Lieber Besucher, herzlich willkommen bei: Knoppix Forum | www.KnoppixForum.de. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.
17.03.2016, 17:46
/home/knoppix/.gnupg/gpg.conf' sind während dieses Laufes noch nicht wirksam
Hallo,
wollte ein Knoppix 7.6 verwenden, um eine Iso-Datei für eine anderes Live-System herunterzuladen.
Nun sollte ich ja den gpg-Schlüssel importieren. Dabei bekommeich die obige Meldung und weiß nicht was ich so recht tun kann.
Verstehe ich dasrichtig - ich muß das System neu starten, damit der importigte gpg-key wirksam wird?
Wollte eigentlich mid Der Live-DVD von Knoppix arbeiten - ohne extra einen USB-Stick zu verwenden (will ja im internet gerade keine Persistenz)
Besteht irgend eine Möglichkeit, den Schlüssel zu aktivieren, ohne das System neu zu starten?
Danke.
Gruss
The_idealist
es muss doch gehen
wollte ein Knoppix 7.6 verwenden, um eine Iso-Datei für eine anderes Live-System herunterzuladen.
Nun sollte ich ja den gpg-Schlüssel importieren. Dabei bekommeich die obige Meldung und weiß nicht was ich so recht tun kann.
Verstehe ich dasrichtig - ich muß das System neu starten, damit der importigte gpg-key wirksam wird?
|
Quellcode |
1 2 3 4 5 6 7 8 9 10 11 12 13 14 |
[/knoppix@Microknoppix:~$ cd /home/knoppix/Downloads knoppix@Microknoppix:~/Downloads$ gpg --keyid-format long --import xxx.key gpg: Verzeichnis `/home/knoppix/.gnupg' erzeugt gpg: Neue Konfigurationsdatei `/home/knoppix/.gnupg/gpg.conf' erstellt gpg: WARNUNG: Optionen in `/home/knoppix/.gnupg/gpg.conf' sind während dieses Laufes noch nicht wirksam <----- ???? gpg: Schlüsselbund `/home/knoppix/.gnupg/secring.gpg' erstellt gpg: Schlüsselbund `/home/knoppix/.gnupg/pubring.gpg' erstellt gpg: /home/knoppix/.gnupg/trustdb.gpg: trust-db erzeugt gpg: Schlüssel xxx: Öffentlicher Schlüssel "xxx ..." importiert gpg: Anzahl insgesamt bearbeiteter Schlüssel: 1 gpg: importiert: 1 (RSA: 1) gpg: keine uneingeschränkt vertrauenswürdigen Schlüssel gefunden <--- und was soll das??? knoppix@Microknoppix:~/Downloads$ |
Wollte eigentlich mid Der Live-DVD von Knoppix arbeiten - ohne extra einen USB-Stick zu verwenden (will ja im internet gerade keine Persistenz)
Besteht irgend eine Möglichkeit, den Schlüssel zu aktivieren, ohne das System neu zu starten?
Danke.
Gruss
The_idealist
es muss doch gehen
19.03.2016, 14:24
Hallo!
Es ist aber wirklich faszinierend, wie viele Menschen glauben, dass von einer "Autorität" ausgestellte Zertifikate absolute Sicherheit liefern, dass ein von einem öffentlichen Server heruntergeladener Binärcode keinen bewusst herbeigeführten Schaden verursachen wird. Sicherheit basiert immer auf Vertrauen in die Verteilungskette, sobald man keinen direkten Kontakt zum Hersteller hat.
Eigentlich sollte man sich nur ein Minimalsystem installieren und alle benötigten Programme (Pakete) selber aus den Quellen erzeugen, wenn man sich so gut wie möglich absichern will. Spätestens bei der Installation von zusätzlichen Programmen sollte man sich sowieso überlegen, ob ein Virenscanner auch unter Linux ein notwendiges Übel darstellt.
Ich denke, dass dieses Thema den Rahmen dieses kleinen Knoppix-Forums sprengt.
Gruß
Klaus
Das gilt sinngemäß natürlich auch für das Problem des Themenerstellers. Wer garantiert überhaupt, dass eine Heft-DVD mit einem Linux-Live-System authentisch ist?
Zitat
Um wirklich volles Vertrauen in die Signatur zu haben, kann man von ihm persönlich entweder telephonisch oder per Briefpost sich den Fingerprint geben lassen.
Es ist aber wirklich faszinierend, wie viele Menschen glauben, dass von einer "Autorität" ausgestellte Zertifikate absolute Sicherheit liefern, dass ein von einem öffentlichen Server heruntergeladener Binärcode keinen bewusst herbeigeführten Schaden verursachen wird. Sicherheit basiert immer auf Vertrauen in die Verteilungskette, sobald man keinen direkten Kontakt zum Hersteller hat.
Eigentlich sollte man sich nur ein Minimalsystem installieren und alle benötigten Programme (Pakete) selber aus den Quellen erzeugen, wenn man sich so gut wie möglich absichern will. Spätestens bei der Installation von zusätzlichen Programmen sollte man sich sowieso überlegen, ob ein Virenscanner auch unter Linux ein notwendiges Übel darstellt.
Ich denke, dass dieses Thema den Rahmen dieses kleinen Knoppix-Forums sprengt.
Gruß
Klaus
19.03.2016, 14:34
/home/knoppix/.gnupg/gpg.conf' sind während dieses Laufes noch nicht wirksam
Hallo,
nochmals Danke.
Ja das denke ich wohl auch, wollte eher nur deutlich beschreiben, wo mein Problem liegt.
Gruß
the_idealist100
nochmals Danke.
Ich denke, dass dieses Thema den Rahmen dieses kleinen Knoppix-Forums sprengt.
Gruß
Klaus
Ja das denke ich wohl auch, wollte eher nur deutlich beschreiben, wo mein Problem liegt.
Gruß
the_idealist100
19.03.2016, 19:20
An Hand eines aktuellen Beispiels:
Es ist ja nicht so, dass ich nicht versuche Anleitungen zu lesen, finde sie aber manchmal schon schwer verständlich ala
<Zitat>
Signatur prüfen: die Erste
Die Gültigkeit der Signatur prüft man mit diesem Kommando (geht natürlich auch mit GUI):
gpg --verify KNOPPIX_V7.0.4CD-2012-08-20-DE.iso.sha1.asc
</Zitat>
gemeint ist wohl:
"Die Gültigkeit der Signaturdatei anhand des gpg-Schlüssels prüfen"
die Datei KNOPPIX_V7.6.1DVD-2016-01-16-DE.iso.sha1 hat folgenden Inhalt
|
|
Quellcode |
1 |
91c5b924ccdb5fdead2f66adb4ba56a6af637e9f *KNOPPIX_V7.6.1DVD-2016-01-16-DE.iso |
Die Datei KNOPPIX_V7.6.1DVD-2016-01-16-DE.iso.sha1.asc hat folgenden Inhalt
|
|
Quellcode |
1 2 3 4 5 6 7 8 9 10 11 |
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 91c5b924ccdb5fdead2f66adb4ba56a6af637e9f *KNOPPIX_V7.6.1DVD-2016-01-16-DE.iso -----BEGIN PGP SIGNATURE----- Version: GnuPG v1 iEYEARECAAYFAlalGxAACgkQN5jj11fjcId9IgCgnn78Gxl+jjd7EjOl2Xdo2D9k 7g0AoNMmsUsQK0dQVH81aOlm5WhtbHXj =E5OJ -----END PGP SIGNATURE----- |
Wenn ich mir schon mal den öffentlichen Schlüssel von KK besorgt und in meine Schlüsselverwaltung importiert habe, kann ich feststellen, ob wirklich KK die erstgenannte Datei signiert hat, oder ein Fälscher am Werk war.
|
|
Quellcode |
1 2 3 4 5 6 7 8 9 |
gpg --verify KNOPPIX_V7.6.1DVD-2016-01-16-DE.iso.sha1.asc gpg: Unterschrift vom So 24 Jan 2016 19:42:24 CET mittels DSA-Schlüssel ID 57E37087 gpg: Korrekte Unterschrift von "Klaus Knopper <knopper@knopper.net>" gpg: alias "Klaus Knopper <info@knopper.net>" gpg: alias "Klaus Knopper <knoppix@knopper.net>" gpg: WARNUNG: Dieser Schlüssel trägt keine vertrauenswürdige Signatur! gpg: Es gibt keinen Hinweis, daß die Signatur wirklich dem vorgeblichen Besitzer gehört. Haupt-Fingerabdruck = 0E57 3DA0 F139 69EF 1DD5 ACAA 3798 E3D7 57E3 7087 gpg: "WARNUNG: Keine abgetrennte Signatur; die Datei 'KNOPPIX_V7.6.1DVD-2016-01-16-DE.iso.sha1' wurde NICHT überprüft! |
Die Signatur an sich wurde demnach von einem user mit Namen „Klaus Knopper” erstellt, die Datei speziell nicht überprüft. Und der Schlüssel wurde bisher von keiner Zertifizierungstelle bestätigt.
Wie schon erwähnt, falls ich Zweifel an dem öffentlichen Schlüssel auf dem Schlüsselserver habe, muß ich mir persönlich nochmal den Fingerprint von KK selbst geben lassen.
Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »Werner P. Schulz« (20.03.2016, 08:38)
Ähnliche Themen
-
Hardware »-
wie bekomme ich eine OpenPGP Smartcard zum laufen
(31.03.2014, 18:19)
-
- Hardware »
-
Knoppix 7.0.5 und Ati Mobility M6 (Radeon 7000)
(10.02.2013, 18:25)
-
- Anwendungssoftware »
-
Probleme bei Nachinstallationen / bzw. mehrfach resistent machen
(20.03.2008, 17:36)