Ich versuche, die PGP-Signatur der neuesten Version der Setup-Datei von KeePass 2.14 zu überprüfen gegenDasSignatur, aber dies ist die Ausgabe, die ich erhalte:
C:\Program Files (x86)\GNU\GnuPG>gpg.exe --verify C:\Users\User\Desktop\KeePass-2.14-Setup.exe
gpg: no valid OpenPGP data found.
gpg: the signature could not be verified.
Please remember that the signature file (.sig or .asc)
should be the first file given on the command line.
C:\Program Files (x86)\GNU\GnuPG>
Ich habe diesen Befehl gefundenHier, aber es wurde nichts über ".sig"- oder ".asc"-Dateien erwähnt, also dachte ich, ich hätte etwas falsch gemacht. Durch das Lesen derman-Seiten, ich habe außerdem Folgendes versucht:
C:\Program Files (x86)\GNU\GnuPG>gpg.exe --pgpfile C:\Users\User\Desktop\KeePass-2.14-Setup.exe
gpg: Invalid option "--pgpfile"
C:\Program Files (x86)\GNU\GnuPG>
Wie Sie sehen, sind die Ergebnisse ziemlich verwirrend ...
Ich habe mir angesehendies auf SuperUser, aber keiner der Links schien meine Frage wirklich zu beantworten, zumindest nicht direkt genug, um mir eine Vorstellung davon zu geben, wie ich weiter vorgehen sollte.
Kann mir hier jemand mit den esoterischen technischen Details von OpenPGP und der damit verbundenen Verwendung des GnuPG-Programms helfen? Ich kam mir ziemlich dumm vor, als ich VBS lernte, aber das hier ist mehr als demütigend: Es lähmt mich absolut und zerstört jedes Vertrauen, das ich in meine IT-Kenntnisse hatte (andererseits habe ich auch keinen Grund, damit zu prahlen, da ich mein A+-Zertifikat noch nicht habe, lol).
AKTUALISIERUNG 04.04.2011
Okay, ich hatte keine Lust mehr, mit Windows herumzuspielen, und beschloss, es richtig zu machen und Ubuntu zu starten. Allein dadurch wurde alles viel logischer!
Hier ist meine Befehlsliste und mein aktueller Stand:
proto@type:~$ cd Desktop/proto@type:~/Desktop$ gpg --import KeePass-2.14-Setup.exe.asc gpg: no valid OpenPGP data found. gpg: Total number processed: 0proto@type:~/Desktop$ gpg --import Dominik_Reichl.asc gpg: /home/proto/.gnupg/trustdb.gpg: trustdb created gpg: key FEB7C7BC: public key "Dominik Reichl " imported gpg: Total number processed: 1 gpg: imported: 1proto@type:~/Desktop$ gpg --verify KeePass-2.14-Setup.exe gpg: no valid OpenPGP data found. gpg: the signature could not be verified. Please remember that the signature file (.sig or .asc) should be the first file given on the command line.proto@type:~/Desktop$ gpg --verify KeePass-2.14-Setup.exe.asc gpg: Signature made Sun 02 Jan 2011 05:25:24 AM MST using DSA key ID FEB7C7BC gpg: Good signature from "Dominik Reichl " gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner. Primary key fingerprint: 2171 BEEA D0DD 92A1 8065 5626 DCCA A5B3 FEB7 C7BCproto@type:~/Desktop$ gpg --verify Dominik_Reichl.asc gpg: verify signatures failed: unexpected data
Wie von Mike angewiesen, habe ich die „.exe“- und „.asc“-Dateien im selben Verzeichnis abgelegt, nämlich auf dem Desktop. Wie Sie im Code sehen können, habe ich auch den öffentlichen Schlüssel „Dominik_Reichl.asc“ im Desktop-Verzeichnis abgelegt.
Bitte haben Sie Geduld mit mir, da ich von MD5 gründlich verwöhnt bin. Ich gehe davon aus, dass Schritt 5 von oben das GPG-Äquivalent hierzu ist:
C:\Users\user\>CD Desktop
C:\Users\user\Desktop>MD5Sum KeePass-2.14-Setup.exe
bae59065b24f0a6f2ed4bb9e0d6fc65f *KeePass-2.14-Setup.exe
Ich sage das, weil sich das Verhalten ändert, wenn ich die Datei „KeePass-2.14-Setup.exe“ in einen „temp“-Ordner auf dem Desktop verschiebe. Wenn ich den Befehl ausführe, erhalte ich folgendes Ergebnis:
proto@type:~/Desktop$ gpg --verify KeePass-2.14-Setup.exe.asc
gpg: no signed data
gpg: can't hash datafile: file open errorDiese Ergebnisse haben mich zu der Annahme veranlasst, dass ich die "DSA-Schlüssel-ID" und den "Primärschlüssel-Fingerabdruck" aus Schritt 5 extrahieren und mit denWerte oben auf der Signaturseite. Ist das also die Ähnlichkeit mit der MD5-Verifizierung? Ist das alles? Oder gibt es noch einen weiteren Schritt? Gibt es einen Befehl, mit dem ich verifizieren kanndiesezweiSaiten? Sind das die Zeichenfolgen, die ich wirklich überprüfen muss? Was sind das für Zeichenfolgen?
Jetzt gibt es noch ein weiteres Problem, mit dem ich mich herumschlagen muss. In den Ergebnissen des „Primärschlüssel-Fingerabdrucks“ habe ich zwei Leerzeichen zwischen „8065“ und „5626“. Wenn ich eine Tabelle verwende, um meine Ergebnisse mit der Zeichenfolge auf der Signaturseite zu überprüfen, erhalte ich aufgrund der zusätzlichen Leerzeichen in meinen Ergebnissen ein „FALSCHES“ Ergebnis. Ich habe die Quelle der Signaturseite überprüft, um festzustellen, ob der Browser die zusätzlichen Leerzeichen ignoriert, aber das ist nicht der Fall.
2171 BEEA D0DD 92A1 8065 5626 DCCA A5B3 FEB7 C7BC # From Source of Signature Page
2171 BEEA D0DD 92A1 8065 5626 DCCA A5B3 FEB7 C7BC # From My ResultsSolange ich diese zusätzlichen Leerzeichen entferne, stimmen meine Ergebnisse mit denen auf der Signaturseite überein. Aber sollten sie nicht auch ohne mein Zutun übereinstimmen? Sollte ein Unterschied bei den Leerzeichen ein Grund zur Beunruhigung sein?
Leider sind mir die GPG-Manpages immer noch ziemlich unklar, oder wie manche es nennen würden „benutzerfeindlich“ (suchen Sie nach „benutzerfeindliches GPG“), also muss ich mir noch ein paar zusätzliche Anreize zuwerfen. Ich gebe es zu: Ich bin dumm. Tatsächlich habe ich damit fast genauso viel herumgefummelt, als ich noch lernte, wie man die MD5-Verifizierung verwendet, wie mit diesem.
Antwort1
Beim ersten Befehl, den Sie angegeben haben, sollten Sie auf die ASC-Signaturdatei verweisen – nicht auf die EXE-Datei. Die EXE-Datei sollte sich außerdem im selben Verzeichnis wie die ASC-Datei befinden.
Aus der GPG-Manpage:
--verifizieren
Nehmen wir an, dass das erste Argument eine signierte Datei oder eine separate Signatur ist und überprüfen Sie diese, ohne
ing jede Ausgabe. Ohne Argumente wird das Signaturpaket von STDIN gelesen. Wenn nur eine Sigdatei angegeben ist,
Es kann sich um eine vollständige Signatur oder eine getrennte Signatur handeln. In diesem Fall wird das signierte Material in einem
Datei ohne die Erweiterung ".sig" oder ".asc". Bei mehr als einem Argument sollte das erste ein separates
Signatur und die restlichen Dateien sind die signierten Sachen. Um die signierten Sachen von STDIN zu lesen, verwenden Sie '-'
als zweiten Dateinamen. Aus Sicherheitsgründen kann eine getrennte Signatur das signierte Material nicht lesen aus
STDIN, ohne es wie oben beschrieben zu kennzeichnen.
Antwort2
Sie machen die Dinge anscheinend zu kompliziert :-) Versuchen Sie eine Suche nach der DSA-Schlüssel-ID FEB7C7BC unterhttps://keyserver.pgp.com/vkd/GetWelcomeScreen.eventund ich denke, Sie verstehen es!
Antwort3
Dieser Beitrag ist hauptsächlich als „A-bis-Z“-Aufschlüsselung gedacht, damit jeder, der nicht weiterkommt, eine Antwort bekommt, ohne sich durch alle Kommentare wühlen zu müssen. Bitte stimmen Sie nicht dafür, denn der Verdienst gebührt den Teilnehmern (Mike Fitzpatrick, grawity und Jan Ivar Beddari).
Etwas anderes:vertraue diesem Beitrag nicht! Eine kontraintuitive Aussage, aber ich veröffentliche dies mit einem fehlerhaften/begrenzten Verständnis davon, wie GPG funktioniert. Ich werde dies aktualisieren, sobald ich es besser verstehe; im Moment habe ich nur eine vage Vorstellung davon, wie es funktioniert.
- Laden Sie sich Ihr gewünschtes Exemplar vonKeePass, die entsprechendeUnterschriftund den öffentlichen Schlüssel in dasselbe Verzeichnis auf Ihrer bevorzugten Linux-Distribution (in meinem Fall habe ich Ubuntu verwendet und den Desktop zum Arbeitsverzeichnis gemacht)
- Das ist wichtig!DerÖffentlicher Schlüsselauf der KeePass-Website sollte nicht heruntergeladen werden! Sie müssen einen öffentlichen Schlüssel herunterladen, dem andere Benutzer vertrauen, hoffentlich sind diese Benutzer Personen, denen Sie vertrauen. Wie machen Sie das? Bitten Sie einen Freund, der einen vertrauenswürdigen öffentlichen Schlüssel hat, Ihnen eine Kopie zu geben; aber Sie müssen nicht unbedingt einen Freund haben, der das hat. Nun, dank Jan Ivar Beddaris Beitrag kann man einen öffentlichen Schlüssel herunterladen, der von Dominik Reichl veröffentlicht wurde vonHierund importieren Sie von dort den öffentlichen Schlüssel.
- Öffnen Sie ein Terminal („STRG+ALT+T“ in Ubuntu)
- Laufen
cd Desktop/ - Laufen
gpg --import %KEYNAME%.asc - Laufen
gpg --verify %SIGNATURE%.asc - Vergleichen Sie den resultierenden Schlüsselfingerabdruck mit dem von der KeePass-Website
Hier sind meine Ergebnisse bei Verwendung des öffentlichen Schlüssels von keyserver.pgp.com:
proto@type:~$ cd Desktop/
proto@type:~/Desktop$ gpg --import key0xDCCAA5B3FEB7C7BC.asc
gpg: key FEB7C7BC: public key "Dominik Reichl " imported
gpg: Total number processed: 1
gpg: imported: 1
gpg: no ultimately trusted keys found
proto@type:~/Desktop$ gpg --verify KeePass-2.14-Setup.exe.asc
gpg: Signature made Sun 02 Jan 2011 05:25:24 AM MST using DSA key ID FEB7C7BC
gpg: Good signature from "Dominik Reichl "
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 2171 BEEA D0DD 92A1 8065 5626 DCCA A5B3 FEB7 C7BC
Hier sind meine Ergebnisse bei Verwendung des öffentlichen Schlüssels von der KeePass-Website:
proto@type:~$ cd Desktop
proto@type:~/Desktop$ gpg --import Dominik_Reichl.asc
gpg: key FEB7C7BC: public key "Dominik Reichl " imported
gpg: Total number processed: 1
gpg: imported: 1
proto@type:~/Desktop$ gpg --verify KeePass-2.14-Setup.exe.asc
gpg: Signature made Sun 02 Jan 2011 05:25:24 AM MST using DSA key ID FEB7C7BC
gpg: Good signature from "Dominik Reichl "
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 2171 BEEA D0DD 92A1 8065 5626 DCCA A5B3 FEB7 C7BC
Wie Sie sehen, sind die Ergebnisse alle gleich, mit Ausnahme des Abschnitts „gpg: keine absolut vertrauenswürdigen Schlüssel gefunden“. Ich bin mir nicht sicher, was ich davon halten soll, aber die Schlüsselfingerabdrücke stimmen mit denen auf der KeePass-Website überein, was bei der Überprüfung der Datei wichtig ist. Dies unterscheidet sich jedoch erheblich von der Überprüfung, ob der öffentliche Schlüssel vertrauenswürdig ist. Der öffentliche Schlüssel ist etwas, dessen Verwendung Sie vertrauen oder nicht, so wie Sie einem Fremden vertrauen. Eine Möglichkeit, sie als vertrauenswürdig erscheinen zu lassen, besteht darin, dass mehrere Personen für sie bürgen, was beim öffentlichen Schlüssel dasselbe ist. Auch dies liegt in meinem begrenzten Rahmen, daher ist auch von Ihrer Seite Sorgfalt geboten!
Wenn Sie jedoch warten können, werde ich meine Beiträge nach und nach bearbeiten, um eine prägnante, einfache und hoffentlich genaue Darstellung der ordnungsgemäßen Verwendung von GPG bei der Überprüfung einer KeePass-Kopie zu erhalten.
Antwort4
WICHTIG ! Dies dient nur zu Ihrer Information. Wenn Sie von einer Plattform auf eine andere migrieren (beispielsweise von Windows auf Linux) und KeepAss neu installieren, überprüfen Sie bitte, ob Sie das richtige Paket installieren. KeepAssX ist zunächst in Repos verfügbar, aber wenn Sie die KeepAss2-Datenbank damit verwenden, wird der oben genannte Fehler ausgegeben.Bitte verwenden Sie das KeepAss2-Paket für die .kbdx-Datenbank.