28.03.2017, 04:35 UTC+2

Sie sind nicht angemeldet.

  • Anmelden
  • Registrieren

1

17.03.2016, 17:46

/home/knoppix/.gnupg/gpg.conf' sind während dieses Laufes noch nicht wirksam

Hallo,

wollte ein Knoppix 7.6 verwenden, um eine Iso-Datei für eine anderes Live-System herunterzuladen.

Nun sollte ich ja den gpg-Schlüssel importieren. Dabei bekommeich die obige Meldung und weiß nicht was ich so recht tun kann.
Verstehe ich dasrichtig - ich muß das System neu starten, damit der importigte gpg-key wirksam wird?

Quellcode

1
2
3
4
5
6
7
8
9
10
11
12
13
14
[/knoppix@Microknoppix:~$ cd /home/knoppix/Downloads
knoppix@Microknoppix:~/Downloads$ gpg --keyid-format long --import xxx.key
gpg: Verzeichnis `/home/knoppix/.gnupg' erzeugt
gpg: Neue Konfigurationsdatei `/home/knoppix/.gnupg/gpg.conf' erstellt
gpg: WARNUNG: Optionen in `/home/knoppix/.gnupg/gpg.conf' sind während dieses Laufes noch nicht wirksam   <----- ????

gpg: Schlüsselbund `/home/knoppix/.gnupg/secring.gpg' erstellt
gpg: Schlüsselbund `/home/knoppix/.gnupg/pubring.gpg' erstellt
gpg: /home/knoppix/.gnupg/trustdb.gpg: trust-db erzeugt
gpg: Schlüssel xxx: Öffentlicher Schlüssel "xxx ..." importiert
gpg: Anzahl insgesamt bearbeiteter Schlüssel: 1
gpg:                              importiert: 1  (RSA: 1)
gpg: keine uneingeschränkt vertrauenswürdigen Schlüssel gefunden                                   <--- und was soll das???
knoppix@Microknoppix:~/Downloads$



Wollte eigentlich mid Der Live-DVD von Knoppix arbeiten - ohne extra einen USB-Stick zu verwenden (will ja im internet gerade keine Persistenz)

Besteht irgend eine Möglichkeit, den Schlüssel zu aktivieren, ohne das System neu zu starten?

Danke.

Gruss

The_idealist
es muss doch gehen ;)

klaus2008

Meister

Beiträge: 2 608

Geschlecht: Männlich

2

18.03.2016, 23:13

Hallo!

Ich verstehe die Meldung "gpg: WARNUNG: Optionen in `/home/knoppix/.gnupg/gpg.conf' sind während dieses Laufes noch nicht wirksam" so, dass die Konfigurationsdatei gerade erst erstellt und daher noch nicht beachtet wurde.
Meiner Meinung nach sollte diese Datei mit den Einstellungen beim nächsten Lauf des Programms berücksichtigt werden.

Wegen der Warnung "gpg: keine uneingeschränkt vertrauenswürdigen Schlüssel gefunden" würde ich Kapitel 3 Schlüsselverwaltung im "GNU-Handbuch zum Schutze der Privatsphäre" lesen und ausprobieren, ob sich (im berechtigten Fall) das Vertrauen in den Schlüssel steigern lässt.

Interessant fand ich im Zusammenhang mit der Fragestellung folgende Webseite: Integrität des Bootmediums

Vielleicht hilft das weiter.

Gruß
Klaus

3

19.03.2016, 11:20

/home/knoppix/.gnupg/gpg.conf' sind während dieses Laufes noch nicht wirksam

@Klaus

Danke für die Antwort.

Werde mich mal mit Deinen Links/Vorschlägen befassen.

Gruß

the_idealist100

4

19.03.2016, 11:58

Das beschriebene Vorgehen auf „http://www.openpgp-schulungen.de” ist etwas merkwürdig. Man sollte erst die Schlüssel von Klaus Knopper erfragen, wie es unter Cheatcodes → „Exclude forgery“ beschrieben ist, dann sehen, ob Prof. Knopper wirklich mit seinem Schlüssel die Prüfsumme signiert hat.

Um wirklich volles Vertrauen in die Signatur zu haben, kann man von ihm persönlich entweder telephonisch oder per Briefpost sich den Fingerprint geben lassen. Das was auf der Seite über Heise geschrieben wurde, ist Unsinn. Heise hat nicht den Schlüssel von Prof Knopper zertifiziert.
Gruß Werner * Eigene Rescue-CD
remaster Grml * remaster Knoppix

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »Werner P. Schulz« (19.03.2016, 13:28)


5

19.03.2016, 14:09

http://www.knoppixforum.de/knoppix-forum-deutsch/konfigurations-und-datensicherung/thread5977/home-knoppix-gnupg-gpg-conf-sind-w%C3%A4hrend-dieses-laufes-noch-nicht-wirksam.html

Hallo,

@Werner
Danke für Deinen Hinweis.

es geht auch nicht um den Schlüssel von Klaus Knopper.

Ich frage im Knoppix-Forum, weil ich mittels Knoppix einen Download eines anderen Live-System-Images und der gpg-Signatur durchführen will.
Und dann mit der Signatur das Imageüberprüfen will.

@Alle

was ich etwas misteriös finde, dass der Anbieter selbst eine Anleitung bietet, wie man das tut.
Ein Absatz beschreibt, wie man das über die Komandozeile tut
und hat direkt in der Erklärung einen Link um den Signatur-Schlüssel herunterzuladen.
Erklärt danach dass man dejn key mit der Option --import importiert.

Nun frage ich mich, wie sicher kann eine gpg-Signatur sein, die ich über einen Link der gleichen Seite herunterlade?
Ganz abgesehen davon, dass ich diese komische Warnung bekomme - der key also im Internet wohl nicht auf einem keyserver überprüft werden kann???

Oder habe ich da jetzt was ganz falsch verstanden?


Am Rande auf http://www.knoppixforum.de/index.php?pag…gen.de%E2%80%9D werden ganz andere gpg-Optionen zum import von key verwandt - mag daran liegen, dass diese dort aus dem Internet geholt werden - während ich diese gem. der anderen Anleitung vorher herunterladen soll?


Danke.

the_idealist100


Es ist ja nicht so, dass ich nicht versuche Anleitungen zu lesen, finde sie aber manchmal schon schwer verständlich
ala
Zitat
3. Signatur prüfen: die Erste
Die Gültigkeit der Signatur prüft man mit diesem Kommando <--- ???
(geht natürlich auch mit GUI):

gemeint ist wohl:
"Die Gültigkeit der Signaturdatei anhand des gpg-Schlüssels prüfen"

Wobei das eher meine Probleme mit so mal schnell hingeschriebenen halben Sätzen darstellen soll, als eine Kritik sein.
So eine Anleitung zu erstellen macht ja Arbeit - also eigentlich sollte ich dankbar sein.

klaus2008

Meister

Beiträge: 2 608

Geschlecht: Männlich

6

19.03.2016, 14:24

Hallo!

Zitat

Um wirklich volles Vertrauen in die Signatur zu haben, kann man von ihm persönlich entweder telephonisch oder per Briefpost sich den Fingerprint geben lassen.
Das gilt sinngemäß natürlich auch für das Problem des Themenerstellers. Wer garantiert überhaupt, dass eine Heft-DVD mit einem Linux-Live-System authentisch ist?

Es ist aber wirklich faszinierend, wie viele Menschen glauben, dass von einer "Autorität" ausgestellte Zertifikate absolute Sicherheit liefern, dass ein von einem öffentlichen Server heruntergeladener Binärcode keinen bewusst herbeigeführten Schaden verursachen wird. Sicherheit basiert immer auf Vertrauen in die Verteilungskette, sobald man keinen direkten Kontakt zum Hersteller hat.
Eigentlich sollte man sich nur ein Minimalsystem installieren und alle benötigten Programme (Pakete) selber aus den Quellen erzeugen, wenn man sich so gut wie möglich absichern will. Spätestens bei der Installation von zusätzlichen Programmen sollte man sich sowieso überlegen, ob ein Virenscanner auch unter Linux ein notwendiges Übel darstellt.

Ich denke, dass dieses Thema den Rahmen dieses kleinen Knoppix-Forums sprengt.

Gruß
Klaus

7

19.03.2016, 14:34

/home/knoppix/.gnupg/gpg.conf' sind während dieses Laufes noch nicht wirksam

Hallo,

nochmals Danke.



Ich denke, dass dieses Thema den Rahmen dieses kleinen Knoppix-Forums sprengt.

Gruß
Klaus


Ja das denke ich wohl auch, wollte eher nur deutlich beschreiben, wo mein Problem liegt.

Gruß

the_idealist100

8

19.03.2016, 19:20

Zitat

Es ist ja nicht so, dass ich nicht versuche Anleitungen zu lesen, finde sie aber manchmal schon schwer verständlich ala
<Zitat>
Signatur prüfen: die Erste
Die Gültigkeit der Signatur prüft man mit diesem Kommando (geht natürlich auch mit GUI):
gpg --verify KNOPPIX_V7.0.4CD-2012-08-20-DE.iso.sha1.asc
</Zitat>
gemeint ist wohl:
"Die Gültigkeit der Signaturdatei anhand des gpg-Schlüssels prüfen"
An Hand eines aktuellen Beispiels:
die Datei KNOPPIX_V7.6.1DVD-2016-01-16-DE.iso.sha1 hat folgenden Inhalt

Quellcode

1
91c5b924ccdb5fdead2f66adb4ba56a6af637e9f *KNOPPIX_V7.6.1DVD-2016-01-16-DE.iso
KK hat also die Prüfsumme für exakt diese und nur diese DVD-Version berechnet.

Die Datei KNOPPIX_V7.6.1DVD-2016-01-16-DE.iso.sha1.asc hat folgenden Inhalt

Quellcode

1
2
3
4
5
6
7
8
9
10
11
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

91c5b924ccdb5fdead2f66adb4ba56a6af637e9f *KNOPPIX_V7.6.1DVD-2016-01-16-DE.iso
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1

iEYEARECAAYFAlalGxAACgkQN5jj11fjcId9IgCgnn78Gxl+jjd7EjOl2Xdo2D9k
7g0AoNMmsUsQK0dQVH81aOlm5WhtbHXj
=E5OJ
-----END PGP SIGNATURE-----
KK hat die zuerst genannte Datei mit seinem Schlüssel signiert und bürgt damit für die Richtigkeit der Prüfsumme.

Wenn ich mir schon mal den öffentlichen Schlüssel von KK besorgt und in meine Schlüsselverwaltung importiert habe, kann ich feststellen, ob wirklich KK die erstgenannte Datei signiert hat, oder ein Fälscher am Werk war.

Quellcode

1
2
3
4
5
6
7
8
9
gpg --verify KNOPPIX_V7.6.1DVD-2016-01-16-DE.iso.sha1.asc 
gpg: Unterschrift vom So 24 Jan 2016 19:42:24 CET mittels DSA-Schlüssel ID 57E37087
gpg: Korrekte Unterschrift von "Klaus Knopper <knopper@knopper.net>"
gpg:                 	alias "Klaus Knopper <info@knopper.net>"
gpg:                 	alias "Klaus Knopper <knoppix@knopper.net>"
gpg: WARNUNG: Dieser Schlüssel trägt keine vertrauenswürdige Signatur!
gpg:      	Es gibt keinen Hinweis, daß die Signatur wirklich dem vorgeblichen Besitzer gehört.
Haupt-Fingerabdruck  = 0E57 3DA0 F139 69EF 1DD5  ACAA 3798 E3D7 57E3 7087
gpg: "WARNUNG: Keine abgetrennte Signatur; die Datei 'KNOPPIX_V7.6.1DVD-2016-01-16-DE.iso.sha1' wurde NICHT überprüft!

Die Signatur an sich wurde demnach von einem user mit Namen „Klaus Knopper” erstellt, die Datei speziell nicht überprüft. Und der Schlüssel wurde bisher von keiner Zertifizierungstelle bestätigt.

Wie schon erwähnt, falls ich Zweifel an dem öffentlichen Schlüssel auf dem Schlüsselserver habe, muß ich mir persönlich nochmal den Fingerprint von KK selbst geben lassen.
Gruß Werner * Eigene Rescue-CD
remaster Grml * remaster Knoppix

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »Werner P. Schulz« (20.03.2016, 08:38)


Linux HardwareLinux Computer & PCs | Linux Notebooks & Laptops | Geek Shirts | Geek und Nerd Shirt Shop