Sie sind nicht angemeldet.

Lieber Besucher, herzlich willkommen bei: Ubuntu-Forum & Kubuntu-Forum | www.Ubuntu-Forum.de. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.

  • »siggi2« ist der Autor dieses Themas

Beiträge: 44

Registrierungsdatum: 25.06.2007

  • Nachricht senden

1

03.11.2010, 21:45

was mache ich mit einer ".tar.bz2.sig" Datei?

Ubuntu 10.04.1, 23bit
*************************

Hallo,
trotz Suchens nach ".sig" oder ".tar.bz2.sig" habe ich im Forum nichts dazu gefunden.

Problem: Über http://www.geany.org/ bin ich auf http://plugins.geany.org/geany-plugins/ gekommen, Dort habe ich mir geany-plugins-0.19.tar.bz2 heruntergeladen. Und geany-plugins-0.19.tar.bz2.sig, weil ich annehme, dass diese Datei etwas mit geany-plugins-0.19.tar.bz2 zu tun hat. Leider kann ich geany-plugins-0.19.tar.bz2.sig nicht öffnen, weder mit dem Archiv Manager noch mit gedit. Gibt es irgendwo eine Anleitung, wie ich mit dieser ".sig"-Datei umgehe?

Danke schon mal.

Gruss,

siggi2

P.S. Ich hatte Geany-0.19 von Source installiert, und wollte jetzt die Plugins dazu installieren.

2

03.11.2010, 21:52

Hallo,

die .sig-Dateien sind PGP-Signaturen, mit denen du die Authentizität des Pakets überprüfen kannst. Für die Installation deiner Plugins sind sie also nicht von großer Bedeutung.
~ Two hours of trial and error can save ten minutes of RTFM ~

3

03.11.2010, 23:41

Um die eigentliche Frage auch zu behandeln:
Sobald beide Dateien vorliegen, kann mit gpg die Unverfälschtheit der Datei geprüft werden ->

Quellcode

1
gpg --verify geany-plugins-0.19.tar.bz2.sig geany-plugins-0.19.tar.bz2

Näheres in 'man gpg'.
mir is wurscht

  • »siggi2« ist der Autor dieses Themas

Beiträge: 44

Registrierungsdatum: 25.06.2007

  • Nachricht senden

4

04.11.2010, 10:50

Danke Fredl, aber jetzt wird ein 'public key' gesucht:

Quellcode

1
2
3
4
~/Downloads$ gpg --verify geany-plugins-0.19.tar.bz2.sig geany-0.19.1.tar.bz2
gpg: Signature made Sun 13 Jun 2010 06:52:23 PM CEST using DSA key ID 8F02A411
gpg: Can't check signature: public key not found
~/Downloads$


Und 'man gpg' sagt mir kryptisch:

Quellcode

1
2
3
4
5
6
7
8
9
10
11
--list-public-keys
              List all keys from the public keyrings, or just the  keys  given
              on  the command line.  -k is slightly different from --list-keys
              in that it allows only for one argument  and  takes  the  second
              argument  as  the  keyring  to search.  This is for command line
              compatibility with PGP 2 and has been removed in gpg2. 

              Avoid using the output of this command in scripts or other  pro‐
              grams  as  it  is likely to change as GnuPG changes. See --with-
              colons for a  machine-parseable  key  listing  command  that  is
              appropriate for use in scripts and other programs.


wobei ich mit der Zeile "Avoid using the output of this command in scripts or other programs as it is likely to change as GnuPG changes" nicht so recht weiss, soll ich "--list-public-keys" in den obigen 'gpg --veryfy'-Befehl einfügen oder nicht?

Gruss, siggi2

5

04.11.2010, 12:11

Ist in deiner ~/.gnupg/gpg.conf ein keyserver eingetragen?
Per default stehen zwar welche drin, sind aber auskommentiert.

Quellcode

1
grep keyserver ~/.gnupg/gpg.conf

Ich habe diese beiden aktiviert, der erste müsste aber genügen:

Quellcode

1
2
keyserver x-hkp://pool.sks-keyservers.net
keyserver hkp://subkeys.pgp.net

Damit sollte dann obiges Kommando ohne weiteres Zutun laufen. Wenn du dort nichts ändern möchtest, kannst du auch den keyserver für einen Aufruf in der Kommandozeile angeben:

Quellcode

1
gpg --keyserver hkp://subkeys.pgp.net --verify geany-plugins-0.19.tar.bz2.sig geany-plugins-0.19.1.tar.bz2


Der öffentliche Schlüssel des Signierers muss natürlich vorhanden sein, um die Signatur verifizieren zu können. Natürlich kannst du ihn alternativ auch manuell holen und deinem Schlüsselbund zufügen, falls du öfters seine Signaturen prüfen möchtest.
Das wäre dann

Quellcode

1
gpg --recv-keys 8F02A411
mir is wurscht

  • »siggi2« ist der Autor dieses Themas

Beiträge: 44

Registrierungsdatum: 25.06.2007

  • Nachricht senden

6

04.11.2010, 20:16

Ich habe jetzt alle deine Anleitungen durchgeführt, Fredl, immer wird nach dem public key "gejammert". Manuell habe ich noch nicht probiert, ich muss erst mal verstehen, worum es da geht. Um einen Keyring hatte ich mich bisher noch nie gekümmert.

Es dauert sicher lange, bis ich durchblicke. Dann melde ich mich wieder. Bis dahin danke schon mal,

siggi2

7

04.11.2010, 20:38

Sorry, hatte nochwas übersehen. :whistling:
--auto-key-retrieve, damit gpg den Schlüssel vom Keyserver holt. Wenn du ihn allerdings vorher manuell mit --recv-keys holst, braucht er das auch nicht mehr. Im Zuge des Nachstellens der Situation habe ich obendrein bemerkt, daß der Schlüssel auch bei einmaliger Signaturprüfung sowieso im Schlüsselring gespeichert wird, also bei späteren Abfragen nicht mehr neu geholt werden muss.
Ein vollständiger Aufruf wäre demnach:

Quellcode

1
gpg --auto-key-retrieve --keyserver x-hkp://pool.sks-keyservers.net --verify geany-plugins-0.19.tar.bz2.sig geany-plugins-0.19.tar.bz2
Da steht jetzt wirklich alles drin. :)
Die entsprechenden Optionen (keyserver und auto-key-retrieve) gleich in der gpg.conf zu speichern, ist auf jeden Fall bequemer.
mir is wurscht

  • »siggi2« ist der Autor dieses Themas

Beiträge: 44

Registrierungsdatum: 25.06.2007

  • Nachricht senden

8

05.11.2010, 11:50

Hab's jetzt so gemacht, mit vollständigem Aufruf. Aber wenn ich das richtig sehe, kann ich der Datei geany-plugins-0.19.tar.bz2 nicht vertrauen?

So sieht es aus:

Quellcode

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
~/Downloads$ gpg --auto-key-retrieve --keyserver x-hkp://pool.sks-keyservers.net --verify geany-plugins-0.19.tar.bz2.sig geany-plugins-0.19.tar.bz2
gpg: WARNING: "--auto-key-retrieve" is a deprecated option
gpg: please use "--keyserver-options auto-key-retrieve" instead
gpg: Signature made Sun 13 Jun 2010 06:52:23 PM CEST using DSA key ID 8F02A411
gpg: requesting key 8F02A411 from hkp server pool.sks-keyservers.net
gpg: key 8F02A411: public key "Chow Loong Jin <hyperair@ubuntu.com>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg:               imported: 1
gpg: Good signature from "Chow Loong Jin <hyperair@ubuntu.com>"
gpg:                 aka "Chow Loong Jin <hyperair@gmail.com>"
gpg:                 aka "Chow Loong Jin <chow0082@ntu.edu.sg>"
gpg:                 aka "Chow Loong Jin <chow0082@e.ntu.edu.sg>"
gpg:                 aka "Chow Loong Jin <dir.startups@ntuoss.org>"
gpg:                 aka "Chow Loong Jin (Launchpad key) <hyperair@gmail.com>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 98EB 9F25 A389 3538 15F3  C43B E0B1 5C52 8F02 A411
~/Downloads$

9

05.11.2010, 13:48

Der Datei kannst du vertrauen, die Signatur dazu ist gültig.
Allerdings ist das Vertrauen in die Signatur selbst nicht allzu groß. Niemand hat geprüft, ob Chow Loong Jin wirklich existiert und diese SIgnatur wirklich selbst erzeugt hat. :) Am besten liest du dazu im Web etwas über das Prinzip des "Web of trust" nach.

Jedenfalls ist die Datei nicht verfälscht worden, seit der Autor sie signiert hat. Die Gegenprobe ist einfach: Mach von der *.bz2 eine Kopie, entpacke diese, verändere ein bisschen was und packe sie wieder zusammen. Danach muss die Prüfung sofort die Fälschung aufzeigen.

Quellcode

1
2
3
4
5
6
cp geany-plugins-0.19.tar.* /tmp/
cd /tmp/
tar xjf  geany-plugins-0.19.tar.bz2  # entpackt sich nach "unterverzeichnis"
touch unterverzeichnis/test #eine neue Datei hineinschummeln
tar cjf geany-plugins-0.19.tar.bz2 unterverzeichnis/
gpg --auto-key-retrieve --keyserver x-hkp://pool.sks-keyservers.net --verify ./geany-plugins-0.19.tar.bz2.sig ./geany-plugins-0.19.tar.bz2

Meist reicht schon das Ent- und wieder Einpacken, weil durch unterschiedliche Kompressionsalgorithmen eine veränderte Datei herauskommt.
mir is wurscht

  • »siggi2« ist der Autor dieses Themas

Beiträge: 44

Registrierungsdatum: 25.06.2007

  • Nachricht senden

10

05.11.2010, 15:55

Vielen Dank! Ich habe den Test mit "test" gemacht und es hat mich überzeugt :)

P.S. Jetzt muss ich nur noch herauskriegen, wie ich das Plug-in für Geany 0.19 in diese Version hineinkriege. zunächst klappt's nicht, weil ja die Ubuntu-default-Version 0.18 auch da ist. Falls ich's nicht hinkriege, werde ich wohl wieder einen Thread aufmachen müssen :(