ISO GPG-Signatur

Hallo Zusammen,
ich versuche die ISO-Datei zu verifizieren. Habe mich dabei an die Vorgaben auf der download-Seite gehalten.

Das Ergebnis ist folgendes:

[ck@ck-n650du Downloads]$ sha1sum manjaro-kde-21.0.7-210614-linux510.iso
43f0f573d6c5d089cd280b622f228d1ea2933cf8  manjaro-kde-21.0.7-210614-linux510.iso

[ck@ck-n650du Downloads]$ wget gitlab.manjaro.org/packages/core/manjaro-keyring/-/raw/master/manjaro.gpg
--2021-07-24 21:13:15--  http://gitlab.manjaro.org/packages/core/manjaro-keyring/-/raw/master/manjaro.gpg
Auflösen des Hostnamens gitlab.manjaro.org (gitlab.manjaro.org)… 195.201.101.32, 2a01:4f8:c2c:c956::1
Verbindungsaufbau zu gitlab.manjaro.org (gitlab.manjaro.org)|195.201.101.32|:80 … verbunden.
HTTP-Anforderung gesendet, auf Antwort wird gewartet … 301 Moved Permanently
Platz: https://gitlab.manjaro.org:443/packages/core/manjaro-keyring/-/raw/master/manjaro.gpg [folgend]
--2021-07-24 21:13:15--  https://gitlab.manjaro.org/packages/core/manjaro-keyring/-/raw/master/manjaro.gpg
CA-Zertifikat »/etc/ssl/certs/ca-certificates.crt« wurde geladen
Verbindungsaufbau zu gitlab.manjaro.org (gitlab.manjaro.org)|195.201.101.32|:443 … verbunden.
HTTP-Anforderung gesendet, auf Antwort wird gewartet … 200 OK
Länge: 175369 (171K) [text/plain]
Wird in »manjaro.gpg« gespeichert.

manjaro.gpg                  100%[=============================================>] 171,26K  --.-KB/s    in 0,07s   

2021-07-24 21:13:15 (2,55 MB/s) - »manjaro.gpg« gespeichert [175369/175369]

[ck@ck-n650du Downloads]$ gpg --import manjaro.gpg
gpg: Schlüssel FD847358FF20E35C: 2 Beglaubigungen wegen fehlender Schlüssel nicht geprüft
gpg: Schlüssel FD847358FF20E35C: Öffentlicher Schlüssel "Anupam Basak <anupam@manjaro.org>" importiert
gpg: Schlüssel 5BD96CC4247B52CC: 12 Beglaubigungen wegen fehlender Schlüssel nicht geprüft
gpg: Schlüssel 5BD96CC4247B52CC: Öffentlicher Schlüssel "Guillaume Benoit (Guinux) <guillaume@manjaro.org>" importiert
gpg: Schlüssel CAA6A59611C7F07E: 15 Beglaubigungen wegen fehlender Schlüssel nicht geprüft
gpg: Schlüssel CAA6A59611C7F07E: Öffentlicher Schlüssel "Philip Müller (Called Little) <philm@manjaro.org>" importiert
gpg: Schlüssel 363DFFFD59152F77: 11 Beglaubigungen wegen fehlender Schlüssel nicht geprüft
gpg: Schlüssel 363DFFFD59152F77: Öffentlicher Schlüssel "Roland Singer (Manjaro Linux) <roland@manjaro.org>" importiert
gpg: Schlüssel 2B80869C5C0102A6: 13 Beglaubigungen wegen fehlender Schlüssel nicht geprüft
gpg: Schlüssel 2B80869C5C0102A6: Öffentlicher Schlüssel "Rob McCathie <korrode@gmail.com>" importiert
gpg: Schlüssel 8934292D604F8BA2: 11 Beglaubigungen wegen fehlender Schlüssel nicht geprüft
gpg: Schlüssel 8934292D604F8BA2: Öffentlicher Schlüssel "Alexandru Ianu <alexandru@manjaro.org>" importiert
gpg: Schlüssel 2C089F09AC97B894: 10 Beglaubigungen wegen fehlender Schlüssel nicht geprüft
gpg: Schlüssel 2C089F09AC97B894: Öffentlicher Schlüssel "Ramon Buldó <ramon@manjaro.org>" importiert
gpg: Schlüssel 137C934B5DCB998E: 6 Beglaubigungen wegen fehlender Schlüssel nicht geprüft
gpg: Schlüssel 137C934B5DCB998E: Öffentlicher Schlüssel "artoo <flower_of_life@gmx.net>" importiert
gpg: Schlüssel 62443D89B35859F8: 6 Beglaubigungen wegen fehlender Schlüssel nicht geprüft
gpg: Schlüssel 62443D89B35859F8: Öffentlicher Schlüssel "artoo (manjaro.org) <flower_of_life@gmx.net>" importiert
gpg: Schlüssel DAD3B211663CA268: 24 Beglaubigungen wegen fehlender Schlüssel nicht geprüft
gpg: Schlüssel DAD3B211663CA268: Öffentlicher Schlüssel "Bernhard Landauer <oberon@manjaro.org>" importiert
gpg: Schlüssel 8DB9F8C18DF53602: 5 Beglaubigungen wegen fehlender Schlüssel nicht geprüft
gpg: Schlüssel 8DB9F8C18DF53602: Öffentlicher Schlüssel "Stefano Capitani <stefano@manjaro.org>" importiert
gpg: Schlüssel 7EC47C82A42D53A2: 4 Beglaubigungen wegen fehlender Schlüssel nicht geprüft
gpg: Schlüssel 7EC47C82A42D53A2: Öffentlicher Schlüssel "kendell clark <kendell@manjaro.org>" importiert
gpg: Schlüssel E3B3F44AC45EE0AA: 3 Beglaubigungen wegen fehlender Schlüssel nicht geprüft
gpg: Schlüssel E3B3F44AC45EE0AA: Öffentlicher Schlüssel "artoo-manjaro <artoo@manjaro.org>" importiert
gpg: Schlüssel 9C08A255442FAFF0: 2 Beglaubigungen wegen fehlender Schlüssel nicht geprüft
gpg: Schlüssel 9C08A255442FAFF0: Öffentlicher Schlüssel "Jonathon Fernyhough <jonathon@manjaro.org>" importiert
gpg: Schlüssel 17C752B61B2F2E90: 2 Beglaubigungen wegen fehlender Schlüssel nicht geprüft
gpg: Schlüssel 17C752B61B2F2E90: Öffentlicher Schlüssel "Frede Hundewadt <fh@manjaro.org>" importiert
gpg: Schlüssel 8238651DDF5E0594: 1 Beglaubigung wegen fehlendem Schlüssel nicht geprüft
gpg: Schlüssel 8238651DDF5E0594: Öffentlicher Schlüssel "Matti Hyttinen <matti@manjaro.org>" importiert
gpg: Schlüssel 1817DC63CD3B5DF5: Öffentlicher Schlüssel "Thanos Apostolou (manjaro maintainer) <thanos@manjaro.org>" importiert
gpg: Schlüssel CEE477135C5872B0: 22 Beglaubigungen wegen fehlender Schlüssel nicht geprüft
gpg: Schlüssel CEE477135C5872B0: Öffentlicher Schlüssel "Helmut Stult (schinfo) <helmut.stult@schinfo.de>" importiert
gpg: Schlüssel 084A7FC0035B1D49: 11 Beglaubigungen wegen fehlender Schlüssel nicht geprüft
gpg: Schlüssel 084A7FC0035B1D49: Öffentlicher Schlüssel "Dan Johansen (Manjaro) <strit@manjaro.org>" importiert
gpg: Schlüssel 150C200743ED46D8: Öffentlicher Schlüssel "Mark Wagie <mark@manjaro.org>" importiert
gpg: Schlüssel 279E7CF5D8D56EC8: Öffentlicher Schlüssel "Manjaro Build Server <build@manjaro.org>" importiert
gpg: Schlüssel 70FBB189B338D5DF: 2 Beglaubigungen wegen fehlender Schlüssel nicht geprüft
gpg: Schlüssel 70FBB189B338D5DF: Öffentlicher Schlüssel "Manjaro-ARM Build Server <build-arm@manjaro-arm.org>" importiert
gpg: Anzahl insgesamt bearbeiteter Schlüssel: 22
gpg:                              importiert: 22
gpg: keine ultimativ vertrauenswürdigen Schlüssel gefunden


[ck@ck-n650du Downloads]$ gpg --keyserver keyserver.ubuntu.com --search-keys CAA6A59611C7F07E
gpg: error searching keyserver: Kein Schlüsselserver verfügbar
gpg: Suche auf dem Schlüsselserver fehlgeschlagen: Kein Schlüsselserver verfügbar


[ck@ck-n650du Downloads]$ gpg --verify manjaro-kde-21.0.7-210614-linux510.iso.sig
gpg: die unterzeichneten Daten sind wohl in 'manjaro-kde-21.0.7-210614-linux510.iso'
gpg: Signatur vom Mo 14 Jun 2021 17:34:23 CEST
gpg:                mittels RSA-Schlüssel 3B794DE6D4320FCE594F4171279E7CF5D8D56EC8
gpg: Korrekte Signatur von "Manjaro Build Server <build@manjaro.org>" [unbekannt]
gpg: WARNUNG: Dieser Schlüssel trägt keine vertrauenswürdige Signatur!
gpg:          Es gibt keinen Hinweis, daß die Signatur wirklich dem vorgeblichen Besitzer gehört.
Haupt-Fingerabdruck  = 3B79 4DE6 D432 0FCE 594F  4171 279E 7CF5 D8D5 6EC8

Die SHA1 Summe passt.
Ich weiss, dass es schon ähnliche Einträge im Forum gibt, aber die oben auftauchenden Meldungen sind schon sehr schräg:

keine ultimativ vertrauenswürdigen Schlüssel gefunden
mehrfach:
… Beglaubigungen wegen fehlender Schlüssel nicht geprüft
Bei der Suche nach Philips Schlüssel:
gpg: error searching keyserver: Kein Schlüsselserver verfügbar
gpg: Suche auf dem Schlüsselserver fehlgeschlagen: Kein Schlüsselserver verfügbar

und hier:
gpg: WARNUNG: Dieser Schlüssel trägt keine vertrauenswürdige Signatur!
gpg: Es gibt keinen Hinweis, daß die Signatur wirklich dem vorgeblichen Besitzer gehört.

Kann man das alles ignorieren und reicht es dass die Kombination hinter RSA-Schlüssel und der Hauptfingerabdruck übereinstimmen?

Das kannst nur du entscheiden. Mathematisch ist die Signatur korrekt. Mit dem privaten Schlüssel des von dir aus dem Internet heruntergeladen öffentlichen Schlüssel wurde die Signatur erzeugt. Aber die Frage ist, vertraust du der Quelle? GPG kann dir diese Entscheidung nicht annehmen.
Wenn du der Quelle vertraust ist alles gut, wenn nicht kannst du die ISO nicht verwenden.

Die Quelle ist in dem Fall gitlab.manjaro.org, weil du dort die Datei mit den öffentlichen Schlüssel heruntergeladen hast.

2 Likes

Ok, danke für die Antwort.

Ich nochmal,
an welchem Ausdruck hast Du denn erkannt, dass alles korrekt ist, damit ich das nächste mal Bescheid weiss?

“Korrekte Signatur” ist immer ein gutes Stichwort. Das heißt aber nicht, dass der Schlüssel von der Person oder Organisation stammt die dort geschrieben steht. Nur das die Signatur mathematisch korrekt ist.
Ob du dem Schlüssel vertraust ist eine andere Frage. Diese kann GPG nicht beantworten.