Zum Inhalt springen

Apache/HTTP/Installation/Validierung

Aus Foxwiki

Apache/HTTP/Installation/Validierung - Überprüfung der Apache HTTP Server Releases

Beschreibung

Offiziellen Releases des vom Apache HTTP Server Project vertriebenen Codes werden vom Release Manager der jeweiligen Version signiert

  • PGP-Signaturen und SHA-Hashes sind zusammen mit der Distribution verfügbar

Sie sollten die PGP-Signaturen und SHA-Hashes direkt von der Apache Software Foundation und nicht von unseren Mirrors herunterladen

  • Dies dient dazu, die Integrität der Signaturdateien zu gewährleisten
  • Wir empfehlen Ihnen jedoch, die Veröffentlichungen von unseren Spiegelservern herunterzuladen. (Unsere Download-Seite verweist Sie auf die Mirrors für die Version und die offizielle Seite für die Signaturen, so dass dies automatisch für Sie geschieht)

Prüfung

Beispiel
  • httpd-2.4.18.tar.gz
  • httpd-2.4.18.tar.gz.asc
GNU Privacy Guard
  • Jedes OpenPGP-konforme Programm sollte erfolgreich funktionieren
Signatur vergleichen
httpd-2.4.18.tar.gz.asc

mit unserer Version 

httpd-2.4.18.tar.gz
gpg --verify httpd-2.4.18.tar.gz.asc
httpd-2.4.18.tar.gz gpg: Signatur erstellt Tue Dec 8 21:32:07 2015 CET mit RSA-Schlüssel-ID 791485A8 gpg: 
Kann Signatur nicht prüfen: öffentlicher Schlüssel nicht gefunden
Wir haben den öffentlichen Schlüssel des Release Managers ( 791485A8 ) nicht in unserem lokalen System
Sie müssen nun den öffentlichen Schlüssel von einem Schlüsselserver abrufen
Ein beliebter Server ist pgpkeys.mit.edu (mit einem Webinterface )
  • Die öffentlichen Schlüsselserver sind miteinander verknüpft, so dass Sie sich mit jedem Schlüsselserver verbinden können sollten
  • Sie können die Schlüssel der httpd-Release-Manager auch unterhttps://downloads.apache.org/httpd/KEYS erhalten
% gpg --keyserver pgpkeys.mit.edu --recv-key 791485A8 gpg: Abfrage des Schlüssels 791485A8 vom HKP-Schlüsselserver pgpkeys.mit.edu gpg: trustdb erstellt gpg: Schlüssel 791485A8: öffentlicher Schlüssel "Jim Jagielski <jim@apache.org>" importiert gpg: Schlüssel 791485A8: öffentlicher Schlüssel "Jim Jagielski <jim@apache.org>" importiert gpg: Gesamtanzahl verarbeitet: 2 gpg: importiert: 2 (RSA: 2)

In diesem Beispiel haben Sie nun zwei öffentliche Schlüssel für Entitäten mit dem Namen "Jim Jagielski<jim@apache.org>" erhalten

  • Sie haben jedoch keine Möglichkeit zu überprüfen, ob diese Schlüssel von der Person mit dem Namen Jim Jagielski erstellt wurden, deren E-Mail-Adresse angegeben ist
  • Tatsächlich ist einer von ihnen ein Betrüger
  • Das bedeutet nicht, dass PGP kaputt ist, sondern nur, dass man sich den vollständigen 40-stelligen Fingerabdruck des Schlüssels ansehen muss und nicht nur die anfällige 8-stellige ID

Wie auch immer, lassen Sie uns noch einmal versuchen, die Freigabesignatur zu überprüfen: 

% gpg --verify httpd-2.4.18.tar.gz.asc httpd-2.4.18.tar.gz gpg: Signatur erstellt Tue Dec 8 21:32:07 2015 CET unter Verwendung der RSA-Schlüssel-ID 791485A8 gpg: Gute Signatur von "Jim Jagielski <jim@apache.org>" gpg: auch bekannt als "Jim Jagielski <jim@jimjag.com>" gpg: auch bekannt als "Jim Jagielski <jim@jaguNET.com>" gpg: auch bekannt als "Jim Jagielski <jimjag@gmail.com>" gpg: Überprüfung der Trustdb gpg: keine letztlich vertrauenswürdigen Schlüssel gefunden gpg: WARNUNG: Dieser Schlüssel ist nicht mit einer vertrauenswürdigen Signatur zertifiziert!
gpg: Es gibt keinen Hinweis darauf, dass die Signatur dem Besitzer gehört
  • Fingerabdruck: A93D 62EC C3C8 EA12 DB22 0EC9 34EA 76E6 7914 85A8

Zu diesem Zeitpunkt ist die Signatur gut, aber wir trauen diesem Schlüssel nicht

  • Eine gute Signatur bedeutet, dass die Datei nicht verfälscht wurde
  • Aufgrund der Natur der Public-Key-Kryptografie müssen Sie jedoch zusätzlich überprüfen, ob der Schlüssel A93D62ECC3C8EA12DB220EC934EA76E6791485A8 vom echtenJim Jagielski erstellt wurde

Jeder Angreifer kann einen öffentlichen Schlüssel erstellen und ihn auf die Server für öffentliche Schlüssel hochladen

  • Wenn Sie dann versuchen, die Signatur dieser gefälschten Version zu überprüfen, wird dies nicht gelingen, da der Schlüssel nicht der "echte" Schlüssel ist
  • Daher müssen Sie die Authentizität dieses Schlüssels überprüfen



Anhang

Siehe auch

Links

Weblinks
Abgerufen von „https://wiki.foxtom.de/index.php?title=Apache/HTTP/Installation/Validierung&oldid=126674