GnuPG-Befehlszeile - Überprüfen der KeePass-Signatur
7959
Stisfa
Ich versuche, die PGP-Signatur der neuesten Version der Setup-Datei von KeePass 2.14 anhand dieser Signatur zu überprüfen. Dies ist jedoch die Ausgabe, die ich erhalte:
C:\Program Files (x86)\GNU\GnuPG>gpg.exe --verify C:\Users\User\Desktop\KeePass-2.14-Setup.exe gpg: no valid OpenPGP data found. gpg: the signature could not be verified. Please remember that the signature file (.sig or .asc) should be the first file given on the command line. C:\Program Files (x86)\GNU\GnuPG>
Ich habe diesen Befehl hier gefunden, aber er erwähnte ".sig" - oder ".asc" -Dateien nicht, also dachte ich, ich hätte etwas falsch gemacht. Beim Lesen der Manpages habe ich Folgendes ausprobiert:
Wie Sie sehen können, sind die Ergebnisse ziemlich verschwommen ...
Ich habe mir das auf SuperUser angesehen, aber keiner der Links schien meine Frage wirklich zu beantworten, zumindest nicht direkt genug, um eine Vorstellung davon zu bekommen, wie ich weiter vorankommen kann.
Kann mir hier jemand mit der esoterischen Technik von OpenPGP und der damit verbundenen Nutzung des GnuPG-Programms helfen? Ich habe mich ziemlich dumm gefühlt, VBS zu lernen, aber das ist mehr als Demütigung: Es ist absolut schwächend und verstümmelt das Selbstvertrauen, das ich mit meinen IT-Fähigkeiten hatte (wiederum habe ich auch keine Rechtfertigung dafür, irgend etwas zu rühmen, da ich noch kein A + bekomme Cert, lol).
AKTUALISIERUNG 04-04-2011
Okay, ich hatte es satt, mit Windows herumzualbern und beschloss, es richtig zu machen, indem ich Ubuntu hochlade. das allein machte die Sache viel logischer!
Hier ist meine Liste von Befehlen und wo ich bin:
proto@type:~$ cd Desktop/
proto@type:~/Desktop$ gpg --import KeePass-2.14-Setup.exe.asc gpg: no valid OpenPGP data found. gpg: Total number processed: 0
proto@type:~/Desktop$ gpg --import Dominik_Reichl.asc gpg: /home/proto/.gnupg/trustdb.gpg: trustdb created gpg: key FEB7C7BC: public key "Dominik Reichl " imported gpg: Total number processed: 1 gpg: imported: 1
proto@type:~/Desktop$ gpg --verify KeePass-2.14-Setup.exe gpg: no valid OpenPGP data found. gpg: the signature could not be verified. Please remember that the signature file (.sig or .asc) should be the first file given on the command line.
proto@type:~/Desktop$ gpg --verify KeePass-2.14-Setup.exe.asc gpg: Signature made Sun 02 Jan 2011 05:25:24 AM MST using DSA key ID FEB7C7BC gpg: Good signature from "Dominik Reichl " gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner. Primary key fingerprint: 2171 BEEA D0DD 92A1 8065 5626 DCCA A5B3 FEB7 C7BC
proto@type:~/Desktop$ gpg --verify Dominik_Reichl.asc gpg: verify signatures failed: unexpected data
Wie Mike es anwies, habe ich ".exe" und die ".asc" -Dateien im selben Verzeichnis abgelegt, das ist der Desktop. Wie Sie im Code sehen können, habe ich auch den öffentlichen Schlüssel "Dominik_Reichl.asc" im Desktop-Verzeichnis abgelegt.
Bitte haben Sie Geduld mit mir, da ich von MD5 gründlich verwöhnt wurde. Ich gehe davon aus, dass Schritt 5 von oben das GPG ist, das diesem entspricht:
Ich sage das, weil sich das Verhalten ändert, wenn ich die Datei "KeePass-2.14-Setup.exe" in einen "Temp" -Ordner auf dem Desktop verschiebe. Wenn ich den Befehl ausführe, bekomme ich folgendes Ergebnis:
proto@type:~/Desktop$ gpg --verify KeePass-2.14-Setup.exe.asc gpg: no signed data gpg: can't hash datafile: file open error
Diese Ergebnisse lassen mich glauben, dass ich die "DSA-Schlüssel-ID" und den "Primärschlüssel-Fingerabdruck" aus Schritt 5 extrahieren und mit den Werten oben auf der Signaturseite vergleichen muss . Ist also die Ähnlichkeit mit der MD5-Verifizierung vorhanden? Ist das alles, was dazu gehört? Oder gibt es einen weiteren Schritt? Gibt es einen Befehl, mit dem ich diese beiden Zeichenfolgen verifizieren kann ? Muss ich diese Strings wirklich überprüfen? Was sind das für Saiten?
Jetzt gibt es noch ein anderes Problem, mit dem ich mich beschäftigen muss. Bei den Ergebnissen des "Primärschlüssel-Fingerabdrucks" habe ich zwei Leerzeichen zwischen "8065" und "5626". Wenn ich eine Tabelle mit der Zeichenfolge auf der Signaturseite verifiziere, erhalte ich ein Ergebnis "FALSE", weil in meinen Ergebnissen ein zusätzlicher Leerraum vorhanden ist. Ich habe die Quelle der Signaturseite überprüft, um zu sehen, ob der Browser das zusätzliche Leerzeichen ignoriert hat. Dies ist jedoch nicht der Fall.
2171 BEEA D0DD 92A1 8065 5626 DCCA A5B3 FEB7 C7BC # From Source of Signature Page 2171 BEEA D0DD 92A1 8065 5626 DCCA A5B3 FEB7 C7BC # From My Results
Solange ich diesen zusätzlichen Leerraum entferne, stimmen meine Ergebnisse mit den Ergebnissen auf der Signaturseite überein. Sollten sie jedoch nicht ohne mein Zutun passen? Sollte ein Unterschied in der Whitespace für Alarm sorgen?
Leider sind die GPG-Manpages für mich immer noch ziemlich undurchschaubar oder, wie manche sagen, "benutzerfeindlich" (Suche "benutzerfeindliche gpg"), also brauche ich ein paar zusätzliche Möhren, die mir in den Weg geworfen wurden. Ich gebe es zu: Ich bin dumm. Als ich noch gelernt hatte, wie man die MD5-Verifikation anwendet, bin ich fast genauso viel herumgeflogen wie ich.
Ehrlich gesagt, was für ein Rigmarole! Warum konnten KeepassX-Entwickler nicht einfach ein MD5 veröffentlicht haben, um das heruntergeladene Installationsprogramm mithilfe von ExactFile überprüfen zu können.
therobyouknow vor 8 Jahren
0
Beim ersten Befehl, den Sie angegeben haben, sollten Sie auf die .asc-Signaturdatei verweisen - nicht auf die EXE-Datei. Die EXE-Datei sollte sich auch in demselben Verzeichnis befinden wie die ASC-Datei.
Von der gpg-Manpage:
--überprüfen Nehmen Sie an, dass das erste Argument eine signierte Datei oder eine getrennte Signatur ist, und überprüfen Sie es ohne Generierung. eine beliebige Ausgabe. Ohne Argumente wird das Signaturpaket aus STDIN gelesen. Wenn nur eine Sigfile angegeben wird, Es kann sich um eine vollständige Signatur oder eine getrennte Signatur handeln. In diesem Fall wird das signierte Zeug in einer erwartet Datei ohne die Erweiterung ".sig" oder ".asc". Bei mehr als einem Argument sollte das erste ein freistehendes Argument sein Signatur und die restlichen Dateien sind das signierte Zeug. Um das signierte Zeug von STDIN zu lesen, verwenden Sie '-' ' als zweiter Dateiname. Aus Sicherheitsgründen kann eine getrennte Signatur das signierte Material nicht lesen STDIN, ohne es auf die obige Weise zu bezeichnen.
Woops! Ich habe wichtige Details ausgelassen. Beim Herunterladen von KeePass 2.14 (http://keepass.info/download.html) erhalte ich nur diese EXE-Datei. Es gab keinen Ordner (gezippt oder anderweitig), den ich heruntergeladen habe. Wenn Sie über den Link oben rechts "KeePass 2.14 (Installer EXE für Windows)" herunterladen, wird dies angezeigt. Deshalb ging ich davon aus, dass ich den Befehl '--verify' für die EXE-Datei ausführen und eine .asc / .sig-Datei erzeugen würde. Warum sollten sie eine GnuPG-Signatur für die .asc-Datei (http://keepass.info/integrity_sig.html) haben, diese aber nicht im Download bereitstellen? Befindet sich in einem Ordner _after_ ist KeePass installiert?
Stisfa vor 13 Jahren
0
Die Exe.asc-Datei ist die Signatur für die Exe-Datei. Sie benötigen beide Dateien in demselben Ordner, wenn Sie versuchen, dies zu überprüfen. Wenn Sie die .exe.asc-Datei an gpg --verify übergeben, wird nach der zugehörigen Datei (.exe) im selben Ordner gesucht. Dies ist alles, bevor Sie die EXE-Datei ausführen / installieren. Bei der Bestätigung wird mir mitgeteilt, dass die Signatur des öffentlichen Schlüssels 0xFEB7C7BC ist. Dies entspricht dem [öffentlichen Schlüssel] (http://keepass.info/integrity/Dominik_Reichl.asc), der auf der Seite [signatures] (http: // keepass) veröffentlicht ist. info / integrated_sig.html), aber das überprüft nicht wirklich viel, da sowohl sig als auch öffentlicher Schlüssel aus derselben Quelle stammen.
Mike Fitzpatrick vor 13 Jahren
1
Woher bekomme ich die .exe.asc-Datei? Ich verstehe, dass ich diese Datei überprüfen muss, sie wird jedoch nie heruntergeladen, wenn ich sie von [SourceForge] herunterlade (http://sourceforge.net/projects/keepass/files/KeePass%202.x/2.14/KeePass-2.14- Setup.exe / download).
Stisfa vor 13 Jahren
0
Okay, Sieht so aus, als müssten Sie mich noch ein bisschen weniger dumm machen: Ich ging auf die Signaturseite, die Sie verlinkt haben, und probierte etwas anderes aus. Ich habe mit der rechten Maustaste (in Chrome) auf die exe.asc-Datei geklickt und dann auf "Verknüpfung speichern unter ..." geklickt. Von dort habe ich es auf meinem Desktop gespeichert und dann erneut gpg.exe ausgeführt. Dieses Mal erhalte ich diese Ausgabe: `C: \ Programme (x86) \ GNU \ GnuPG> gpg.exe --verify" C: \ Benutzer \ Benutzer \ Desktop \ KeePass-2.14-Setup.exe.asc "gpg: Signatur gemacht 01/02/11 05:25:24 mit DSA-Schlüssel-ID FEB7C7BC gpg: Signatur kann nicht überprüft werden: öffentlicher Schlüssel nicht gefunden`
Stisfa vor 13 Jahren
0
"... das bestätigt nicht wirklich viel, da sowohl der sig als auch der öffentliche Schlüssel aus derselben Quelle stammen." - Hier werde ich erwischt, wenn ich an PGP / GPG denke. Ich denke, ein Teil des Problems könnte mit der Tatsache zusammenhängen, dass ich aus Sicht der MD5SUM / SHA1SUM-Hashes über PGP-Sigs nachdenke. In diesen Fällen führe ich MD5- und SHA1-Überprüfungen für eine bestimmte Datei aus und vergleiche die resultierenden Werte mit den veröffentlichten Werten, wie [hier] (http://keepass.info/integrity.html). Wäre es also richtig, dass ich aufhören muss, an das Hash-Sum-Paradigma zu denken? Wenn ja, wie sollte ich PGP-Sigs sehen?
Stisfa vor 13 Jahren
0
Hier sind die Links: [.exe] (http://downloads.sourceforge.net/keepass/KeePass-2.14-Setup.exe), [.exe.asc] (http://keepass.info/integrity/v2/ KeePass-2.14-Setup.exe.asc) und den [öffentlichen Schlüssel] des Autors (http://keepass.info/integrity/Dominik_Reichl.asc). Sie sollten den öffentlichen Schlüssel des Autors in Ihre Schlüsselkette importieren und die anderen beiden Dateien in demselben Verzeichnis ablegen. Sie sollten dieses Verzeichnis wahrscheinlich auch zum aktuellen Arbeitsverzeichnis und nicht zum Verzeichnis gpg machen, nur um sicherzugehen. Der Validierungsprozess setzt voraus, dass Sie der Gültigkeit des öffentlichen Schlüssels des Autors vertrauen ...
Mike Fitzpatrick vor 13 Jahren
2
Nach meinem Verständnis kann eine erfolgreiche Überprüfung einer Datei mit ihrer Signaturdatei ** dabei helfen, Downloadfehler (oder Angriffe von mittlerer Größe) zu erkennen, aber es hilft Ihnen nicht zu überprüfen, ob die Datei wirklich von der Person stammt, der die Datei gehört öffentliche Unterschrift. Wenn Sie bereits über eine vertrauenswürdige Kopie des öffentlichen Schlüssels des Autors in Ihrem gpg-Schlüsselring verfügten, konnten Sie überprüfen, ob die EXE-Datei wirklich signiert wurde. Der öffentliche Schlüssel und die Signatur aus derselben Quelle können jedoch nichts über den Unterzeichner beweisen Identität.
Mike Fitzpatrick vor 13 Jahren
1
@Stisfa: Tief im Inneren ist eine PGP-Signatur * ein Hash, aber sie befindet sich hinter einer asymmetrischen Verschlüsselungsebene, sodass Sie ihre Authentizität überprüfen können.
grawity vor 13 Jahren
0
@Mike: s / besitzt die öffentliche Signatur / besitzt das Schlüsselpaar /
grawity vor 13 Jahren
1
@grawity: Ich habe die Idee (Mike hat mich in die richtige Richtung gebracht, denke ich), aber ich muss noch etwas Zeit investieren, um etwas über PGP zu lernen. Im Moment gehe ich durch das [GPG Mini HowTo] (http://www.dewinter.com/gnupg_howto/english/GPGMiniHowto.html), bevor ich weitere Beiträge schreibe. Im Grunde zwang ich mich zu RTM, da Mike es für mich ein wenig vereinfachen konnte. Wenn es nur eine anthropomorphisierte, aber prägnante Erklärung für n00bs wie mich gäbe ... muss ich um mehr Geduld von allen bitten, da ich noch viele weitere Fragen habe = D
Stisfa vor 13 Jahren
0
@grawity: "s / besitzt die öffentliche Signatur / besitzt das Schlüsselpaar /" es ist mir peinlich zu fragen, was bedeutet das? Ich gehe davon aus, dass es sich um einen Verweis auf IRC-Befehle handelt. Wenn ja, geht mir die Bedeutung verloren ... Entschuldigung.
Stisfa vor 13 Jahren
0
@Stisfa: @grawity bedeutet richtig, dass ich hätte schreiben sollen "besitzt das Schlüsselpaar" statt "besitzt die öffentliche Signatur".
Mike Fitzpatrick vor 13 Jahren
2
@Stisfa: `s / from / bis /` bedeutet normalerweise "Ersetzen des regulären Ausdrucks" von "durch Text" bis ""; Es ist in der Regel im IRC zu sehen, stammt aber von den Unix-Texteditoren * ed *, * sed * und * vi *. Ursprünglich von [QED] (http://cm.bell-labs.com/cm/cs/who/dmr/qedman.pdf) auf GE-635.
grawity vor 13 Jahren
1
+1 Jungs; Vielen Dank. Im Übrigen habe ich die Frage aktualisiert, also habe ich mich gefragt, ob ich nur etwas mehr Feedback bekommen könnte, bitte? Vielen Dank im Voraus ^. ^
Stisfa vor 13 Jahren
0
@Stisfa: ** 1) ** `Dominik_Reichl.asc` enthält einen öffentlichen Schlüssel, den Sie importieren können (aber nicht prüfen); `KeePass-2.14-Setup.exe.asc` enthält eine getrennte Signatur, die überprüft (aber nicht importiert) werden kann. `KeePass-2.14-Setup.exe` ist eine ausführbare Datei und enthält keine PGP-Daten. Die Ausgabe aller 6 Befehle ist korrekt.
grawity vor 13 Jahren
1
@Stisfa: ** 2) ** Es ist nicht genau gleichwertig. Die Überprüfung verwendet in der Tat einen Hash (wahrscheinlich jedoch SHA1 oder SHA256, da MD5 als unsicher betrachtet wird). Es ist jedoch _mehr_ als nur 'md5sum': Der berechnete Hash wird nicht angezeigt, sondern mit dem in 'KeePass ... exe.asc' aufgezeichneten verglichen. (In Ihrem Fall stimmen sie überein.) Und es ist kein einfacher Hash in der Datei, sondern eine digitale Signatur - ein mit dem privaten Schlüssel des Signaturgebers verschlüsselter Hash, um sicherzustellen, dass tatsächlich Dominik Reichl die Datei signiert hat. * (Ich kann die Dinge nicht erklären. Siehe "Digitale Signatur" in Wikipedia.) *
grawity vor 13 Jahren
1
@Stisfa: ** 3) ** Der Fingerabdruck des Schlüssels ist nichts anderes als ein Hash des öffentlichen Schlüssels. "2171 BEEA D0DD ..." sind nur Teile einer langen Hexadezimalzahl (wie die Ausgänge "md5sum"), die zur besseren Lesbarkeit durch Leerzeichen getrennt sind. `2171beead0dd ...` würde genau dasselbe bedeuten.
grawity vor 13 Jahren
1
@grawity: Danke für Punkt 3. Ich habe einen Unterschied in dem Fall gesehen, in dem das MD5-Ergebnis in Großbuchstaben und die Überprüfung auf der Quellwebsite alles in Kleinbuchstaben war. Das hat mich mit einigen Zweifel hinterlassen, aber Sie haben sie geklärt! Vielen Dank! Ich versuche immer noch, meine Meinung darüber zu entwickeln, wie PGP / GPG funktioniert, so dass Sie weiterhin mit meinen Unzulänglichkeiten langweilig sein müssen.
Stisfa vor 13 Jahren
0
@Stisfa: Wenn Sie Fragen zu PGP im Allgemeinen haben, wäre es einfacher, separate [posts] (http://superuser.com/questions/ask) einzureichen, anstatt in Kommentaren nachzufragen.
grawity vor 13 Jahren
0
@Grawity: Entschuldigungen; Ich habe nur Angst, dass ich SuperUser mit all meinen Anfragen spamieren würde, also dachte ich, es wäre besser, diesen Beitrag zu überspielen. Nach mehr Lektüre (Man Pages / Tutorials / Wiki / ETC) werde ich einen einzelnen Beitrag mit mehreren Fragen schreiben. In diesem Fall sind jedoch folgende Hauptanliegen: ** Hat der 5. Befehl die Gültigkeit meiner Kopie von KeePass erfolgreich überprüft? War es überhaupt notwendig, da meine MD5- und SHA1-Überprüfungen gut waren? Nichts zu 100% sicher, aber gibt es irgendetwas anderes, was ich tun kann / sollte, um sicherzustellen, dass meine KeePass-Kopie unbeschädigt / sauber ist? ** Entschuldigung, ich habe OCD-gesteuerte Paranoia ...
Stisfa vor 13 Jahren
0
@Stisfa: ** Ja **, der Hash Ihrer Kopie entspricht dem veröffentlichten Hash. ("Gute Signatur von ...") ** Aber **, wie gesagt, eine digitale Signatur ist * mehr * als nur ein Hash - sie soll auch die Authentizität der Datei sicherstellen. Bei einfachen SHA1 / MD5-Hashes könnte jemand in die Server der KeePass-Website eingebrochen sein, eine gefälschte `.exe 'hochgeladen haben, seinen SHA1-Hash veröffentlicht haben, und er würde * völlig normal * aussehen. Wenn der Angreifer hingegen eine PGP-Signatur veröffentlichen musste, würde er sofort feststellen, dass diese von einer anderen Person erstellt wurde.
grawity vor 13 Jahren
1
@Stisfa: (Forts.) Obwohl Sie vorsichtig sein und wichtige Änderungen feststellen müssen; Verlassen Sie sich nicht nur auf "Gute Unterschrift von Dominik Reichl". Sie müssen diesen Schlüssel tatsächlich überprüfen. In diesem Fall haben Sie den Fingerabdruck mit einem Fingerabdruck von der Website verglichen. (Dies ist leider nicht viel sicherer als der Vergleich von SHA-Hashes von KeePass.) Jetzt, da Sie es in Ihrem GPG-Schlüsselring haben, können Sie den DR-Schlüssel signieren (`gpg - .sign-Schlüssel FEB7C7BC`, um eine _local_-Signatur hinzuzufügen). Alle zukünftigen Überprüfungen von KeePass zeigen, dass der Schlüssel vertrauenswürdig ist.
grawity vor 13 Jahren
1
@Stisfa: (Fortsetzung) Weitere Informationen zur Funktionsweise des ganzen Chaos finden Sie unter [Web of Trust] (http://en.wikipedia.org/wiki/Web_of_trust).
grawity vor 13 Jahren
1
@Grawity: +1 auf der ganzen Linie. Danke für die Antwort. Es beginnt mir zu dämmern, dass dies ein Thema ist, das keine echte "direkte" Antwort hat; Ich denke, es könnte damit verglichen werden, dass ein Elektrotechniker gebeten wird, die Funktionsweise einer CPU zu vereinfachen, und dann gebeten wird, dass er mir beibringt, wie ich selbst eine bauen kann. Ich werde ein wenig mehr persönlich recherchieren, was mich wundert. Hat sich sonst noch jemand die Mühe gemacht, so weit zu gehen, dass seine Version von KeePass legitim ist, lol?
Stisfa vor 13 Jahren
0
1
Jan Ivar Beddari
Sie sind zu kompliziert, wie es scheint :-) Versuchen Sie, eine Suche nach der DSA-Schlüssel-ID FEB7C7BC unter https://keyserver.pgp.com/vkd/GetWelcomeScreen.event durchzuführen, und ich denke, Sie haben es verstanden!
Nun, ich habe es zuerst nicht verstanden. Nachdem ich die Gelegenheit hatte, mit GPG zusammenzuarbeiten, mit Mike Fitzpatrick und grawity zu korrespondieren, das "Web of trust" -Konzept von Wikipedia zu lesen und schließlich den von Ihnen geposteten Link zu verwenden, komme ich auf die Idee. Wenn ich die DSA-Schlüssel-ID von einer anderen Quelle (dem von Ihnen bereitgestellten Link) herunterladen kann und KeePass zusammen mit der entsprechenden Signatur von einer separaten Quelle (der KeePass-Homepage) herunterladen kann, vergewissern Sie sich, dass ich eine gültige Bestätigung habe. Meiner Ansicht nach.
Stisfa vor 13 Jahren
0
0
Stisfa
Dieser Beitrag ist hauptsächlich für eine "A-to-Z" -Aufschlüsselung gedacht. Auf diese Weise kann jeder, der sich daran hält, eine Antwort erhalten, ohne alle Kommentare durchgraben zu müssen. Bitte stimme dem nicht zu; Als Dank geht an die Teilnehmer (Mike Fitzpatrick, Grawity und Jan Ivar Beddari).
Eine andere Sache: traue diesem Beitrag nicht! Uninteressante Aussage, aber ich poste dies mit einem fehlerhaften / eingeschränkten Verständnis der Funktionsweise von GPG. Ich werde dies aktualisieren, wenn ich ein besseres Verständnis davon habe. Im Moment habe ich ein nebliges Verständnis dafür, wie es funktioniert.
Laden Sie Ihre gewünschte Version von KeePass, die entsprechende Signatur und den öffentlichen Schlüssel in das gleiche Verzeichnis Ihrer bevorzugten Linux-Distribution herunter (in meinem Fall habe ich Ubuntu verwendet und den Desktop zum Arbeitsverzeichnis gemacht).
Das ist wichtig! Der öffentliche Schlüssel auf der KeePass-Website sollte nicht heruntergeladen werden! Sie müssen einen öffentlichen Schlüssel herunterladen, der von anderen Benutzern als vertrauenswürdig eingestuft wird. Hoffentlich handelt es sich dabei um Personen, denen Sie vertrauen. Wie machst du das? Bitten Sie einen Freund mit einem vertrauenswürdigen öffentlichen Schlüssel, Ihnen eine Kopie zu geben. aber Sie müssen nicht unbedingt einen Freund haben, der das hat. Nun, dank Jan Ivar Beddaris Post kann man von hier aus einen von Dominik Reichl herausgegebenen Public Key herunterladen und den Import the Public Key von dort verwenden.
Öffnen Sie ein Terminal ("STRG + ALT + T" in Ubuntu)
Lauf cd Desktop/
Lauf gpg --import %KEYNAME%.asc
Lauf gpg --verify %SIGNATURE%.asc
Vergleichen Sie den resultierenden Fingerabdruck mit dem von der KeePass-Website
Hier sind meine Ergebnisse bei Verwendung des öffentlichen Schlüssels von keyserver.pgp.com:
proto@type:~$ cd Desktop/ proto@type:~/Desktop$ gpg --import key0xDCCAA5B3FEB7C7BC.asc gpg: key FEB7C7BC: public key "Dominik Reichl " imported gpg: Total number processed: 1 gpg: imported: 1 gpg: no ultimately trusted keys found proto@type:~/Desktop$ gpg --verify KeePass-2.14-Setup.exe.asc gpg: Signature made Sun 02 Jan 2011 05:25:24 AM MST using DSA key ID FEB7C7BC gpg: Good signature from "Dominik Reichl " gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner. Primary key fingerprint: 2171 BEEA D0DD 92A1 8065 5626 DCCA A5B3 FEB7 C7BC
Dann sind hier meine Ergebnisse, wenn Sie den öffentlichen Schlüssel von der KeePass-Website verwenden:
proto@type:~$ cd Desktop proto@type:~/Desktop$ gpg --import Dominik_Reichl.asc gpg: key FEB7C7BC: public key "Dominik Reichl " imported gpg: Total number processed: 1 gpg: imported: 1 proto@type:~/Desktop$ gpg --verify KeePass-2.14-Setup.exe.asc gpg: Signature made Sun 02 Jan 2011 05:25:24 AM MST using DSA key ID FEB7C7BC gpg: Good signature from "Dominik Reichl " gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner. Primary key fingerprint: 2171 BEEA D0DD 92A1 8065 5626 DCCA A5B3 FEB7 C7BC
Wie Sie sehen, sind die Ergebnisse alle gleich, mit Ausnahme des Teils "gpg: keine letztendlich vertrauenswürdigen Schlüssel gefunden". Ich bin nicht sicher, was ich davon halten soll, aber die Key Fingerprints entsprechen denen auf der KeePass-Website, was beim Überprüfen der Datei von Bedeutung ist. Dies unterscheidet sich jedoch erheblich von der Überprüfung der Vertrauenswürdigkeit des öffentlichen Schlüssels. Der öffentliche Schlüssel ist etwas, dem Sie vertrauen oder nicht vertrauen, etwa ob Sie einem Fremden vertrauen. Eine Möglichkeit, wie vertrauenswürdig zu wirken, besteht darin, dass sie mehrere Personen haben, die sich für sie verbürgen, was für den öffentlichen Schlüssel derselbe ist. Auch dies ist aus meinem begrenzten Umfang, daher ist auch von Ihnen eine sorgfältige Prüfung erforderlich!
Wenn Sie jedoch warten können, bearbeite ich langsam meine Beiträge, um eine kurze, einfache und hoffentlich genaue Darstellung der korrekten Verwendung von GPG bei der Überprüfung der eigenen Version von KeePass zu bevorzugen.
Versuchen Sie es natürlich auf Ubuntu. Windows neigt dazu, ein Schmerz zu sein, wenn Sie meine Bedeutung annehmen ...
0
Milan
WICHTIG! Dies ist nur zu Ihrer Information. Wenn Sie von einer Plattform zu einer anderen migrieren (z. B. von Windows nach Linux) und KeepAss erneut installieren, vergewissern Sie sich, dass Sie das richtige Paket installieren. KeepAssX ist zuerst in Repos verfügbar. Wenn Sie jedoch die KeepAss2-Datenbank verwenden, wird der oben genannte Fehler ausgegeben. Bitte verwenden Sie das KeepAss2-Paket für die .kbdx-Datenbank.