Ladattujen tiedostojen varmistamisesta

[FrontSchwein]

Kun latailen avoimen lähdekoodin softia tai käyttiksiä koneelleni, löytyy palvelimien hakemistoista monesti varsinaisten tiedostojen lisäksi tiedostoja kuten SHA256SUMS, millä voin tarkistaa että ladattu tiedosto pitäisi olla sama kuin palvelimella. Unix-sukuisille käyttiksille ja windowsillekin löytyy ohjelmia joilla tuon tarkistuksen voi tehdä. Seuraava vaihe olisi varmistaa jotenkin että se tiivisteet sisältävä tiedosto on sisällöltään sellainen kuin on tarkoituskin. Siihenkin löytyy keinot, ainakin joissain tapauksissa. Esim. Debianin tapauksessa löytyy tämmäinen ohje: Verifying authenticity of Debian CDs .
Ja sitten päästäänkin pariin juttuun tähän liittyen mistä pitäisi päästä selvyyteen mutta väsähdin kesken selvittelyssä.

Eli
1.
mitenkäs Windows 10:n kanssa saan vaikkapa Debian 11:sta iso-tiedoston tarkistettua? Siis myös sen SHA512SUMS:in allekirjoituksen oikeellisuuden kanssa? GtkHash'ia osaan käyttää.

2. sitten sellainen tapaus että löytyisi mökiltä pöytäkone ja 1,5 vuotta sitten polteltu Debian 10 livecd mutta nettiyhteyttä ei. Mitenkäs tässä tapauksessa ne D11:sta varmistushommat. Onnistuisiko allekirjoituksen tarkistus hyödyntämällä pakettia debian-keyring jotenkin?

bonuskyssärinä:

mitenkäs FreeBSD:n kanssa vastaavat tarkistukset tehdään? Voiko käyttää Linuxin gpg'tä vai miten tuo menee?

Tässä siis mitään nyypiöitä olla mutta peruskäyttöä kummempi atk-puuhastelu on satunnaista.

 

[JiiPee]

mitenkäs Windows 10:n kanssa saan vaikkapa Debian 11:sta iso-tiedoston tarkistettua? Siis myös sen SHA512SUMS:in allekirjoituksen oikeellisuuden kanssa? GtkHash'ia osaan käyttää.

7-zip kun asentaa niin ainakin ittellä on oikean hiiren napin kanssa tiedoston päällä clikattuna valikossa "CRC SHA" alivalikko josta saa tehtyä SHA256 tarkistuksen.

Eiköhän siitä FreeBSD:stä löydy se ihan sama gnupgp kuin linuksista.

 

[FrontSchwein]

Windows-tapauksessa ongelma ei ole se miten saan tarkistettua .iso-tiedoston SHA512SUMS'ia vastaan.
Vaan se miten sen SHA512SUMS'in allekirjoituksen tarkistaa. Edellisen kerran kun puuhastelin niin löysin kyllä jonkin komentorivi-gpg'n mikä W10 kanssa toimi. Tökkäsi muistaakseni siihen että se softa ei luottanut siihen noudettuun julkiseen avaimeen.

 

[eebenz]

Lataat torrentilla sen iso tiedoston, niin ei tarvitse käsin mitään tarkistaa eikä turhaan kuormita debianin palvelimia Downloading Debian CD images with BitTorrent

 

[FrontSchwein]

Mitä taas FreeBSD:hen tulee
Index of /ftp/releases/amd64/amd64/ISO-IMAGES/12.2/
tuolta löytyy kyllä ne CHECKSUM.SHA256-FreeBSD-12.2-RELEASE-amd64 ja CHECKSUM.SHA512-FreeBSD-12.2-RELEASE-amd64 . Mutta mitenkäs niiden allekirjoitukset tarkistetaan? FreeBSD 12.2 Release Checksum Signatures tuolla näyttäisi olevan allekirjoitettujakin juttuja mutta pitäisikö siis linuxin gpg'llä tai jollain onnistua tarkistus? Ja jos, niin miten?

Satunnaiseen virtualbox-puuhasteluun varmaan riittää että tarkistaa vain sha'n mutta silleen niinqu oikeesti pitäisi ne sigutkin...

Tai ehkä pitäisi mennä nukkumaan välillä.

 

[eebenz]

Onnistuu gpg:llä tuomalla ensin julkisen avaimen ohjelmaan gpg --import komennolla ja sitten varmistamalla tiedoston gpg --verify.

Edit: Näköjään koko avainnippu pitää importata. Siellä on sitten joku kehittäjistä allekirjoittanut julkaisun https://docs.freebsd.org/en/articles/pgpkeys/

user@DESKTOP-QGN7VJ7:~$ gpg --import pgpkeys.txt

user@DESKTOP-QGN7VJ7:~$ gpg --verify CHECKSUM.SHA256-FreeBSD-13.0-RELEASE-amd64.asc
gpg: Signature made Tue 13 Apr 2021 06:45:44 PM EEST
gpg: using RSA key 8D12403C2E6CAB086CF64DA3031458A5478FE293
gpg: Good signature from "Glen Barber <gjb@FreeBSD.org>" [unknown]
gpg: aka "Glen Barber <glen.j.barber@gmail.com>" [unknown]
gpg: aka "Glen Barber <gjb@glenbarber.us>" [unknown]
gpg: aka "Glen Barber <gjb@keybase.io>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 78B3 42BA 26C7 B2AC 681E A7BE 524F 0C37 A0B9 46A3
Subkey fingerprint: 8D12 403C 2E6C AB08 6CF6 4DA3 0314 58A5 478F E293

 

[JiiPee]

Mitä taas FreeBSD:hen tulee
Index of /ftp/releases/amd64/amd64/ISO-IMAGES/12.2/
tuolta löytyy kyllä ne CHECKSUM.SHA256-FreeBSD-12.2-RELEASE-amd64 ja CHECKSUM.SHA512-FreeBSD-12.2-RELEASE-amd64 . Mutta mitenkäs niiden allekirjoitukset tarkistetaan? FreeBSD 12.2 Release Checksum Signatures tuolla näyttäisi olevan allekirjoitettujakin juttuja mutta pitäisikö siis linuxin gpg'llä tai jollain onnistua tarkistus? Ja jos, niin miten?

Satunnaiseen virtualbox-puuhasteluun varmaan riittää että tarkistaa vain sha'n mutta silleen niinqu oikeesti pitäisi ne sigutkin...

Tai ehkä pitäisi mennä nukkumaan välillä.

Oon vähän sitä mieltä että nykyisin kun https:n kanssa puljataan niin sulla on jo aika kova varmistus siinä. En kyllä ole itte tarkistellu ikinä noita. Varmistaa sen että lataa töryt virallisilta sivuilta.
Mut jos jonkuu antiikkisen ftp:n kanssa haluaa puljata niin sitten tietty on hyvä tarkistaa.

 

[FrontSchwein]

Aloitusviestissä kun kyselin sitä miten W10 alaisuudessa saisi tiedoston SHA512SUMS allekirjoituksen tarkistettua, siitä tekisi mieli jatkaa. Eli softan gpg4win(Gpg4win - Secure email and file encryption with GnuPG for Windows) lataamisen ja asentamisen jälkeen menin cmd.exe:n alla sanomaan:
gpgv SHA512SUMS.sign SHA512SUMS siinä hakemistossa minne latasin myös debian11 netinstall iso:n .
Antoi palautetta että:

gpgv : unknown type of key resource 'trustedkeys.kbx'
gpgv: keyblock resource 'C:\Users\xxx\AppData\Roaming\gnupg\trustedkeys.kbx' : General error
gpgv: signature made n.n.2021 xx.xx.xx Suomen kesäaika
gpgv: using RSA key DF9B9C49EAA9298432589D76DA87E80D6294BE98
gpgv: Allekirjoitusta ei voitu tarkistaa: no public key

tässä tilanteessa pitäisi kai hakea se julkinen avain koneelle, right?
Tai siis olen yhdellä toisella koneella tätä samaa juttua kokeillut, avaimen sain jollain loitsulla(mikä se nyt taas olikaan) haettua mutta tuli urputusta jonka tulkitsin siten että noudettuun avaimeen ei voida luottaa. Mitenkäs tästä eteenpäin?

Edit2. gpg --keyserver keyring.debian.org --receive-keys DF9B9... johti lopulta siihen että "debian cd signing key" lisättiin tiedostoon pubring.kbx. Seuraavaksi pitäisi saada komentorivi-gpg:lle sanottua että "käyttäen tätä julkista avainta, tarkista täsmääkö tiedoston SHA512SUMS sisältö allekirjoitukseen tiedostossa SHA512SUMS.sign" . Miten se taas tapahtuikaan...

Btw. kenelläkään ideoita cmd.exe:n korvaavaksi softaksi? Tekstin copy/paste molempiin suuntiin niinqu linuxissa olisi kiva juttu nimittäin.

 

[FrontSchwein]

No nyt kun sammutin Kleopatran pois sotkemasta ja yritin uudelleen "gpg --verify SHA51SUMS.sign SHA51SUMS" niin tuli se "Good signature from Debian CD signing key" , mikä pitikin.
Mukana tuli myös se urputus "VAROITUS tätä avainta ei ole varmennettu...". Jotain samantapaista taisi tulla silloin viikkoja aiemmin.
Ehkä tämä asia on jo kunnossa. (sen verran kun voi olla)

 

[kaakau<"'\\/>]

Oon vähän sitä mieltä että nykyisin kun https:n kanssa puljataan niin sulla on jo aika kova varmistus siinä. En kyllä ole itte tarkistellu ikinä noita. Varmistaa sen että lataa töryt virallisilta sivuilta.
Mut jos jonkuu antiikkisen ftp:n kanssa haluaa puljata niin sitten tietty on hyvä tarkistaa.

Jos joku pääsee palvelimelle, niin HTTPS ei auta estämään ettei se saisi haittakoodiaan ohjelmistoon, eikä hashitkaan auta. PGP-allekirjoituksia se ei pysty väärentämään. Tai voisi omalla avaimellaan allekirjoittaa ja kertoa, että nyt on uusi avain otettu käyttöön, mutta sitä avainta ei olisi allekirjoitettu taas sitten oikeiden kehittäjien avaimilla.

 

[kaakau<"'\\/>]

Mukana tuli myös se urputus "VAROITUS tätä avainta ei ole varmennettu...". Jotain samantapaista taisi tulla silloin viikkoja aiemmin.
Ehkä tämä asia on jo kunnossa.

Tuota ei kai pitäisi tulla jos avain olisi allekirjoitettu jonkun toisen avaimella mihin luotat, että se on tietyn henkilön avain. Joissain esim. Linux-aiheisissa konffereissa pidetään allekirjoitusjuhlia, joissa allekirjoitellaan toisten avaimia.

 

[JiiPee]

Jos joku pääsee palvelimelle, niin HTTPS ei auta estämään ettei se saisi haittakoodiaan ohjelmistoon, eikä hashitkaan auta. PGP-allekirjoituksia se ei pysty väärentämään. Tai voisi omalla avaimellaan allekirjoittaa ja kertoa, että nyt on uusi avain otettu käyttöön, mutta sitä avainta ei olisi allekirjoitettu taas sitten oikeiden kehittäjien avaimilla.

Juu tiedän kyllä. Se vaan on niin häviävän pieni mahdollisuus että sinne palvelimelle olisi murtauduttu ja image vielä rukattu uuteen uskoon että en ole nähny tarpeelliseksi. En edes muista milloin olis tuollaisesta tapauksesta jossain uutisoitu että on käynyt.

 

[FrontSchwein]

Muistelen jotta muutama vuosi sitten olisi Linux Mintin kanssa käynyt niin jotta palvelimelle murtauduttu ja tiedostoja mahdollisesti muuteltu.

 

[FrontSchwein]

Tuota ei kai pitäisi tulla jos avain olisi allekirjoitettu jonkun toisen avaimella mihin luotat, että se on tietyn henkilön avain. Joissain esim. Linux-aiheisissa konffereissa pidetään allekirjoitusjuhlia, joissa allekirjoitellaan toisten avaimia.

Mitenkäs muuten tuo paketti debian-keyring, pitäisikö siitä löytyä se debian cd signing key tai jokin mitä vastaan sen tarkistaa? Verifying authenticity of Debian CDs perusteella jäin siihen käsitykseen että löytyisi.
Sen paketin sisällä on .gpg-päätteisiä tiedostoja niin jonkin niistä importoi ja saa sen julk.avaimen käyttöön?

 

[JiiPee]

Mitenkäs muuten tuo paketti debian-keyring, pitäisikö siitä löytyä se debian cd signing key tai jokin mitä vastaan sen tarkistaa? Verifying authenticity of Debian CDs perusteella jäin siihen käsitykseen että löytyisi.
Sen paketin sisällä on .gpg-päätteisiä tiedostoja niin jonkin niistä importoi ja saa sen julk.avaimen käyttöön?

Ongelmahan tuon gpg:n kanssa on että se oikeastaan tuo mitään turvaa jos se chain of trust ei ole kunnossa. Mistä sä voit tietää että se jostain netistä ladattu kikkare jonka importtaat ei ole väärennetty?
Chain of trust toimii ainoastaan silloin kun niitä avaimia allekirjoitellaan just jossain gpg avaimen allekirjoitus orgioissa joissa voidaan varmistaa henkilöllisyys.

 

[kaakau<"'\\/>]

Ongelmahan tuon gpg:n kanssa on että se oikeastaan tuo mitään turvaa jos se chain of trust ei ole kunnossa. Mistä sä voit tietää että se jostain netistä ladattu kikkare jonka importtaat ei ole väärennetty?
Chain of trust toimii ainoastaan silloin kun niitä avaimia allekirjoitellaan just jossain gpg avaimen allekirjoitus orgioissa joissa voidaan varmistaa henkilöllisyys.

Tuo se jotain turvaa jos olettaa, että aluksi allekirjoituksessa käytetty avain on oikealta taholta, mutta ei toki vastaa sitä, että joku luotettava henkilö olisi sen allekirjoittanut. Sitten avaimia kyllä vaihdellaan joskus mistä lie syystä toisaalta, niin pitäisi taas luottaa uuteen avaimeen.

 

[kaakau<"'\\/>]

Mitenkäs muuten tuo paketti debian-keyring, pitäisikö siitä löytyä se debian cd signing key tai jokin mitä vastaan sen tarkistaa? Verifying authenticity of Debian CDs perusteella jäin siihen käsitykseen että löytyisi.
Sen paketin sisällä on .gpg-päätteisiä tiedostoja niin jonkin niistä importoi ja saa sen julk.avaimen käyttöön?

GnuPG keys of Debian Developers and Maintainers
The Debian project wants developers to digitally sign the
announcements of their packages with GnuPG, to protect against
forgeries. This package contains keyrings of GnuPG and keys of
Debian Developers (uploading and non-uploading), as well as of Debian
Maintainers.
.
Do note that, although this package is provided for convenience, it
is not necessarily kept updated with the latest changes; the authoritative
source for keyring information is publicly accessible via rsync at:
.
keyring.debian.org::keyrings/keyrings/

Ettei välttämättä ole ajantasaisia, mutta tuolta osoitteesta löytyy viimeisimmät avaimet.

 

[FrontSchwein]

Sen verran täytyy lisätä jotta erinomaisen vituttavaa puuhaa tämä gpg4win:in kanssa nysvääminen. Pitäisi adoptoida sellainen periaate jotta allekirjoitukset tarkastan vain konsultin ominaisuudessa saatanallisen suurella tuntipalkalla. Kleopatra vaikuttaa aikamoiselta turhakkeelta ja tahmaakin vielä. Lisäksi komentorivi-gpg:n paikallisessa hakemistossa saanut jotain sekaisin arpoessa. Nimittäin aiemmin tällä viikolla onnistui(Good signature) D11 liittyvä allekirjoitus-tarkistus mutta tänä iltana ei. Devuan neloseen liittyvistä tarkistuksista nyt puhumattakaan. Huomenna taidan resetoida alkon tuotteella 013.

Yksi hauskoista jutuista on sitten se kun käsipelillä joutuu kopsaamaan ne heksadesimaalit "gpg --recv-key"-komentoon. Joko tämä W10 on juustossa tai sitten ei se Windows Terminal:kaan tue sellaista copy/pastea mitä tarvitsen. Typojahan ei tietenkään tule yhtään.

 

[FrontSchwein]

Siinä gpg:ssä kun on se "paikallinen avain-varasto" (sisältö nähtävissä komennolla gpg --list-keys) niin sitä ei sitten vissiin hyödynnetä kuitenkaan? Jäin vähän sellaiseen vaikutelmaan että joka kerta erikseen , kun gpgv:tä käytttää, pitää väkisin hakea avainpalvelimelta matskua. Ja sitten sopivasti fifty-sixty mikä servo on linjoilla eikä aina vaivauduta sanomaan miltä pitää hakea.

Nyt sitten vielä ne paikallisetkin avaimet sfinksin ja sfonksin tai ainakin heikun-keikun.
Niin ai että.

Edit. vai olisikohan niin että pitäisi pääkäyttäjän oikeuksilla asentaa gpg4win ettei tulisi jurpoilua?

 

[FrontSchwein]

Uusi yritys tänään. Gpg4win:in asennus pääkäyttäjän tunnuksella+luodaan uusi kjä-tunnus W10:neen ja sen kanssa gpg-hommat ettei aiemmat kokeilut haittaa. Lisäksi Devuan neloseen liittyen löytyi googlella tämmöinen: [Solved] image verification: bad signature / Installation / Dev1 Galaxy Forum .
Tuota soveltaen R.Ronnquistin avain tuli noudetuksi ja "gpg --verify SHA256SUMS.asc SHA256SUMS.txt" tuotti sen "Good Signature":n . Haetaan(selaimella, https:n yli , eikä miltään höpö-sivuilta) avain yhdeltä servolta ja allekirjoitetut tiivisteet toiselta+tarkistetaan tiivisteiden allekirjoitus ja että .iso-tdstojen tiivisteet mitä pitää, lienee vähän luotettavampi järjestely kuin se että haetaan komentorivi-ftp:llä venäläiseltä piraattiservolta eikä tarkisteta yhtään mitään niinkuin tulkitsen joidenkin täällä ehdottaneen.

Pe-iltana arpoessa kävi myös ilmi että se jokin keys.gnupg.net tjsp servo mitä jossain esimerkissä käytettiin, sen kanssa on jotain ongelmia. Jotain vaihtoehtojakin löytyi tuolle, keyserver.ubuntu.com 1 niistä kolmesta.

Tämä saattoi liittyä edelliseen: Failed to fetch the gpg key from keys.gnupg.net · Issue #3544 · rvm/rvm .

 

[JiiPee]

Uusi yritys tänään. Gpg4win:in asennus pääkäyttäjän tunnuksella+luodaan uusi kjä-tunnus W10:neen ja sen kanssa gpg-hommat ettei aiemmat kokeilut haittaa. Lisäksi Devuan neloseen liittyen löytyi googlella tämmöinen: [Solved] image verification: bad signature / Installation / Dev1 Galaxy Forum .
Tuota soveltaen R.Ronnquistin avain tuli noudetuksi ja "gpg --verify SHA256SUMS.asc SHA256SUMS.txt" tuotti sen "Good Signature":n . Haetaan avain yhdeltä servolta ja allekirjoitetut tiivisteet toiselta+tarkistetaan tiivisteiden allekirjoitus ja että .iso-tdstojen tiivisteet mitä pitää, lienee vähän luotettavampi järjestely kuin se että haetaan komentorivi-ftp:llä venäläiseltä piraattiservolta eikä tarkisteta yhtään mitään niinkuin tulkitsen joidenkin täällä ehdottaneen.

Pe-iltana arpoessa kävi myös ilmi että se jokin keys.gnupg.net tjsp servo mitä jossain esimerkissä käytettiin, sen kanssa on jotain ongelmia. Jotain vaihtoehtojakin löytyi tuolle, keyserver.ubuntu.com 1 niistä kolmesta.

Tämä saattoi liittyä edelliseen: Failed to fetch the gpg key from keys.gnupg.net · Issue #3544 · rvm/rvm .

No tätä säätöö kun on nyt reilun viikon seurannu niin pistää miettimään että onko tuossa mitään järkeä? Itte olisin jo käyttänyt kyseistä distroa reilun viikon lataamalla sen viralliselta palvelimelta kuten teen kaikkien muidenkin distrojen kanssa.

Melko vähän noita distron jakelupalvelimia on korkattu, taisi tuossa joku peräti yhden tapauksen osoittaa. Se että omalle kohdalle sattuisi korkattu distro, on siis ihan älyttömän pieni.

Mutta kukin tyylillään.

 

[JRan]

Juu tiedän kyllä. Se vaan on niin häviävän pieni mahdollisuus että sinne palvelimelle olisi murtauduttu ja image vielä rukattu uuteen uskoon että en ole nähny tarpeelliseksi. En edes muista milloin olis tuollaisesta tapauksesta jossain uutisoitu että on käynyt.

Yleisesti vain MD5 / SHA summia on tarkasteltu kautta historian, mutta legendaarinen tapahtuma Linux Mintin kanssa ( Beware of hacked ISOs if you downloaded Linux Mint on February 20th! – The Linux Mint Blog ) on itsellä jäänyt mieleen. Tämän jälkeen monet tahot ovat ottaneet käyttöön gpg signauksen, jotta tosiaan myös avain pitää varastaa, jotta imagen voi väärentää.

Helpoin keino on käyttää jotain netinstall imagea, niin asennetut paketit tulee kuitenkin itse valituilta mirroreilta. Toki kyllähän tällaisenkin imagen voisi tamperoida, mutta on huomattavasti hankalampaa.

 

[FrontSchwein]

Kokeilin kanssa komentoa "gpg --verbose --keyserver keyring.debian.org --recv-keys <avainid>" . Näköjään käytetään oletuksena http-protokollaa.

 

[JiiPee]

Kokeilin kanssa komentoa "gpg --verbose --keyserver keyring.debian.org --recv-keys <avainid>" . Näköjään käytetään oletuksena http-protokollaa.

Eli man in the middle mahdollinen.

 

[FrontSchwein]

Olisi kai aiheellista lähteä ulisemaan em. syystä jollekin debian-postituslistalle mutta onneksi virtualbox-puuhastelun kanssa tuli muitakin mutkia matkaan niin ei jouda.

 

[JRan]

Kokeilin kanssa komentoa "gpg --verbose --keyserver keyring.debian.org --recv-keys <avainid>" . Näköjään käytetään oletuksena http-protokollaa.

Kyllä noissa yleisesti https:// (HTTPS) tai hkps:// (HKP over TLS) toimii.