ISO GPG-Signatur

Hallo Zusammen,
ich versuche die ISO-Datei zu verifizieren. Habe mich dabei an die Vorgaben auf der download-Seite gehalten.

Das Ergebnis ist folgendes:

[ck@ck-n650du Downloads]$ sha1sum manjaro-kde-21.0.7-210614-linux510.iso
43f0f573d6c5d089cd280b622f228d1ea2933cf8  manjaro-kde-21.0.7-210614-linux510.iso

[ck@ck-n650du Downloads]$ wget gitlab.manjaro.org/packages/core/manjaro-keyring/-/raw/master/manjaro.gpg
--2021-07-24 21:13:15--  http://gitlab.manjaro.org/packages/core/manjaro-keyring/-/raw/master/manjaro.gpg
Aufl├Âsen des Hostnamens gitlab.manjaro.org (gitlab.manjaro.org)ÔÇŽ 195.201.101.32, 2a01:4f8:c2c:c956::1
Verbindungsaufbau zu gitlab.manjaro.org (gitlab.manjaro.org)|195.201.101.32|:80 ÔÇŽ verbunden.
HTTP-Anforderung gesendet, auf Antwort wird gewartet ÔÇŽ 301 Moved Permanently
Platz: https://gitlab.manjaro.org:443/packages/core/manjaro-keyring/-/raw/master/manjaro.gpg [folgend]
--2021-07-24 21:13:15--  https://gitlab.manjaro.org/packages/core/manjaro-keyring/-/raw/master/manjaro.gpg
CA-Zertifikat ┬╗/etc/ssl/certs/ca-certificates.crt┬ź wurde geladen
Verbindungsaufbau zu gitlab.manjaro.org (gitlab.manjaro.org)|195.201.101.32|:443 ÔÇŽ verbunden.
HTTP-Anforderung gesendet, auf Antwort wird gewartet ÔÇŽ 200 OK
L├Ąnge: 175369 (171K) [text/plain]
Wird in ┬╗manjaro.gpg┬ź gespeichert.

manjaro.gpg                  100%[=============================================>] 171,26K  --.-KB/s    in 0,07s   

2021-07-24 21:13:15 (2,55 MB/s) - ┬╗manjaro.gpg┬ź gespeichert [175369/175369]

[ck@ck-n650du Downloads]$ gpg --import manjaro.gpg
gpg: Schl├╝ssel FD847358FF20E35C: 2 Beglaubigungen wegen fehlender Schl├╝ssel nicht gepr├╝ft
gpg: Schl├╝ssel FD847358FF20E35C: ├ľffentlicher Schl├╝ssel "Anupam Basak <anupam@manjaro.org>" importiert
gpg: Schl├╝ssel 5BD96CC4247B52CC: 12 Beglaubigungen wegen fehlender Schl├╝ssel nicht gepr├╝ft
gpg: Schl├╝ssel 5BD96CC4247B52CC: ├ľffentlicher Schl├╝ssel "Guillaume Benoit (Guinux) <guillaume@manjaro.org>" importiert
gpg: Schl├╝ssel CAA6A59611C7F07E: 15 Beglaubigungen wegen fehlender Schl├╝ssel nicht gepr├╝ft
gpg: Schl├╝ssel CAA6A59611C7F07E: ├ľffentlicher Schl├╝ssel "Philip M├╝ller (Called Little) <philm@manjaro.org>" importiert
gpg: Schl├╝ssel 363DFFFD59152F77: 11 Beglaubigungen wegen fehlender Schl├╝ssel nicht gepr├╝ft
gpg: Schl├╝ssel 363DFFFD59152F77: ├ľffentlicher Schl├╝ssel "Roland Singer (Manjaro Linux) <roland@manjaro.org>" importiert
gpg: Schl├╝ssel 2B80869C5C0102A6: 13 Beglaubigungen wegen fehlender Schl├╝ssel nicht gepr├╝ft
gpg: Schl├╝ssel 2B80869C5C0102A6: ├ľffentlicher Schl├╝ssel "Rob McCathie <korrode@gmail.com>" importiert
gpg: Schl├╝ssel 8934292D604F8BA2: 11 Beglaubigungen wegen fehlender Schl├╝ssel nicht gepr├╝ft
gpg: Schl├╝ssel 8934292D604F8BA2: ├ľffentlicher Schl├╝ssel "Alexandru Ianu <alexandru@manjaro.org>" importiert
gpg: Schl├╝ssel 2C089F09AC97B894: 10 Beglaubigungen wegen fehlender Schl├╝ssel nicht gepr├╝ft
gpg: Schl├╝ssel 2C089F09AC97B894: ├ľffentlicher Schl├╝ssel "Ramon Buld├│ <ramon@manjaro.org>" importiert
gpg: Schl├╝ssel 137C934B5DCB998E: 6 Beglaubigungen wegen fehlender Schl├╝ssel nicht gepr├╝ft
gpg: Schl├╝ssel 137C934B5DCB998E: ├ľffentlicher Schl├╝ssel "artoo <flower_of_life@gmx.net>" importiert
gpg: Schl├╝ssel 62443D89B35859F8: 6 Beglaubigungen wegen fehlender Schl├╝ssel nicht gepr├╝ft
gpg: Schl├╝ssel 62443D89B35859F8: ├ľffentlicher Schl├╝ssel "artoo (manjaro.org) <flower_of_life@gmx.net>" importiert
gpg: Schl├╝ssel DAD3B211663CA268: 24 Beglaubigungen wegen fehlender Schl├╝ssel nicht gepr├╝ft
gpg: Schl├╝ssel DAD3B211663CA268: ├ľffentlicher Schl├╝ssel "Bernhard Landauer <oberon@manjaro.org>" importiert
gpg: Schl├╝ssel 8DB9F8C18DF53602: 5 Beglaubigungen wegen fehlender Schl├╝ssel nicht gepr├╝ft
gpg: Schl├╝ssel 8DB9F8C18DF53602: ├ľffentlicher Schl├╝ssel "Stefano Capitani <stefano@manjaro.org>" importiert
gpg: Schl├╝ssel 7EC47C82A42D53A2: 4 Beglaubigungen wegen fehlender Schl├╝ssel nicht gepr├╝ft
gpg: Schl├╝ssel 7EC47C82A42D53A2: ├ľffentlicher Schl├╝ssel "kendell clark <kendell@manjaro.org>" importiert
gpg: Schl├╝ssel E3B3F44AC45EE0AA: 3 Beglaubigungen wegen fehlender Schl├╝ssel nicht gepr├╝ft
gpg: Schl├╝ssel E3B3F44AC45EE0AA: ├ľffentlicher Schl├╝ssel "artoo-manjaro <artoo@manjaro.org>" importiert
gpg: Schl├╝ssel 9C08A255442FAFF0: 2 Beglaubigungen wegen fehlender Schl├╝ssel nicht gepr├╝ft
gpg: Schl├╝ssel 9C08A255442FAFF0: ├ľffentlicher Schl├╝ssel "Jonathon Fernyhough <jonathon@manjaro.org>" importiert
gpg: Schl├╝ssel 17C752B61B2F2E90: 2 Beglaubigungen wegen fehlender Schl├╝ssel nicht gepr├╝ft
gpg: Schl├╝ssel 17C752B61B2F2E90: ├ľffentlicher Schl├╝ssel "Frede Hundewadt <fh@manjaro.org>" importiert
gpg: Schl├╝ssel 8238651DDF5E0594: 1 Beglaubigung wegen fehlendem Schl├╝ssel nicht gepr├╝ft
gpg: Schl├╝ssel 8238651DDF5E0594: ├ľffentlicher Schl├╝ssel "Matti Hyttinen <matti@manjaro.org>" importiert
gpg: Schl├╝ssel 1817DC63CD3B5DF5: ├ľffentlicher Schl├╝ssel "Thanos Apostolou (manjaro maintainer) <thanos@manjaro.org>" importiert
gpg: Schl├╝ssel CEE477135C5872B0: 22 Beglaubigungen wegen fehlender Schl├╝ssel nicht gepr├╝ft
gpg: Schl├╝ssel CEE477135C5872B0: ├ľffentlicher Schl├╝ssel "Helmut Stult (schinfo) <helmut.stult@schinfo.de>" importiert
gpg: Schl├╝ssel 084A7FC0035B1D49: 11 Beglaubigungen wegen fehlender Schl├╝ssel nicht gepr├╝ft
gpg: Schl├╝ssel 084A7FC0035B1D49: ├ľffentlicher Schl├╝ssel "Dan Johansen (Manjaro) <strit@manjaro.org>" importiert
gpg: Schl├╝ssel 150C200743ED46D8: ├ľffentlicher Schl├╝ssel "Mark Wagie <mark@manjaro.org>" importiert
gpg: Schl├╝ssel 279E7CF5D8D56EC8: ├ľffentlicher Schl├╝ssel "Manjaro Build Server <build@manjaro.org>" importiert
gpg: Schl├╝ssel 70FBB189B338D5DF: 2 Beglaubigungen wegen fehlender Schl├╝ssel nicht gepr├╝ft
gpg: Schl├╝ssel 70FBB189B338D5DF: ├ľffentlicher Schl├╝ssel "Manjaro-ARM Build Server <build-arm@manjaro-arm.org>" importiert
gpg: Anzahl insgesamt bearbeiteter Schl├╝ssel: 22
gpg:                              importiert: 22
gpg: keine ultimativ vertrauensw├╝rdigen Schl├╝ssel gefunden


[ck@ck-n650du Downloads]$ gpg --keyserver keyserver.ubuntu.com --search-keys CAA6A59611C7F07E
gpg: error searching keyserver: Kein Schl├╝sselserver verf├╝gbar
gpg: Suche auf dem Schl├╝sselserver fehlgeschlagen: Kein Schl├╝sselserver verf├╝gbar


[ck@ck-n650du Downloads]$ gpg --verify manjaro-kde-21.0.7-210614-linux510.iso.sig
gpg: die unterzeichneten Daten sind wohl in 'manjaro-kde-21.0.7-210614-linux510.iso'
gpg: Signatur vom Mo 14 Jun 2021 17:34:23 CEST
gpg:                mittels RSA-Schl├╝ssel 3B794DE6D4320FCE594F4171279E7CF5D8D56EC8
gpg: Korrekte Signatur von "Manjaro Build Server <build@manjaro.org>" [unbekannt]
gpg: WARNUNG: Dieser Schl├╝ssel tr├Ągt keine vertrauensw├╝rdige Signatur!
gpg:          Es gibt keinen Hinweis, da├č die Signatur wirklich dem vorgeblichen Besitzer geh├Ârt.
Haupt-Fingerabdruck  = 3B79 4DE6 D432 0FCE 594F  4171 279E 7CF5 D8D5 6EC8

Die SHA1 Summe passt.
Ich weiss, dass es schon ├Ąhnliche Eintr├Ąge im Forum gibt, aber die oben auftauchenden Meldungen sind schon sehr schr├Ąg:

keine ultimativ vertrauensw├╝rdigen Schl├╝ssel gefunden
mehrfach:
ÔÇŽ Beglaubigungen wegen fehlender Schl├╝ssel nicht gepr├╝ft
Bei der Suche nach Philips Schl├╝ssel:
gpg: error searching keyserver: Kein Schl├╝sselserver verf├╝gbar
gpg: Suche auf dem Schl├╝sselserver fehlgeschlagen: Kein Schl├╝sselserver verf├╝gbar

und hier:
gpg: WARNUNG: Dieser Schl├╝ssel tr├Ągt keine vertrauensw├╝rdige Signatur!
gpg: Es gibt keinen Hinweis, da├č die Signatur wirklich dem vorgeblichen Besitzer geh├Ârt.

Kann man das alles ignorieren und reicht es dass die Kombination hinter RSA-Schl├╝ssel und der Hauptfingerabdruck ├╝bereinstimmen?

Das kannst nur du entscheiden. Mathematisch ist die Signatur korrekt. Mit dem privaten Schl├╝ssel des von dir aus dem Internet heruntergeladen ├Âffentlichen Schl├╝ssel wurde die Signatur erzeugt. Aber die Frage ist, vertraust du der Quelle? GPG kann dir diese Entscheidung nicht annehmen.
Wenn du der Quelle vertraust ist alles gut, wenn nicht kannst du die ISO nicht verwenden.

Die Quelle ist in dem Fall gitlab.manjaro.org, weil du dort die Datei mit den ├Âffentlichen Schl├╝ssel heruntergeladen hast.

2 Likes

Ok, danke f├╝r die Antwort.

Ich nochmal,
an welchem Ausdruck hast Du denn erkannt, dass alles korrekt ist, damit ich das n├Ąchste mal Bescheid weiss?

ÔÇťKorrekte SignaturÔÇŁ ist immer ein gutes Stichwort. Das hei├čt aber nicht, dass der Schl├╝ssel von der Person oder Organisation stammt die dort geschrieben steht. Nur das die Signatur mathematisch korrekt ist.
Ob du dem Schl├╝ssel vertraust ist eine andere Frage. Diese kann GPG nicht beantworten.