PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Qubes Iso Verifizieren



Black!HatCat
14.04.2018, 16:29
Hallo Leute,

Linux ist für mich Neuland,aber ich bin bereit neues zu Lernen.

Die Iso File habe ich mir auf der Qubes Hauptseite erfolgreich heruntergeladen und diese im Download Verzeichnis gespeichert.

Da zur Verifizierung noch folgende Datein benötigt werden, habe ich mir diese ebenfalls heruntergeladen.

qubes master signing key
qubes release 4 signing key
Qubes-R4.0-x86_64.iso

Da ich Windows 10 benutze habe ich mir zusätzlich GPG4Win installiert.

Folgende Anleitung habe ich befolgt "https://groups.google.com/forum/#!msg/qubes-users/hcs-zYO85zo/Ud6m7FTXCwAJ".

Leider bekomme ich in der Eingabeaufforderung jedesmal die Fehlermeldung "No such file or Directory". Um in das Download Verzeichnis zu gelangen, habe ich den Befehl cd~/Downloads eingegeben. Leider ohne Erfolg.

Ebenfalls habe ich das Tool "MD5_and_SHA_Checksum_Utility", verwendet und die oben geannten Zertifikate zu verifizeren. Auch dort erhalte ich eine Fehlermeldung "Hash does not match".

Wie kann ich denn nun die Iso bzw Datein verifizieren?

Was mache ich falsch?

Woran kann ich erkennen ob es sich um die korrekte Iso handelt?

Ich hoffe, dass mir jemand helfen kann :emoji28:

Wie schon erwähnt, habe ich leider mit Linux und deren Verifizierungsverfahren noch keine große Ahnung.

Über zahlreiche "nette" feedbacks würde ich mich sehr freuen.

Beste Grüße

rdculouz
14.04.2018, 22:10
Seh ich das richtig, dass du die Datei unter Windows überprüfen willst?

Hier https://mirrors.edge.kernel.org/qubes/iso/ die DIGESTS der entsprechenden iso öffnen (mit dem Editor)und die Prüfsumme auf Match/Übereinstimmung überprüfen. Dafür kannst du HashCheck / https://github.com/gurnec/HashCheck/releases benutzen

"... in order from top to bottom, are MD5, SHA1, SHA256, and SHA512."

siehe: https://www.qubes-os.org/security/verifying-signatures/

greetz rd :emoji36:

Black!HatCat
16.04.2018, 17:18
Moin Ihr lieben,

nach längerem Tüffteln mit der Windows Kommandozeile bekomme ich nun keinerlei Fehlermeldungen(no such file or Directory), angezeigt.

================================================== ================================================== =================================

Ich habe folgende Anleitung befolgt:

Here is a condensed howto which avoids some issues with the Qubes doc
and gpg itself:
https://www.qubes-os.org/security/verifying-signatures/


1. Get the Qubes master key, preferably from more than one source or
network channel so you can check they are all identical.

https://keys.qubes-os.org/keys/qubes-master-signing-key.asc


2. Get the signing key and iso files, as you already have.


3. Import the two keys:

$ gpg2 --import qubes-master-signing-key.asc
$ gpg2 --import qubes-release-4-signing-key.asc


3a. If you wish, additional verification of the Master key:

$ gpg2 --fingerprint

> pub rsa4096 2010-04-01 [SC]
> 427F 11FD 0FAA 4B08 0123 F01C DDFA 1A3E 3687 9494
> uid [ unknown] Qubes Master Signing Key

Then search for the Qubes master key fingerprint on a Google or a
keyserver, or view the 'verifying-signatures' doc linked above. Then
compare that hexadecimal fingerprint and make sure whats in your shell
matches what you see in the browser.


4. Verify the release key:

$ gpg2 --check-sigs

The output should look like this:

> pub rsa4096 2017-03-06 [SC]
> 5817A43B283DE5A9181A522E1848792F9E2795E9
> uid [ unknown] Qubes OS Release 4 Signing Key
> sig!3 1848792F9E2795E9 2017-03-06 Qubes OS Release 4 Signing Key
> sig! DDFA1A3E36879494 2017-03-08 Qubes Master Signing Key

You should see the Release 4 key in "uid" and nested under it the Master
key. The Master key line must begin with "sig!" including the
exclamation mark! If the exclamation is not present then the key is bad.


5. Verify the iso file:

$ gpg2 --verify Qubes-R4.0-x86_64.iso.asc Qubes-R4.0-x86_64.iso

You should see a message "Good signature from "Qubes OS Release 4
Signing Key"

================================================== =====================================

Im letzten Step bekam ich aber nicht die erforderliche Meldung "Good signature from Qubes OS Release 4 siging Key", sondern folgende.

https://picload.org/view/dogdgiwl/12.png.html

Ist diese Signatur also doch nicht korrekt?

Über Nachrichten eurerseits würde ich mich freuen.

Beste Grüße

- - - - - - - - - - Beitrag nachträglich erweitert - - - - - - - - - -

Heho,

thread kann geschlossen werden.

Nach längerem Werkeln mit den Signaturen habe ich es mit der obrigen Anleitung nun doch endlich geschafft.

Das erste Problem war, dass ich mich mit der Windows Kommandozeile nicht im entsprechenden Ordner befand. :emoji18:

Mit den Keys muss man etwas spielen um die richtige Datei zu fischen.

Danke an alle die mir geholfen haben.