----END PGP SIGNATURE-----

Also: Das ISO ist signiert, es ist lediglich ein manueller Hash drüber gebildet worden und der dann signiert worden. Signaturen sind gerade weil sie auf Hashes basieren unabhängig vom Ausgangstext verteilbar, weil jeder den Hash aus dem Ausgangstext rekonstruieren kann und dann mit dem öffentlichen Schlüssel verschlüsseln kann (was die Signaturprüfung ist). Ob ich die Signatur trotzdem an die Datei anhänge, bleibt mir überlassen.

Antworten |