Open Suse Leap 15.2-Schwierigkeiten bei der Überprüfung der Iso

Hinweis: In dem Thema Open Suse Leap 15.2-Schwierigkeiten bei der Überprüfung der Iso gibt es 22 Antworten auf 3 Seiten. Der letzte Beitrag () befindet sich auf der letzten Seite.
  • Tja,dann kann man aktuell für die Leap 15.2 Version nur die Checksummen der iso überprüfen.


    Als User:

    Code
    gpg --verify xxxxx.iso.sha256
    Code
    ich@linux64:/mnt/2TB/Container/ISO/openSUSE-Leap-15 2-DVD-x86 64-Build606 1-Media> gpg --verify openSUSE-Leap-15.2-DVD-x86_64-Build606.1-Media.iso.sha256
    gpg: Signatur vom Sa 14 Mär 2020 21:17:54 CET
    gpg: mittels RSA-Schlüssel B88B2FD43DBDC284
    gpg: Korrekte Signatur von "openSUSE Project Signing Key <opensuse@opensuse.org>" [unbekannt]
    gpg: WARNUNG: Dieser Schlüssel trägt keine vertrauenswürdige Signatur!
    gpg: Es gibt keinen Hinweis, daß die Signatur wirklich dem vorgeblichen Besitzer gehört.
    Haupt-Fingerabdruck = 22C0 7BA5 3417 8CD0 2EFE 22AA B88B 2FD4 3DBD C284
    ich@linux64:/mnt/2TB/Container/ISO/openSUSE-Leap-15 2-DVD-x86 64-Build606 1-Media>

    Für den Inhalt des Beitrages 281603 haftet ausdrücklich der jeweilige Autor: Sauerland

  • 1. Bitte keine Bilder der Konsolenausgeben, einfach copy/paste und Code-Tags.

    2. Würde ich mal in die Datei schauen....... Kein gpg Schlüssel nur die Checksumme....

    Für den Inhalt des Beitrages 281606 haftet ausdrücklich der jeweilige Autor: Sauerland

  • Eine Prüfsumme ist eine Prüfsumme.

    Eine SHA256- Prüfsumme ist eine SHA256- Prüfsumme.


    Warum willst du unbedingt nur das bedingt geeignete Tool "gpg" dazu verwenden?

    Du hast längst ein geeignetes Tool auf deinem Rechner.

    Falls du "sha<tab><tab>" probiert hättest, wäre dir sicherlich "sha256sum" aufgefallen.

    Das kann man leicht lernen, weil man sogar das Manual dazu mit "man sha256sum" einfach lesen kann.

  • Die Extension ".asc" bedeutet lediglich ASCII.

    Da schon lange alles via UTF-8 läuft, brauchst du sowas gar nicht.

    Das hat nichts mit UTF-8 zu tun. gpg kann Dateien im Binärformat oder aus Zeichen bestehend erzeugen. Letztere enden defaultmäßig mit ".asc".

    Für den Inhalt des Beitrages 281614 haftet ausdrücklich der jeweilige Autor: Welm

  • Warum willst du unbedingt nur das bedingt geeignete Tool "gpg" dazu verwenden?

    Du hast längst ein geeignetes Tool auf deinem Rechner.

    Weil gpg eigentlich das besser geeignete Tool wäre, wenn es denn eine gpg-Signatur für die iso-Datei gäbe. Wenn jemand die iso-Datei manipuliert dann muss er nur zusätzlich die Prüfsummendatei manipulieren und alles sieht wieder gut aus. Mit einem Tool wie gpg kann man so etwas nicht machen, da man den secret key des Signierenden nicht hat. Deshalb wird gpg ja zur Absicherung der Prüfsumme eingesetzt. Es wäre aber einfacher, es direkt auf die iso loszulassen.

    Für den Inhalt des Beitrages 281615 haftet ausdrücklich der jeweilige Autor: Welm

  • Wie die Checksumme der Iso überprüft werden ist mir klar.

    Ich möchte die Echtheit der sha256sum.txt überprüfen.

    Bisher klappte das bei mir bis Leap Version 15.1 mit

    Code
    gpg --verify ...iso.sha256sum

    Da war auch in der iso.sha256sum Datei die PGP Signatur drin.

    Seit Leap 15.2 ist in der iso.sha256sum Datei die PGP Signatur nicht mehr drin.

  • Wenn es keine PGP Keydatei dazu gibt, dann kannst du es halt nicht so prüfen.


    Um mit dem Mistverständnis aufzuräumen:

    Die Extension .asc steht traditionell für Textdateien mit ASCII Zeichen.

    Dass PGP für seine PortableArmorFiles ebenfalls .asc als Extension verwendet, ist historisch immer noch der Tatsache geschuldet, dass diese Files halt nun mal nur ASCII Zeichen verwenden.

    Die Extension PAF wäre also sinnvoller.


    Wenn du unbedingt eine solche Prüfung machen möchtest, kannst du ja selbst eine solche Datei erstellen.

    Es ist ziemlich unsinnig, darauf zu beharren. Wäre die SHA- Prüfsumme bösartig geändert worden, hätten das längst viele andere bereits lautstark moniert.

    Du kannst auch gerne diesen Job, solche PGP Signaturen, Prüfsummen und Keys zu verwalten und zu erstellen, übernehmen. openSUSE sucht immer wackere Mitstreiter.

  • Seit Leap 15.2 ist in der iso.sha256sum Datei die PGP Signatur nicht mehr drin.

    Dann kannst du auch die Signatur nicht überprüfen....

    Für den Inhalt des Beitrages 281622 haftet ausdrücklich der jeweilige Autor: Sauerland