Verifizierung mit Kleopatra unter Win7

[TuxHomie]

Hallo zusammen,
ich habe mir die debian-9.8.0-amd64-netinst.iso heruntergeladen und wollte sie unter Win7 mit Kleopatra überprüfen. Entschlüsseln/Überprüfen, wie ich dies bei anderen Distris gemacht habe funktioniert nicht - Fehlermeldung.
Prüfsummen-Dateien (md5sum.txt) verifizieren hingegen schon. Keine Fehler aufgetreten. Hier werden Ordner und Dateien aufgelistet, einige davon sind grün.
Wenn ich dies bzw. die div. Threads zum Thema Verifizierung richtig verstanden habe, ist die iso quasi vollständig bzw. korrekt.
Bzgl. Sicherheit am besten nicht vom Server sondern via Torrent herunterladen.
Richtig?

[willy4711]

Bzgl. Sicherheit am besten nicht vom Server sondern via Torrent herunterladen.
Richtig?

Wenn du meinst dass da extra für dich von Internet Gott eine geheiligte und gesalbte Datei erstellt wird ----- richtig.
Sonst werden wohl die Dateien von den gleichen Servern kommen.

[DeletedUserReAsG]

Sonst werden wohl die Dateien von den gleichen Servern kommen.

Du weißt, wie Bittorrent funktioniert? Während $angreifer ein Image auf einem Server recht einfach austauschen könnte, wird’s mit einem Image von vielen verschiedenen Quellen schon schwieriger. Klar könnte er noch die *.torrent-Datei austauschen, das würde aber recht schnell auffallen (wenn nämlich unangekündigt die lokalen Files der User nicht mehr passen). Insofern ist’s schon eine nachvollziehbare Überlegung – ganz abgesehen davon, dass die Debianserver entlastet werden.

On-Topic: die Images sind signiert, Daten unter https://www.debian.org/CD/verify
Was allerdings das Problem mit kleopatra ist, weiß ich nicht – nutze ich nicht. Gibt’s GPG (PGP sollte auch gehen) nicht auch für Win als CLI-Programm? Damit könnte man’s auf die altbewährte Weise verifizieren.

[TuxHomie]

Hallo niemand,
Danke für den Link, kenne ich aber schon bzw. Schlüssel auch bereits importiert, aber irgendwie bekomme ich die Überprüfung nicht hin...

Jedenfalls zeigt mir HashMyFiles die gleichen Prüfsummen an. Dann sollte dies doch auch passen, oder?

Torrent:
MD5: e0a43cbb8b991735c1b38e7041019658
SHA1: 6e6f27a4c187dcc0a73aee4dd8d780575defd293
SHA256: 73bd56fb4548efa384bf32fd25808b99198f81c23cf19ab9e6507d898cd58dce

Server:
MD5: e0a43cbb8b991735c1b38e7041019658
SHA1: 6e6f27a4c187dcc0a73aee4dd8d780575defd293
SHA256: 73bd56fb4548efa384bf32fd25808b99198f81c23cf19ab9e6507d898cd58dce

Danke, TuxHomie.

PS: Kleopatra = gpg4win

[DeletedUserReAsG]

Ist das was anderes, als kleopatra? Das wäre nur ’n Frontend für GPG.

[TuxHomie]

gpg4win installiert Gpg4win & GNU Privacy Guard, so wird es unter Programme angezeigt.
In der Programmauswahl nennt sich dies dann Kleopatra & GPA. Warum auch immer.
Jedenfalls bin ich ein fester
Hab es leider nicht gesehen , die Signaturen für die netinst.iso ist ja auch hier... - https://cdimage.debian.org/debian-cd/cu ... 64/iso-cd/
Sorry und Danke für deine Hilfe!

[Swirlich]

die Windows-Shell kann auch Prüfsummen auslesen

Code: Alles auswählen

CertUtil -hashfile C:\path\to\foo MD5 // md5-Prüfsumme

ein SHA1, SHA256 anstelle von MD5 liefert das entsprechende Ergebnis