[gelöst]Signatur des Kernels überprüfen!

[Strunz_1975]

Hallo,

ich bin dabei mir von "www.kernel.org" den neusten "Stable-Variante" zu installieren.
Als ich jedoch die Signatur überprüfen wollte, kam folgendes dabei heraus:

gpg --verify *.sign linux-2.6.35.4.tar.bz2
gpg: Unterschrift vom Fr 27 Aug 2010 02:07:07 CEST mittels DSA-SchlÃŒssel ID 517D0F0E
gpg: FALSCHE Unterschrift von "Linux Kernel Archives Verification Key <ftpadmin@kernel.org>"

Ist dieser Kernel kompromittiert worden?

Mfg
Strunz_1975

[KBDCALLS]

Haste auch die richtige Signatur Datei genommen ? Für tar.bz2 und tar.gz gibt jeweils eigene , was ja logisch ist.

[habakug]

Hallo!

Du solltest den Key [1] erst importieren:

Code: Alles auswählen

# gpg --keyserver wwwkeys.pgp.net --recv-keys 0x517D0F0E
> gpg: fordere Schlüssel 517D0F0E von hkp-Server wwwkeys.pgp.net an
> gpg: Schlüssel 517D0F0E: Öffentlicher Schlüssel "Linux Kernel Archives Verification Key <ftpadmin@kernel.org>" importiert

Gruß, habakug

[1] http://kernel.org/signature.html

[Strunz_1975]

Haste auch die richtige Signatur Datei genommen ? Für tar.bz2 und tar.gz gibt jeweils eigene , was ja logisch ist.

-rw-r--r-- 1 werner werner 67M 27. Aug 21:24 linux-2.6.35.4.tar.bz2
-rw-r--r-- 1 werner werner 248 27. Aug 21:39 linux-2.6.35.4.tar.bz2.sign
-rw-r--r-- 1 werner werner 75K 27. Aug 21:23 patch-2.6.35.4.bz2
-rw-r--r-- 1 werner werner 248 27. Aug 21:39 patch-2.6.35.4.bz2.sign

[Strunz_1975]

Hallo!

Du solltest den Key [1] erst importieren:

Code: Alles auswählen

# gpg --keyserver wwwkeys.pgp.net --recv-keys 0x517D0F0E
> gpg: fordere Schlüssel 517D0F0E von hkp-Server wwwkeys.pgp.net an
> gpg: Schlüssel 517D0F0E: Öffentlicher Schlüssel "Linux Kernel Archives Verification Key <ftpadmin@kernel.org>" importiert

Gruß, habakug

[1] http://kernel.org/signature.html

Hab ich ja gemacht!

Mfg
Strunz_1975

[peschmae]

Also bei mir geht das:

Code: Alles auswählen

gpg --verify *.sign linux-2.6.35.4.tar.bz2   2010-08-28 (11:48)
gpg: Signature made Fri 27 Aug 2010 02:07:07 AM CEST using DSA key ID 517D0F0E
gpg: Good signature from "Linux Kernel Archives Verification Key <ftpadmin@kernel.org>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: C75D C40A 11D7 AF88 9981  ED5B C86B A06A 517D 0F0E

Fingerprint des keys siehst du oben, die md5 checksumme der beiden Dateien ist

Code: Alles auswählen

0bb2cd59c13d7412f813c8fbc0769eec  linux-2.6.35.4.tar.bz2
8e2635a16204e6ebedcdb82e9c9c644c  linux-2.6.35.4.tar.bz2.sign

Kannst ja mal vergleichen...

MfG Peschmä

[KBDCALLS]

gpg --verify *.sign linux-2.6.35.4.tar.bz2
gpg: Unterschrift vom Fr 27 Aug 2010 02:07:07 CEST mittels DSA-SchlÃŒssel ID 517D0F0E
gpg: FALSCHE Unterschrift von "Linux Kernel Archives Verification Key <ftpadmin@kernel.org>"

Strunz_1975

Das kann ja auch nicht funtionieren.

Der richtige Aufrug würde so aussehen.

Code: Alles auswählen

gpg --verify linux-2.6.35.4.tar.bz2.sign

Als Beispiel mal

Code: Alles auswählen

gpg --verify linux-2.6.34.1.tar.gz.sign
gpg: Unterschrift vom Mo 05 Jul 2010 20:37:17 CEST mittels DSA-Schlüssel ID 517D0F0E
gpg: Korrekte Unterschrift von "Linux Kernel Archives Verification Key <ftpadmin@kernel.org>"

Habe das ganze mal etwas abgeändert

Code: Alles auswählen

gpg --verify *gz.sign linux-2.6.23.1.tar.gz
gpg: Unterschrift vom Do 18 Dez 2003 04:52:52 CET mittels DSA-Schlüssel ID 517D0F0E
gpg: FALSCHE Unterschrift von "Linux Kernel Archives Verification Key <ftpadmin@kernel.org>"

[Strunz_1975]

Danke euch, für die schnelle Hilfe

Mfg
Strunz_1975

P.S.: Bin halt doch noch ein Newbie!

[peschmae]

Das kann ja auch nicht funtionieren.

Wieso denn nicht? Bei mir gehts ja genau so; und das entspricht auch dem was die Doku sagt.

MfG Peschmä

[KBDCALLS]

Sobald aber mehr als eine Sign Datei und Kernel im Vereichnis sind läuft das * gegen eine Wand.