debianforum.de

Hallo zusammen,

mir erschließt sich der Sinn der Verifikation nicht so recht. Vom Prinzip her verstehe ich es. Die .sig-Datei stellt sicher dass mein .iso nicht manipuliert wurde. In den meisten Fällen liegt die Datei aber im selben Serververzeichnis. Wenn nun jemand den Server hackt und eine modifizierte .iso-Datei auf den Server lädt könnte er doch auch gleich die passende .sig-Datei bereit stellen und niemand würde etwas bemerken.

Liege ich mit meiner Annahme richtig? Wie kann ich sicherstellen dass mein Download korrekt ist?

Grüße youngkuza

youngkuza hat geschrieben:Vom Prinzip her verstehe ich es. Die .sig-Datei stellt sicher dass mein .iso nicht manipuliert wurde.

Richtig und soweit auch identisch mit dem Bilden eines Hashs (md5, sha...).

In den meisten Fällen liegt die Datei aber im selben Serververzeichnis. Wenn nun jemand den Server hackt und eine modifizierte .iso-Datei auf den Server lädt könnte er doch auch gleich die passende .sig-Datei bereit stellen und niemand würde etwas bemerken.

Da kommt der Unterschied zum Hash: Es wird nicht nur die Integrität der Daten geprüft, sondern auch die Urheberschaft. Denn die Daten kann nur derjenige signieren, der auch den Schlüssel hat.

tobo hat geschrieben: Da kommt der Unterschied zum Hash: Es wird nicht nur die Integrität der Daten geprüft, sondern auch die Urheberschaft. Denn die Daten kann nur derjenige signieren, der auch den Schlüssel hat.

Dann benötige ich den Schlüssel des Urhebers?

youngkuza hat geschrieben:Dann benötige ich den Schlüssel des Urhebers?

Ja, Du musst den öffentlichen Schlüssel bei dir importieren.