Erste Schritte mit gpg?
gpg: Signatur kann nicht geprüft werden: No public key
Okay, die Signatur mit der geprüft wurde ist kein öffentlicher Schlüssel. Trotzdem ist ist die Signatur SHA512SUMS.sign zur Prüfung des firmware.tar.gz Archivs vorgesehen.
Im Beispiel handelt es sich um die Source auf
https://cdimage.debian.org/cdimage/unofficial/non-free/firmware/stable/current/
Übrigens gibt gpg --version SHA512 als verwendete Technologie aus
2 Antworten
wie hast du den geprüft ?
also die checksummen sind ja kein problem
get-filehash -algorithm sha512 'firmware.zip' | Format-List
bzw mit dem hash aus der SHA512SUMS.txt
für das jeweilige file
PS C:\Users\TechPech1984> (Get-FileHash -algorithm sha512 'firmware.zip').Hash -eq "7895cecb822a2bb74a616e98df44127602dc01c9fe8182d25fbe0593ab899de9766864ba629c6128f73bfbcac90017efd6dcaceef02f25f91e428f81559f5fc8"
True
PS C:\Users\TechPech1984>
aber hast du auch den keyserver bzw deine key datenbank geupdatet um das sign file zu nutzen . den du brauchst schon den public key des herstellers um mit dem SIGN file zu überprüfen .
hier mal die powershell lösung
PS C:\Users\TechPech1984> gpg --keyserver keyring.debian.org --recv DA87E80D6294BE9B
gpg: Schlüssel DA87E80D6294BE9B: Öffentlicher Schlüssel "Debian CD signing key <debian-cd@lists.debian.org>" importiert
gpg: Anzahl insgesamt bearbeiteter Schlüssel: 1
gpg: importiert: 1
PS C:\Users\TechPech1984> gpg --verify SHA512SUMS.sign SHA512SUMS.txt
gpg: Signatur vom 09.10.2021 22:53:09 Mitteleuropische Sommerzeit
gpg: mittels RSA-Schlüssel DF9B9C49EAA9298432589D76DA87E80D6294BE9B
gpg: Korrekte Signatur von "Debian CD signing key <debian-cd@lists.debian.org>" [vollständig]
PS C:\Users\TechPech1984>
du darfst nie den anleitungen folgen die bei debian sind . das sind meist alte oder andere werte ,z.b. den den du hast nennt sich ganz anders und ist nicht für CD images
gpg --keyserver keyring.debian.org --recv DA87E80D6294BE9B
was passiert da bei dir ?
pgp findet er aber als befehl oder ?
kurz : jeder bei pgp hat ein privaten und einen public key ,ein sogenanntes schlüsselpar
mit deinem privaten key, den ja nur du kensnt, kannst du eine datei signieren , sprich , du sagst die ist von dir .
mit deinem public key (der ja zu deinem private key passt) kann jemand überprüfen ob du diese signatur erzeugt hast .
das beglaubigen ist das überprüfen ob dieser public key wirklich von dem kommt der meint das es seiner ist .
bei debian.org etc natürlich recht einfach wennd er auf der seite steht . :) bei privaten leuten mit denen du emails schreibst, ist eine überprüfung schon sinnvoll , weil via email könnte ja einer einfach dir einem public key senden unter flasche email adresse und du wüstest jetzt nciht ob das wirklich seiner ist oder er vorgibt ejmand zu sein ::)
beim email schreiben, verschlüsselst du nachrichten an das ziel mit dem öffentlichen schlüssel des ziels , das ziel kann dann mit seinem privaten schlüssel diese wieder entschlüsseln :)
suchworte sind meist : asymetrische verschlüsselung
Zum Download stehen unter anderem folgende Dateien:
- SHA512SUMS: Die SHA-512 Prüfsumme für den eigentlichen Download
- SHA512SUMS.sign: Die Signatur der Prüfsumme. Theoretisch könnte ja auch die Prüfsumme manipuliert worden sein. Die Prüfsumme musst du also mit der Signatur und mit dem passenden Public Key dazu überprüfen. Du brauchst also auch den Public Key von Debian; mit der anderen Hälfte (dem Private Key) wurde die Prüfsumme signiert.
Was musst du jetzt tun? Den Key von Debian solltest du schon haben, sofern du auf Debian bist. Dann folgendes:
gpg --verify SHA512SUMS.sign SHA512SUMS
Damit kannst du dann sichergehen, dass das auch wirklich von Debian stammt.
Hallo. Dickes DANKE zuerst. Hätte wohl erwähen sollen das ich Debian bereits nutze und das Live für mein neuen Laptop hätte.
Wie hole ich mir den den Key von Debian?
gpg --keyserver keyring.debian.org --recv-keys 0x673A03E4C1DB921F
bringt "keine gültigen gpg Daten".
Hättest du für mich weiterführende Infomationen oder Links? Ich glaube ich nutze schlechte Suchwörter.
Siehe den Kommentar von TechPech. Versuche es mal mit
gpg --keyserver keyring.debian.org --recv DA87E80D6294BE9B
Danach nochmals versuchen, zu verifyen.
Links habe ich nicht wirklich, da ich auch nur geraten habe. Ich kann dich da eigentlich nur auf die Manpage von GPG verweisen:
man gpg
auf linux sehe da kein problem . aber auf windows ist mir das unklar . weder bekomme ich OpenPGP vom keyring server mit der powershell noch will es mit kleoprata rigendwas verifizieren .
gpg --keyserver keyring.debian.org --recv-keys 0x673A03E4C1DB921F
gpg: Keine gültigen OpenPGP-Daten gefunden.
gpg: Anzahl insgesamt bearbeiteter Schlüssel: 0
eine idee wie man das auf windows gebacken bekommt . oder wo es eine halbwegs gute anleitung gibt , bzw wo ist mein denkfehler
Das firmware Package ist vom Debian Kernel Team <debian-kernel@lists.debian.org>. Dann sollte es auch damit signiert sein. Woher man den Key bekommt, keine Ahnung. Habe nichts dazu gefunden. Auf dem OpenPGP und auch auf dem Ubuntu Keyserver ist er nicht zu finden. Für den Debian Keyserver braucht man die KeyID.
schon die lösung gefunden
PS C:\Users\TechPech1984> gpg --keyserver keyring.debian.org --recv DA87E80D6294BE9B
gpg: Schlüssel DA87E80D6294BE9B: Öffentlicher Schlüssel "Debian CD signing key <debian-cd@lists.debian.org>" importiert
gpg: Anzahl insgesamt bearbeiteter Schlüssel: 1
gpg: importiert: 1
PS C:\Users\TechPech1984> gpg --verify SHA512SUMS.sign SHA512SUMS.txt
gpg: Signatur vom 09.10.2021 22:53:09 Mitteleuropische Sommerzeit
gpg: mittels RSA-Schlüssel DF9B9C49EAA9298432589D76DA87E80D6294BE9B
gpg: Korrekte Signatur von "Debian CD signing key <debian-cd@lists.debian.org>" [vollständig]
PS C:\Users\TechPech1984>
Hallo und dickes DANKE.
Hätte wohl erwähnen sollen, das ich Debian bereits auf dem Rechner habe, und es gerne Live hätte für meinen (neuen) Laptop.
Offensichtlich ist meine gpg-Suite noch nicht gänzlich eingerichtet, speziell das Holen von Signaturen über einen Keyserver, denn das funktioniert auch jetzt noch nicht. Z.B klappt es bislang nicht brauchbare Ergebnisse von:
zu erhalten.
Überdies sind mir die Prinzipien von signieren, beglaubigen undsoweiter noch nicht ganz klar.
Ich nutze wohl die falschen Suchbegriffe, um mir das Thema anzueignen.