Sie sind nicht angemeldet.

[gelöst] Verifizieren der heruntergeladenen ISO Datei (install-x86-minimal-2008.0.iso)

Lieber Besucher, herzlich willkommen bei: GentooForum.de. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.

make.conf

Fortgeschrittener

  • »make.conf« ist männlich
  • »make.conf« ist der Autor dieses Themas

Beiträge: 237

  • Nachricht senden

1

14.09.2008, 14:09

Verifizieren der heruntergeladenen ISO Datei (install-x86-minimal-2008.0.iso)

Hallo Forum,
mal ne kurze Frage:

Warum gibt es für die aktuelle install-x86-minimal-2008.0.iso keine zugehörige gpg Signatur auf den jeweiligen mirrors? Für die ältere install-x86-minimal-2007.0-r1.iso ist diese ja, soweit ich das gesehen habe, vorhanden. Wie prüfe ich nun das aktuelle release? Sollte man da lieber noch zum 2007er release greifen oder ist das zu paranoid?

Fragen über Fragen...

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »make.conf« (23.09.2008, 12:08)

devion

Fortgeschrittener

  • »devion« ist männlich

Beiträge: 261

  • Nachricht senden

2

14.09.2008, 14:23

Hmm, ich denke die haben die PGP Signature in die *.DIGESTS Datei integriert.
Schau dir mal die Datei unter Link an

Quellcode

 
1

stage3-x86-2008.0.tar.bz2.DIGESTS


Hier ist die PGP Signatur in der DIGESTS datei:

Quellcode

 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

# MD5 HASH
dde770c062f85f31fea4308f04b83cb2  ./stage3-x86-2008.0.tar.bz2
# SHA1 HASH
0ce450a417815432e3ff645051409e2a50e75223  ./stage3-x86-2008.0.tar.bz2
# MD5 HASH
a4bcc6db615e891cb00fc66be4015b67  ./stage3-x86-2008.0.tar.bz2.CONTENTS
# SHA1 HASH
36cffa45e6e96398e3a6f099198740da54d4eb22  ./stage3-x86-2008.0.tar.bz2.CONTENTS
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.7 (GNU/Linux)

iD8DBQFIb5aPnmQ4yBcHIFgRAhz7AJ9S027yxgDfxHb9Yo9T92wRuvzbowCeKFV4
hk7R78wB4UN3J9U2DSBuexA=
=3v2Y
-----END PGP SIGNATURE-----


Beim 2007er Release gibts dazu ne extra Datei.

greetz
To mess up a Linux box, you need to work at it; to mess up your Windows box, you just need to work on it.

make.conf

Fortgeschrittener

  • »make.conf« ist männlich
  • »make.conf« ist der Autor dieses Themas

Beiträge: 237

  • Nachricht senden

3

14.09.2008, 14:36

Hallon,
die DIGEST Datei hab ich schon probiert, mit der erhalte ich aber nur ein:

Quellcode

 
1

gpg: not a detached signature


Wenn ich die DIGEST Datei als *.asc abspeichere und den Teil vor -----BEGIN PGP SIGNATURE----- lösche, erhalte ich dann:

Quellcode

 
1
2
3

gpg: can't handle text lines longer than 19995 characters
gpg: Signature made Sat 05 Jul 2008 05:43:17 PM CEST using DSA key ID 17072058
gpg: BAD signature from "Gentoo Linux Release Engineering (Gentoo Linux Release Signing Key) <releng@gentoo.org>"


Hmmm.

josef.95

OSI Layer 8

Beiträge: 7 674

  • Nachricht senden

4

23.09.2008, 06:26

Schau mal hier
http://www.gentoo.org/doc/de/handbook/20…ll=1#book_part1
Abschnitt
2.c. Downloaden, Brennen und Booten der Installer LiveCD

Quellcode

 
1
2
3
4
5

Befehlsauflistung 3.1: Beziehen des Public Key
$ gpg --keyserver subkeys.pgp.net --recv-keys 17072058

Befehlsauflistung 3.2: Verifizieren der kryptografischen Signatur
$ gpg --verify <Signatur Datei> <heruntergeladenes ISO>


Ich denke dies sollte deine Frage beantworten ;)

fr. Gruß

make.conf

Fortgeschrittener

  • »make.conf« ist männlich
  • »make.conf« ist der Autor dieses Themas

Beiträge: 237

  • Nachricht senden

5

23.09.2008, 06:39

Hallo josef.95,

der Schritt ist schon klar, nur gibt es eben auf den mirrors KEINE *.asc Datei (Signatur), mit der ich das 2008er ISO Abbild prüfen kann. In den Verzeichnissen für die 2007er releases ist diese jedoch vorhanden.

Gruß
Felix

josef.95

OSI Layer 8

Beiträge: 7 674

  • Nachricht senden

6

23.09.2008, 07:42

Ahrrg, sorry
ich hätte deine post etwas gründlicher lesen sollen..
Du hast recht, beim 2008er ist es zZt. tatsächlich nicht möglich ein
Signatur file (.sig or .asc)
zu erhalten ?(
Dies ist sicher so nicht in Ordnung, denke aber das du Alternativ

Quellcode

 
1
2
3

$ md5sum -c install-x86-minimal-2008.0.iso.DIGESTS
./install-x86-minimal-2008.0.iso: OK
./install-x86-minimal-2008.0.iso.CONTENTS: OK
vertrauen kannst.

fr. Gruß

make.conf

Fortgeschrittener

  • »make.conf« ist männlich
  • »make.conf« ist der Autor dieses Themas

Beiträge: 237

  • Nachricht senden

7

23.09.2008, 08:58

Jo, demnächst werde ich mein nagelneues Notebook mit Gentoo installieren...dann prüf ich das ISO Abbild voher mit md5sum. GnuPG wär mir halt lieber gewesen :o)

Häufig verwendete Suchbegriffe:

www.my-echo.de mobile-parts-discount.net Andere Architekturen Lob & Kritik Gentoo Linux bka trojaner finden Emerge Probleme softwaregarage.de Drucker Linux Computer und Notebooks