Hallo,
im Moment stehe ich am Schritt 0 der Vor-Installation.
Mir geht es um die Verifizierung der *.gpg bzw. der *.sign Datei.
Ich muss zugeben, ich habe ein Verständnisproblem mit der Verifizierung.
Was glaube ich, verstanden zu haben?
Die Datei SHA256SUMS ist eine Textdatei, in welcher die Prüfsummen (Checksummen) der ISO Image hinterlegt sind. Die SHA256SUMS und die zugehörigen ISO Images liegen im selben Verzeichnis.
Den Prüfsummenwert der debian-9.0.0-amd64-netinst.iso habe ich unter Windows mit dem Programm “MD5 & SHA Checksum Utility” ermittelt und mit dem Wert aus der Datei SHA256SUMS verglichen. Beide Prüfsummen stimmen überein.
Was sagt mir das?
Es sagt mir, dass der Download korrekt war, die Datei fehlerfrei und vollständig übertragen wurde. Die Übereinstimmung der Prüfsumme sagt mit aber nichts über die Integrität des heruntergeladenen ISO Images oder der SHA256SUMS aus.
Um die Integrität der Datei SHA256SUMS festzustellen, benötige ich eine namensgleiche *.gpg oder eine *.sign Datei. In diesem Fall ist es die Datei SHA256SUMS.sign
Mit der Datei SHA256SUMS.sign kann ich die Unversehrtheit der Datei SHA256SUMS feststellen und somit den Prüfsummen in dieser Datei vertrauen.
Soweit zu dem, was ich glaube verstanden zu haben.
Der nächste logische Schritt wäre, die Unversehrtheit der Datei SHA256SUMS mittels der SHA256SUMS.sign zu prüfen. Dazu brauche ich den öffentlichen Schlüssels des Erstellers der SHA256SUMS.sign, um mit dem öffentlichen Schlüssel, die SHA256SUMS auf Nichtmanipulierbarkeit zu prüfen.
Und an dieser Stelle ist mein Problem. Ich weiss nicht, wie ich das tun soll.
Unter Windows habe ich das Programm “gpg4win” installiert und komme dort keinen Schritt weiter.
Kurzum, was mache ich mit der Datei SHA256SUMS.sign??????
Könnt ihr mir bitte die weitere Vorgehensweise unter Windows beschreiben?
Denn Linux habe ich noch nicht installiert.
Vielen Dank für eure Hilfe
Verständnisproblem mit der Verifizierung
Re: Verständnisproblem mit der Verifizierung
Soweit alles richtig.
normalerweise (unter Debian oder auch einem anderen Linux) würde man sich über ein Netz, das man für sicher hält, den Debianschlüsselbund herunterladen und dann mit gpg die Signatur prüfen.
Ohne Windowserfahrung würde ich vermuten, dass man mit gpg4win nach Schlüsseln suchen kann und mit etwas Glück so etwas wie einen "Debian CD Signing Key" findet. Dessen Eigenschaften, vor allem den Fingerabdruck vergleicht man mit den Schlüsseln, die auf dieser Seite aufgeführt sind:
https://www.debian.org/CD/verify.en.html
Stimmt alles kann man dem Schlüssel (hoffentlich) vertrauen und das gpg4win mitteilen.
Dann hätte ich vermutet, dass man an dieser Stelle bereits direkt die Signatur prüfen kann, aber laut diesem Thread im Mintforum ist dem nicht so - viel mehr muss man laut dem Thread den Umweg über ein selbst erstelltes Zertifikat gehen. Im ersten Post gibt es eine komplette Anleitung für Mint:
https://forums.linuxmint.com/viewtopic.php?t=229292
Diese weitere Anleitung (für Windows relativ weit unten auf der Seite) erweckt allerdings den Eindruck als wäre der Umweg über das selbst erstellte Zertifikat gar nicht notwendig:
https://www.howtogeek.com/246332/how-to ... ered-with/
(ich kenne gpg4win nicht, aber mit gefällt die zweite Anleitung besser)
normalerweise (unter Debian oder auch einem anderen Linux) würde man sich über ein Netz, das man für sicher hält, den Debianschlüsselbund herunterladen und dann mit gpg die Signatur prüfen.
Ohne Windowserfahrung würde ich vermuten, dass man mit gpg4win nach Schlüsseln suchen kann und mit etwas Glück so etwas wie einen "Debian CD Signing Key" findet. Dessen Eigenschaften, vor allem den Fingerabdruck vergleicht man mit den Schlüsseln, die auf dieser Seite aufgeführt sind:
https://www.debian.org/CD/verify.en.html
Stimmt alles kann man dem Schlüssel (hoffentlich) vertrauen und das gpg4win mitteilen.
Dann hätte ich vermutet, dass man an dieser Stelle bereits direkt die Signatur prüfen kann, aber laut diesem Thread im Mintforum ist dem nicht so - viel mehr muss man laut dem Thread den Umweg über ein selbst erstelltes Zertifikat gehen. Im ersten Post gibt es eine komplette Anleitung für Mint:
https://forums.linuxmint.com/viewtopic.php?t=229292
Diese weitere Anleitung (für Windows relativ weit unten auf der Seite) erweckt allerdings den Eindruck als wäre der Umweg über das selbst erstellte Zertifikat gar nicht notwendig:
https://www.howtogeek.com/246332/how-to ... ered-with/
(ich kenne gpg4win nicht, aber mit gefällt die zweite Anleitung besser)
Re: Verständnisproblem mit der Verifizierung
@smutbert
Vielen Dank für deine Hilfe.
Der zweite Link gefällt mir sehr gut, gibt er doch eine gute Beschreibung über die Vorgehensweise mit Gpg4win wieder.
Vielen Dank für deine Hilfe.
Der zweite Link gefällt mir sehr gut, gibt er doch eine gute Beschreibung über die Vorgehensweise mit Gpg4win wieder.