Hallo zusammen,
mir erschließt sich der Sinn der Verifikation nicht so recht. Vom Prinzip her verstehe ich es. Die .sig-Datei stellt sicher dass mein .iso nicht manipuliert wurde. In den meisten Fällen liegt die Datei aber im selben Serververzeichnis. Wenn nun jemand den Server hackt und eine modifizierte .iso-Datei auf den Server lädt könnte er doch auch gleich die passende .sig-Datei bereit stellen und niemand würde etwas bemerken.
Liege ich mit meiner Annahme richtig? Wie kann ich sicherstellen dass mein Download korrekt ist?
Grüße youngkuza
Download Verifikation
Re: Download Verifikation
Richtig und soweit auch identisch mit dem Bilden eines Hashs (md5, sha...).youngkuza hat geschrieben:Vom Prinzip her verstehe ich es. Die .sig-Datei stellt sicher dass mein .iso nicht manipuliert wurde.
Da kommt der Unterschied zum Hash: Es wird nicht nur die Integrität der Daten geprüft, sondern auch die Urheberschaft. Denn die Daten kann nur derjenige signieren, der auch den Schlüssel hat.In den meisten Fällen liegt die Datei aber im selben Serververzeichnis. Wenn nun jemand den Server hackt und eine modifizierte .iso-Datei auf den Server lädt könnte er doch auch gleich die passende .sig-Datei bereit stellen und niemand würde etwas bemerken.
Re: Download Verifikation
Dann benötige ich den Schlüssel des Urhebers?tobo hat geschrieben: Da kommt der Unterschied zum Hash: Es wird nicht nur die Integrität der Daten geprüft, sondern auch die Urheberschaft. Denn die Daten kann nur derjenige signieren, der auch den Schlüssel hat.
Re: Download Verifikation
Ja, Du musst den öffentlichen Schlüssel bei dir importieren.youngkuza hat geschrieben:Dann benötige ich den Schlüssel des Urhebers?