Willkommen Gast. Bitte einloggen oder registrieren. Haben Sie Ihre Aktivierungs E-Mail übersehen?
13.12.2017, 21:44:36

.
Einloggen mit Benutzername, Passwort und Sitzungslänge

Mitglieder
  • Mitglieder insgesamt: 19250
  • Letzte: Labrat
Statistiken
  • Beiträge insgesamt: 497656
  • Themen insgesamt: 39971
  • Heute online: 470
  • Am meisten online: 679
  • (03.04.2017, 15:20:01)
Benutzer Online

Autor Thema: [gelöst]  Hilfe bei Prüfsumme/Tor/vermutlich einfach  (Gelesen 150 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

[gelöst] Hilfe bei Prüfsumme/Tor/vermutlich einfach
« am: 10.11.2017, 12:31:07 »
Ich habe mir interessehalber mal tor runtergeladen, scheine aber etwas beim prüfen des pakets falsch zu machen.

download erfolgte hier:
https://www.torproject.org/projects/torbrowser.html.en

Hier der Anleitungstext der soweit funktionierte:

Zitat
Mac OS X and Linux

You need to have GnuPG installed before you can verify signatures. If you are using Mac OS X, you can install it from https://www.gpgtools.org/. If you are using Linux, then it's probably you already have GnuPG in your system, as most Linux distributions come with it preinstalled.

The next step is to use GnuPG to import the key that signed your package. The Tor Browser team signs Tor Browser releases. Import its key (0x4E2C6E8793298290) by starting the terminal (under "Applications" in Mac OS X) and typing:

gpg --keyserver pool.sks-keyservers.net --recv-keys 0x4E2C6E8793298290

After importing the key, you can verify that the fingerprint is correct:
https://www.torproject.org/projects/torbrowser.html.en
gpg --fingerprint 0x4E2C6E8793298290

You should see:

    pub   4096R/93298290 2014-12-15
          Key fingerprint = EF6E 286D DA85 EA2A 4Bhttps://www.torproject.org/projects/torbrowser.html.enhttps://www.torproject.org/projects/torbrowser.html.enA7  DE68 4E2C 6E87 9329 8290
    uid                  Tor Browser Developers (signing key)
    sub   4096R/F65C2036 2014-12-15
    sub   4096R/D40814E0 2014-12-15
    sub   4096R/C3C07136 2016-08-24

To verify the signature of the package you downloaded, you will need to download the ".asc" file as well. Assuming you downloaded the package and its signature to your Downloads folder, run:

Pfad der heruntergeladenen Pakete ist
~/Downloads
in der Anleitung heißt es weiter:
Zitat
For Linux users (change 64 to 32 if you have the 32-bit package):

gpg --verify tor-browser-linux64-7.0.9_en-US.tar.xz.asc tor-browser-linux64-7.0.9_en-US.tar.xz

The output should say "Good signature":

    gpg: Signature made Tue 24 Jan 2015 09:29:09 AM CET using RSA key ID D40814E0
    gpg: Good signature from "Tor Browser Developers (signing key) "
    gpg: WARNING: This key is not certified with a trusted signature!
    gpg:          There is no indication that the signature belongs to the owner.
    Primary key fingerprint: EF6E 286D DA85 EA2A 4BA7  DE68 4E2C 6E87 9329 8290

 Currently valid subkey fingerprints are:

    5242 013F 02AF C851 B1C7  36B8 7017 ADCE F65C 2036
    BA1E E421 BBB4 5263 180E  1FC7 2E1A C68E D408 14E0
    A430 0A6B C93C 0877 A445  1486 D148 3FA6 C3C0 7136


nun änderte ich

gpg --verify tor-browser-linux64-7.0.9_en-US.tar.xz.asc tor-browser-linux64-7.0.9_en-US.tar.xz
zu

~/Downloads $ gpg --verify tor-browser-linux64-7.0.9_de.tar.xz.asc tor-browser-linux64-7.0.9_de.tar.xz
gpg: 'tor-browser-linux64-7.0.9_de.tar.xz.asc' kann nicht geöffnet werden
gpg: verify signatures failed: Fehler beim Öffnen der Datei

Natürlich habe ich beide 64-bitDownloads für Linux gemacht und die Archive ver- und entpackt im Downloads Ordner liegen.

kann mich jemand in die richtige richtung schubsen?
« Letzte Änderung: 20.11.2017, 01:25:29 von Avoca »

Re: Hilfe bei Prüfsumme/Tor/vermutlich einfach
« Antwort #1 am: 10.11.2017, 13:18:09 »
Hi,
du musst auch die Signatur speichern. Ohne .asc File geht das nicht.
https://dist.torproject.org/torbrowser/7.0.9/tor-browser-linux64-7.0.9_de.tar.xz.asc

gpg --keyserver pool.sks-keyservers.net --recv-keys 0x4E2C6E8793298290gpg --fingerprint 0x4E2C6E8793298290
gpg --verify tor-browser-linux64-7.0.9_de.tar.xz.asc tor-browser-linux64-7.0.9_de.tar.xz
Bei mir kommt dann folgende Ausgabe:
gpg: Signatur vom Fr 03 Nov 2017 09:55:16 CET
gpg:                mittels RSA-Schlüssel D1483FA6C3C07136
gpg: Korrekte Signatur von "Tor Browser Developers (signing key) <torbrowser@torproject.org>" [unbekannt]
gpg: WARNUNG: Dieser Schlüssel trägt keine vertrauenswürdige Signatur!
gpg:          Es gibt keinen Hinweis, daß die Signatur wirklich dem vorgeblichen Besitzer gehört.
Haupt-Fingerabdruck  = EF6E 286D DA85 EA2A 4BA7  DE68 4E2C 6E87 9329 8290
Unter-Fingerabdruck  = A430 0A6B C93C 0877 A445  1486 D148 3FA6 C3C0 7136



« Letzte Änderung: 10.11.2017, 13:25:27 von Moridian »

Re: Hilfe bei Prüfsumme/Tor/vermutlich einfach
« Antwort #2 am: 18.11.2017, 00:21:30 »
das funktionierte schonmal zur hälfte.

$ gpg --keyserver pool.sks-keyservers.net --recv-keys 0x4E2C6E8793298290
gpg: Schlüssel 93298290 von hkp-Server pool.sks-keyservers.net anfordern
gpg: Schlüssel 93298290: "Tor Browser Developers (signing key) <torbrowser@torproject.org>" 2 neue Signaturen
gpg: Keine uneingeschränkt vertrauenswürdigen Schlüssel gefunden
gpg: Anzahl insgesamt bearbeiteter Schlüssel: 1
gpg:         neue Signaturen: 2

gpg --fingerprint 0x4E2C6E8793298290
pub   4096R/93298290 2014-12-15 [verfällt: 2020-08-24]
      Schl.-Fingerabdruck = EF6E 286D DA85 EA2A 4BA7  DE68 4E2C 6E87 9329 8290
uid                  Tor Browser Developers (signing key) <torbrowser@torproject.org>
sub   4096R/C3C07136 2016-08-24 [verfällt: 2018-08-24]


Aber:

Zitat
$ gpg --verify tor-browser-linux64-7.0.9_de.tar.xz.asc tor-browser-linux64-7.0.9_de.tar.xz
gpg: 'tor-browser-linux64-7.0.9_de.tar.xz.asc' kann nicht geöffnet werden
gpg: verify signatures failed: Fehler beim Öffnen der Datei

Wobei es keinen unterschied machte ob der Befehl aus ~ oder dem Downloads Ordner selbst gestartet wurde.

Mit "$ ls" ist dort (unter anderem) zu finden:

tor-browser-linux64-7.0.9_ar.tar.xz
tor-browser-linux64-7.0.9_de.tar.xz
tor-browser_ar
tor-browser_de

also die ge und entpackten Daten.

asc datei speichern versuche ich mal...

Edit:

Nach dem Anlegen und Benennen der asc datei:

$ gpg --verify tor-browser-linux64-7.0.9_de.tar.xz.asc tor-browser-linux64-7.0.9_de.tar.xz
gpg: Unterschrift vom Fr 03 Nov 2017 09:55:16 CET mittels RSA-Schlüssel ID C3C07136
gpg: Korrekte Unterschrift von »Tor Browser Developers (signing key) <torbrowser@torproject.org>«
gpg: WARNUNG: Dieser Schlüssel trägt keine vertrauenswürdige Signatur!
gpg:          Es gibt keinen Hinweis, daß die Signatur wirklich dem vorgeblichen Besitzer gehört.
Haupt-Fingerabdruck  = EF6E 286D DA85 EA2A 4BA7  DE68 4E2C 6E87 9329 8290
     Unter-Fingerabdruck  = A430 0A6B C93C 0877 A445  1486 D148 3FA6 C3C0 7136


Ist das jetzt so wie es sein soll? "Es gibt keinen Hinweis, daß die Signatur wirklich dem vorgeblichen Besitzer gehört." irritiert mich ein wenig, aber ich bin auch mit dem Vorgang nicht vertraut.
« Letzte Änderung: 18.11.2017, 00:31:07 von Avoca »

Re: Hilfe bei Prüfsumme/Tor/vermutlich einfach
« Antwort #3 am: 18.11.2017, 00:47:47 »
Ich habe überhaupt nichts entpackt.
Habe das File herunter geladen und sie Signatur. Dann vom Terminal im Download Verzeichnis den Befehl ausgeführt.
gpg --verify tor-browser-linux64-7.0.9_de.tar.xz.asc tor-browser-linux64-7.0.9_de.tar.xz
Die Signatur wird automatisch als .asc gespeichert.

Das hier ist der wichtige Teil, der muss übereinstimmen.
Haupt-Fingerabdruck  = EF6E 286D DA85 EA2A 4BA7  DE68 4E2C 6E87 9329 8290
Unter-Fingerabdruck  = A430 0A6B C93C 0877 A445  1486 D148 3FA6 C3C0 7136
« Letzte Änderung: 18.11.2017, 00:51:35 von Moridian »