gpg-keys zum verifyzieren von openSUSE

    Moin Moin

    Ich hab mir openSUSE-Leap-15.3-2-DVD-x86_64-Build24.5-Media.iso gedownloaded

    und dazu openSUSE-Leap-15.3-DVD-x86_64-Current.iso.sha256

    beides sha256sum

    e377fff244d36c3a1a03092d6f14230fdae8bd116dff638a2b3a41d89d51390a

    aber die beiden gpg-keys [3DBDC284] & [9C800ACA] die ich gefunden habe ergeben keine güldige verifiezierung

    Vielleicht habe ich nur die falschen Schlüssel?

    falls mir jemand einen Tipp geben kann, wo auf der opensuse-seite ich die richtigen bekommen kann wäre ich sehr dankbar.

    PS: Mir fehlt aber auch die .sig bzw. die .asc Datei... vielleicht weiß jemand wo ich die finde?

    Wer Ethmologie für eine Wissenschaft hält, der glaubt auch an Geisteswissenschaften.

    Einmal editiert, zuletzt von liniutrix (15. Januar 2022 um 14:02)

    Moin Include


    Danke für Deine Hilfsbereitschaft :thumbup:

    Da der Download von https://get.opensuse.org/leap nicht geklappt hat, habe ich die Datei von hier:

    https://ftp.halifax.rwth-aachen.de/opensuse/distribution/leap/15.3/iso/openSUSE-Leap-15.3-2-DVD-x86_64-Build24.5-Media.iso

    Dann habe ich mir noch zwei Hilfsdateien gespeichert:

    SDB:Download help - openSUSE Wiki

    Spoiler anzeigen

    Before you burn your CD/DVD images, you should check the files for errors. A file named <some>.iso.sha256 is
    available. This file contains hashes for the corresponding ISO image that is available from that download location. The
    relevant line of the checksum would look like the following:
    8abac6680ecc152f103006b02f9ff67f
    some.iso
    These *.iso.sha256 files are also GPG signed by openSUSE (as an additional safeguard - you may see a warning when
    the SHA256 checksum is computed, read on for a solution).
    To be sure that the download did not contain any errors, you should create this number using the SHA256 algorithm for
    your own ISO image and compare with the value found in the corresponding <some>.iso.sha256 file. Your CD/DVD
    image burning software may have this feature built-in, in which case check you are using the newer SHA256 algorithm
    (instead of perhaps older the MD5).
    To verify the checksum automatically at a command prompt, type:
    sha256sum -c <some>.iso.sha256
    If the checksum matches then amongst the output you will see a line like:
    <some>.iso: OK
    If there is any difference between the output of the checksum command and the above number, the download is
    broken and should be repeated or repaired.
    sha256sum will almost certainly warn that some of the lines are improperly formatted, because it is doesn't
    understand/process the GPG signature which is also found in the checksum file.
    To verify the GPG signature at the command prompt you first need to import the Project's signing key with the following
    commands:
    gpg --recv-keys 0x22C07BA534178CD02EFE22AAB88B2FD43DBDC284
    # If you experience a "Failed to receive key from key server: no name" error, try this instead:
    gpg --keyserver pgp.mit.edu --recv-keys 0x22C07BA534178CD02EFE22AAB88B2FD43DBDC284
    gpg --fingerprint "openSUSE Project Signing Key <opensuse@opensuse.org>"

    das hat bei mit nicht funktioniert:

    gpg --recv-keys 0x22C07BA534178CD02EFE22AAB88B2FD43DBDC284
    gpg: key B88B2FD43DBDC284: new key but contains no user ID - skipped
    gpg: Anzahl insgesamt bearbeiteter Schlüssel: 1
    gpg: ohne User-ID: 1

    gpg --fingerprint "openSUSE Project Signing Key <opensuse@opensuse.org>"
    gpg: error reading key: Kein öffentlicher Schlüssel

    gpg --verify openSUSE-Leap-15.3-DVD-x86_64-Current.iso.sha256
    gpg: Keine gültigen OpenPGP-Daten gefunden.
    gpg: Die Signatur konnte nicht überprüft werden.
    Denken Sie daran, daß die Datei mit der Signatur (.sig oder .asc)
    als erste in der Kommandozeile stehen sollte.


    SDB:Live USB stick - openSUSE Wiki (von en.opensuse.org)

    $ gpg --recv-keys 9C800ACA
    $ gpg -a openSUSE-*.iso.asc


    ---> aber diese .iso.asc die hab ich nicht gefunden...

    Und dieser Fingerprint führt auch ins nichts

    Wer Ethmologie für eine Wissenschaft hält, der glaubt auch an Geisteswissenschaften.

    Zitat von liniutrix

    ---> aber diese .iso.asc die hab ich nicht gefunden...

    Und dieser Fingerprint führt auch ins nichts

    Tach ..

    Ich muss heute Nachmittag mal suchen,vielleicht finde ich da was für dich.

    Hallo #include

    Danke dir, aber bitte hetze dich nicht.

    Ich möchte mir zwecks Distrohopping einen MultiDistroBootStick erstellen. Opensuse ist eine für mich Interessante Distro und so weit verbreitet da würde ich sie gern auch mal aus probieren. Aber wenn ich jetzt nicht die ISO verifizieren kann ist das erstmal kein Beinbruch, dann schafft sie es halt nicht auf den Stick. Vielleicht versuch ich dann mal Gecko...

    Ich hatte eben die Hoffnung, dass sich jemand hier im Forum selbst die Distro runtergeladen hat und mir sagen kann wie die Verifizierung verläuft...

    Eine andere Sache ist natürlich, angenommen:

    wenn ich nicht einfach zu Blind (ja ziemlich) oder nur zu blöd (die einschätzung behällt bitte jeder für sich, danke) bin, dann ist da ein Fehler auf der openSuse-Seite, der eventuell noch dem Betreiber unbekannt ist. Aber wie lasse ich ihn das wissen?

    Wer Ethmologie für eine Wissenschaft hält, der glaubt auch an Geisteswissenschaften.

    Betrifft jetzt nicht gerade dein Problem mit dem Schlüssel, aber ich habe mir gestern die Leap herunter geladen und es hat super geklappt.

    Vielleicht noch einmal versuchen?
    https://get.opensuse.org/

    -----------------------------------------------------------------------------

    Lehre jemandem, wie man Angeln geht, anstatt ihm jeden

    Tag einen Fisch zu geben.

    -----------------------------------------------------------------------------

    Hallo Josephine

    Ja das Herunterladen hat bei mir auch geklappt ( nach dem ich zum Mirror Aachen gewechselt bin). In der Tat lade ich am liebsten von Luxemburger Servern, die liegen in meiner Region. ;) Unter den Mint Mirrorservern werden mir sogar Server aus Polen, Tschechien, der Schweiz und Italien als schneller angezeigt, als so manch Deutscher. Ein Französischer ist super fix, aber leider nur bei gut Wetter. :/

    Aachen sollte bei mir grundsätzlich aber immer gehen.

    Wie verfährst Du denn jetzt weiter mit der Iso?

    Wenn ich dich recht verstanden habe, hast du auch keine GPG-Keys zur gesicherten Veryfizierung. Kann sein, dass man für die Virtuelle Box keine braucht...

    Das kann ich nicht beurteilen, ich werde meine Iso aber nur auf den Stick packen, wenn sie Vertifiziert ist. Schließlich könnte ich mich dafür (nach der erkundungstour) entscheiden die Iso auf meine Festplatte neben Mint zu installieren.

    viele Grüße

    Wer Ethmologie für eine Wissenschaft hält, der glaubt auch an Geisteswissenschaften.

    Auch wenn das jetzt blöd klingt, aber ich habe noch nie eine ISO verifiziert, da ich immer von vertrauenswürdigen Servern heruntergeladen habe.
    Die Iso entweder mit Etcher oder Ventoy auf einen Stick getan und los gehts.
    Auch bei einer VM hat es immer mit der unverifizierten Iso geklappt.

    -----------------------------------------------------------------------------

    Lehre jemandem, wie man Angeln geht, anstatt ihm jeden

    Tag einen Fisch zu geben.

    -----------------------------------------------------------------------------

    Nun, früher habe ich mir auch weniger Kopf darum gemacht. Aber ich finde was Maleware angeht isses im Moment echt heftig, Dass der Mintserver vor ein paar Jahren angegriffen wurde, ist schon alamierend und zeigt dass gerade hier eine große Gefahr lauert, auch viele Server die die GPG-Schlüssel verteilt haben, sind bis heute Down, weil sie Angegriffen wurden.
    Wahrscheinlich Ist auf der Seite von OpenSuse.org nur ein Ablagefehler passiert oder auch ein Tippfehler beim Fingerprint? Vielleicht gab es auch eine zeitliche überschneidung? ich will es hoffen dass es sowas war.

    Aber es ist eine tolle Sache dass es diese GPG-Schlüssel gibt 8)<3

    und man muss sich auch nicht allzusehr mit ihnen befassen, wenn es nur um die Verifizierung geht. Darum kann ich nur jedem Raten diese Verifizierung auch zu machen. Normalerweiße gibt es auf der Downloadseite spezielle Anweisung wie man das macht und grade unter Linux ist GnuPG doch Standart, oder? man braucht also nix mehr installieren,gibt ein paar Zeilen meist per Copy&Past ein und das wars im großen und ganzen 8o

    Wer Ethmologie für eine Wissenschaft hält, der glaubt auch an Geisteswissenschaften.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden