Wie ISO unter Windows verifizieren?

[Alphabetics]

Hallo,
ich habe eine Linux Manjaro iso heruntergeladen und die SHA1 ist OK. Ich möchte die .sig-Datei überprüfen. Ich habe hier nur Windows 10, ich habe gpg4win installiert (Kleopatra, Erweiterung für Kontextmenü …).
Ich habe das Handbuch von GNUPG und Foren gelesen.
Ich habe auch in Wikis gelesen, wie man ISO-Images verifiziert.

Nur eine Frage vorab.
Woher weiß ich, dass die importierten Schlüssel von den Keyservern (gitlab etc) gültig/vertrauenswürdig sind? In Wirklichkeit kann man sich nicht 100% sicher sein, oder? Ich möchte nur die Theorie dahinter lernen.
Irgendwelche guten Erklärungen (Website, YouTube?)

ISO-Datei und .sig-Datei befinden sich im selben Verzeichnis.
(übersetzt aus dem Deutschen)
Versuch 1:
Ich klicke mit der rechten Maustaste auf die .iso-Datei und "prüfe und verifiziere" das Ergebnis:
„Die Daten können nicht überprüft werden. Signatur erstellt am … mit dem unbekannten Zertifikat. Sie können das Zertifikat auf einem Schlüsselserver suchen …“
„Signatur kann nicht geprüft werden. Kein öffentlicher Schlüssel“

Versuch 2:
Ich habe die .gpg Datei (von gitlab) heruntergeladen und in Kleopatra importiert.
Ich bekomme immer noch eine Nachricht:
„Die Daten können nicht überprüft werden. Signatur erstellt am … mit dem Zertifikat Manjaro Build Server …. Sie können auf dem Schlüsselserver nach Zertifikaten suchen …
Der verwendete Schlüssel wurde weder von Ihnen, noch von ... beglaubigt."

Was muss ich jetzt tun, um sicher zu sein? Ich möchte das ganze einfach mal lernen.

Danke schön.

 

[Faizy]

Woher weiß ich, dass die importierten Schlüssel von den Keyservern (gitlab etc) gültig/vertrauenswürdig sind?

Indem du mit gesundem Menschenverstand verifizierst, dass die URL kein Phishing-Link ist.

Lies dich in Verschlusselung und die entsprechenden Algorithmen ein. Wenn du es wirklich lernen willst, dann wirst du auch sehr gute Mathekenntnisse benotigen.

 

[Frankieboy]

Faizy, meinst Du, dass Deine Antwort dem TE in irgendeiner Weise hilft?
Oder ist sie eher geeignet, Deine Überlegenheit und Dein Besserwissertum darzustellen.

 

[dermatu]

Naja er hat aber schon irgendwie recht. Wenn die Quelle vertrauenswürdig ist "sollte" das schon passen. Aber anscheinend muss es der Threadersteller wohl ganz genau verifizieren.

 

[0x8100]

Woher weiß ich, dass die importierten Schlüssel von den Keyservern (gitlab etc) gültig/vertrauenswürdig sind? In Wirklichkeit kann man sich nicht 100% sicher sein, oder?

du weisst es erstmal nicht. du traust dem keyserver. wenn du wirklich sicher sein möchtest, müsstest du dir den schlüssel persönlich von dessen besitzer signieren lassen (und dabei sicherstellen, dass derjenige wirklich der ist, der er vorgibt zu sein). oder du vertraust einer anderen person, die das gemacht hat. siehe keysigning.

mit zertifikaten z.b. für webseiten ist es nicht anders. letzendlich vertraust du der stelle, die die zertifikate für andere ausgestellt hat.

 

[Amaoto]

Ja, du brauchst den öffentlichen Schlüssel.

gpg --no-default-keyring --keyring manjaro.gpg --keyserver keyserver.ubuntu.com --search-keys Manjaro Build Server

Und dann den (1) wählen.
Anschließend sollte sich das ISO damit verifizieren lassen:

gpg --verify --keyring manjaro.gpg <datei>.iso.sig

 

[Wilhelm14]

Hat dich das Forum im Stich gelassen?
https://forum.manjaro.org/t/how-to-verify-iso-image-on-windows/94999/8
Das hilft dir nicht, spiegelt aber auch meine Erfahrung mit Linux wider. Stellst du eine zu einfache Frage, wird mit den Augen gerollt. Stellst du eine interessante Frage, auf die aber keiner eine Antwort hat kommt, "dann geh doch zu Netto". 😉

Persönlich würde ich der URL und der Prüfsumme vertrauen, auch wenn die SHA im Grunde nur prüft, ob der Download nicht kaputt ist.

PS: Und ja, mit Rechtsklick prüfen usw. muss das Zertifikat installiert sein. Und wieder ja, das kann man installieren, dem muss man aber auch wiederum vertrauen.

 

[bezelbube]

@Faizy
Nicht sehr hilfreich und Bockmist.
SHA1 und SHA256 sind Algorithmen und müssen nicht neu erfunden werden.
Iso`s müssen nicht verifiziert werden,da sie ihre Prüfsumme,ob nun SHA1 oder SHA256
schon beinhalten.Diese Prüfsumme kann man sich auch unter Windows,auch für
Linux Image ausgeben lassen/anzeigen lassen.
Habt ihr auch mal das Kontextmenü von Images angeschaut,da gibt es einen Eintrag,"CHC SHA".
Über diesen Kontextmenüeintrag kann man sich die jeweilige Prüfsümme auslesen/
anzeigen lassen.
Lade dir von dieser Seite Hier sind nicht nur die Iso zu downloaden,sondern auch die Prüfsummen.
Öffne die SHA256 Datei mit dem Editor und lass diese offen,dann checke über das Windowskontextmenü die Prüfsumme der Iso,die du heruntergeladen hast.
Stimmen beide überein ist alles easy.

 

[Amaoto]

Iso`s müssen nicht verifiziert werden,da sie ihre Prüfsumme,ob nun SHA1 oder SHA256
schon beinhalten.Diese Prüfsumme kann man sich auch unter Windows,auch für
Linux Image ausgeben lassen/anzeigen lassen.

ISO-Dateien beinhalten für gewöhnlich keine Prüfsummen. Man kann ja keine Prüfsumme hinzufügen ohne die Datei zu ändern (was wiederum die Prüfsumme ändern würde).

Habt ihr auch mal das Kontextmenü von Images angeschaut,da gibt es einen Eintrag,"CHC SHA".
Über diesen Kontextmenüeintrag kann man sich die jeweilige Prüfsümme auslesen/
anzeigen lassen.

"CRC SHA" kommt von 7-Zip, nicht Windows.

 

[bezelbube]

@Amaoto
Asche über mein Haupt,hatte nicht bedacht das dieser Kontextmenüeintrag von
7-zip eingebracht wurde.
Da Neuinstallationen bzw. Upgrades von Windows,bei mir schon 7-zip enthalten.
Ändert aber nichts an #8.

 

[Amaoto]

Ändert aber nichts an #8.

Es reicht nicht an das Thema des Threads heran. Mit den Hashes lässt sich "nur" die Integrität, aber nicht die Authentizität überprüfen.

 

[bezelbube]

@Amaoto
Selbst Integrität und Authentizität sind hier wohl gleichzusetzen.
Selbst Microsoft gibt nur Prüfsummen für seine offiziellen Iso`s an.
Mit diesen Prüfsummen von MVS arbeite ich schon immer.