Tja,dann kann man aktuell für die Leap 15.2 Version nur die Checksummen der iso überprüfen.
Open Suse Leap 15.2-Schwierigkeiten bei der Überprüfung der Iso
- unix-techniker
- Erledigt
-
Tja,dann kann man aktuell für die Leap 15.2 Version nur die Checksummen der iso überprüfen.
Als User:
Codegpg --verify xxxxx.iso.sha256Codeich@linux64:/mnt/2TB/Container/ISO/openSUSE-Leap-15 2-DVD-x86 64-Build606 1-Media> gpg --verify openSUSE-Leap-15.2-DVD-x86_64-Build606.1-Media.iso.sha256 gpg: Signatur vom Sa 14 Mär 2020 21:17:54 CET gpg: mittels RSA-Schlüssel B88B2FD43DBDC284 gpg: Korrekte Signatur von "openSUSE Project Signing Key <opensuse@opensuse.org>" [unbekannt] gpg: WARNUNG: Dieser Schlüssel trägt keine vertrauenswürdige Signatur! gpg: Es gibt keinen Hinweis, daß die Signatur wirklich dem vorgeblichen Besitzer gehört. Haupt-Fingerabdruck = 22C0 7BA5 3417 8CD0 2EFE 22AA B88B 2FD4 3DBD C284 ich@linux64:/mnt/2TB/Container/ISO/openSUSE-Leap-15 2-DVD-x86 64-Build606 1-Media> -
Bei mir klappt es nicht.
Ich verstehe nicht warum?!
-
1. Bitte keine Bilder der Konsolenausgeben, einfach copy/paste und Code-Tags.
2. Würde ich mal in die Datei schauen....... Kein gpg Schlüssel nur die Checksumme....
-
Eine Prüfsumme ist eine Prüfsumme.
Eine SHA256- Prüfsumme ist eine SHA256- Prüfsumme.
Warum willst du unbedingt nur das bedingt geeignete Tool "gpg" dazu verwenden?
Du hast längst ein geeignetes Tool auf deinem Rechner.
Falls du "sha<tab><tab>" probiert hättest, wäre dir sicherlich "sha256sum" aufgefallen.
Das kann man leicht lernen, weil man sogar das Manual dazu mit "man sha256sum" einfach lesen kann.
-
Die Extension ".asc" bedeutet lediglich ASCII.
Da schon lange alles via UTF-8 läuft, brauchst du sowas gar nicht.
Das hat nichts mit UTF-8 zu tun. gpg kann Dateien im Binärformat oder aus Zeichen bestehend erzeugen. Letztere enden defaultmäßig mit ".asc".
-
Warum willst du unbedingt nur das bedingt geeignete Tool "gpg" dazu verwenden?
Du hast längst ein geeignetes Tool auf deinem Rechner.
Weil gpg eigentlich das besser geeignete Tool wäre, wenn es denn eine gpg-Signatur für die iso-Datei gäbe. Wenn jemand die iso-Datei manipuliert dann muss er nur zusätzlich die Prüfsummendatei manipulieren und alles sieht wieder gut aus. Mit einem Tool wie gpg kann man so etwas nicht machen, da man den secret key des Signierenden nicht hat. Deshalb wird gpg ja zur Absicherung der Prüfsumme eingesetzt. Es wäre aber einfacher, es direkt auf die iso loszulassen.
-
Alles anzeigen
Eine Prüfsumme ist eine Prüfsumme.
Eine SHA256- Prüfsumme ist eine SHA256- Prüfsumme.
Warum willst du unbedingt nur das bedingt geeignete Tool "gpg" dazu verwenden?
Du hast längst ein geeignetes Tool auf deinem Rechner.
Falls du "sha<tab><tab>" probiert hättest, wäre dir sicherlich "sha256sum" aufgefallen.
Das kann man leicht lernen, weil man sogar das Manual dazu mit "man sha256sum" einfach lesen kann.
Wie die Checksumme der Iso überprüft werden ist mir klar.
Ich möchte die Echtheit der sha256sum.txt überprüfen.
Bisher klappte das bei mir bis Leap Version 15.1 mit
Codegpg --verify ...iso.sha256sumDa war auch in der iso.sha256sum Datei die PGP Signatur drin.
Seit Leap 15.2 ist in der iso.sha256sum Datei die PGP Signatur nicht mehr drin.
-
Wenn es keine PGP Keydatei dazu gibt, dann kannst du es halt nicht so prüfen.
Um mit dem Mistverständnis aufzuräumen:
Die Extension .asc steht traditionell für Textdateien mit ASCII Zeichen.
Dass PGP für seine PortableArmorFiles ebenfalls .asc als Extension verwendet, ist historisch immer noch der Tatsache geschuldet, dass diese Files halt nun mal nur ASCII Zeichen verwenden.
Die Extension PAF wäre also sinnvoller.
Wenn du unbedingt eine solche Prüfung machen möchtest, kannst du ja selbst eine solche Datei erstellen.
Es ist ziemlich unsinnig, darauf zu beharren. Wäre die SHA- Prüfsumme bösartig geändert worden, hätten das längst viele andere bereits lautstark moniert.
Du kannst auch gerne diesen Job, solche PGP Signaturen, Prüfsummen und Keys zu verwalten und zu erstellen, übernehmen. openSUSE sucht immer wackere Mitstreiter.
-
Seit Leap 15.2 ist in der iso.sha256sum Datei die PGP Signatur nicht mehr drin.
Dann kannst du auch die Signatur nicht überprüfen....
