hur GPG:a med en sån här hashfil?

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Okt 2010

hur GPG:a med en sån här hashfil?

Hej!
Laddade nyfiket ner 64-bitarsversionen av Parrot Security distron och den tillhörande signed-hashes.txt. Jag brukar kunna klura ut hur jag ska verifiera, men lyckas inte i detta fall, jag få BAD key.... när jag provar (och sannolikheten är större att jag gör nåt fel snarare än att Parrot fuckat upp sin signering). Och Parrot har ingen instruktion om hur man ska göra.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

GPG Signed hashes for Parrot 3.10 (build 3.10-2017.12.12)

MD5
5e2737cab24c1ecb4ec1581d8354dc3a Parrot-home-3.10.1_amd64.iso
13f76144b9f5214b4bb97c81946a0f82 Parrot-home-3.10.1_i386.iso
2d57d57305f1cc275a8c2b5ddc49587f Parrot-security-3.10.1_amd64.iso
c4d558b2e57f60cb0fe6fd83aa7c713a Parrot-security-3.10.1_i386.iso

SHA1
e162b8f4f6dfb7d4866478e9076a69a5f66ab0c3 Parrot-home-3.10.1_amd64.iso
511f65bb48379a85632a372a7978a76483a0e943 Parrot-home-3.10.1_i386.iso
5a944db257f2df812a7d35027e94d9caf8ff9c9c Parrot-security-3.10.1_amd64.iso
4eb24924a41b2fe1752750de7315d973b216a607 Parrot-security-3.10.1_i386.iso

SHA224
3845cdc8951da681512d7dead74063eaf62819598fde30eec020950a Parrot-home-3.10.1_amd64.iso
abbb68afa23db06dc8da21e0352b5424011bdf03c199f427cd7f93fe Parrot-home-3.10.1_i386.iso
2f71d28f633a70a62a4298fdabf561162ef78fc1a562b0384742f755 Parrot-security-3.10.1_amd64.iso
be2c5c09fbf153bec9f75614174f95a8589b024a96c299f7d3d8ceb3 Parrot-security-3.10.1_i386.iso

SHA256
c483cefdc58c15d2a5b8c380275ed7802945518a569edc5da6501777e2142779 Parrot-home-3.10.1_amd64.iso
b62496d7c628131de302114ca2bf89c9bc86e9ea9c354a142cf3d53bde86092c Parrot-home-3.10.1_i386.iso
42c72a0f2519e1bd0af025bfb9767a535a8989338f932611233ff723e61c7c29 Parrot-security-3.10.1_amd64.iso
61f79a665764610a7258a611ded84229473c86cc71cbcf2ac87cc6788bf304f8 Parrot-security-3.10.1_i386.iso

SHA384
38e72023c57b7b36c2e139557ca13b642ea8416ff2444b595310c64075e386954d5a84caccf3058afe842d000d70cc71 Parrot-home-3.10.1_amd64.iso
7c7d29158636799f2363b226f1153f89cb549e9ebb068b877e9aab60ab482c625a6e9af489f4c2f90a5f5cfba1ac28f0 Parrot-home-3.10.1_i386.iso
1fa02a970b6b36c8dea81c9196b24c28cdab838e40ade499f972fcd2ec29aa9d014b6313c6134a0ee3195c2953d22c6f Parrot-security-3.10.1_amd64.iso
24de7e22d021a749fc94721449dc14c6ad82186b82d2fa245d4dbf48662e3c53785016149d8900befc4d95bb178393ff Parrot-security-3.10.1_i386.iso

SHA512
bb9b59d882496b870b7e9870c86e5e2a23b25ddae2146b539900d79aaec2fffc0b75763d10ac9ec5a914acf718034df681c625b0b15128f96afaa6309588f8e3 Parrot-home-3.10.1_amd64.iso
31f5a2fb4b97d64619341af25ad03debeaedc1b79d7f5fd9bf27246b0c9e81ce1478777b6dc339edf1021b82fb151911ee667afe2a8eeec421f8e8c10e6ba69b Parrot-home-3.10.1_i386.iso
bcaf7b432ef0b7b261b45e64b4044b278b1d14af140c8a7746f095c9865f8c003d0380b936708101342364a619dacb3e7c9c3b7c6b433107039d01e20ad37e9e Parrot-security-3.10.1_amd64.iso
84bf0a804b69d0e883bc3c7ee496dc2bc0720f843e66f90b82562ebb8f4bd9bc550d0d8d7710317507061a865b8aeeed14067665030a332c012a79e77876c214 Parrot-security-3.10.1_i386.iso

Signing GPG Keys

Lorenzo "Palinuro" Faletra (Project team leader)

sec rsa4096 2015-08-04 [SC]
B350 5059 3C2F 7656 40E6 DDDB 97CA A129 F4C6 B9A4
uid Lorenzo "Palinuro" Faletra <palinuro@parrotsec.org>
uid Lorenzo "Palinuro" Faletra <palinuro@linux.it>
uid Eclipse Spark (autistici) <eclipse@hacari.org>
ssb rsa4096 2017-02-13 [S] [expires: 2018-02-13]
61CF 2960 53AF DD1F 8812 5A27 EF68 8BF1 92A7 D1E4
ssb elg4096 2017-02-13 [E] [expires: 2018-02-13]
CABA 3760 DEAA C9CD 77E6 5F25 CB19 C51D 6770 D909

Parrot Archive Keyring (Repository key)

sec rsa4096 2017-02-13 [SC]
3B3E AB80 7D70 721B A9C0 3E55 C7B3 9D03 6297 2489
uid Parrot Project <team@parrotsec.org>

-----BEGIN PGP SIGNATURE-----
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=2DdH
-----END PGP SIGNATURE-----

Detta är signed-hashes.txt

Jag kan verifiera integriteten på den nedladdade ISO:n, men sen måste jag ju även kolla autenticiteten i antingen ISO:n eller signed-hashes.txt, och där går jag bet.

Jag har importerat de båda GPG-nycklarna.

Jag har provat att skapa en ny fil med endast PGP-signaturen och försöker verifiera den mot ISO: och hashfilen men får "BAD signature..." hela tiden.

Trädvy Permalänk
Medlem
Plats
Umeå
Registrerad
Nov 2004

För mig går det bra med en vanlig `gpg --verify signed-hashes.txt`. Kolla att du fått ner rätt fil

$ sha256sum signed-hashes.txt 7bb41c7ab3436709ac082e383c15f4c7d1e638c37c75a8fba877fd6fb52ea6d2 signed-hashes.txt

Det förekommer att webläsare modifierar filer som t.ex. skickas komprimerade från servern. Eller att du fått CRLF-radbrytningar i den...

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Okt 2010

@e5150: Tack! Nu funkar det. Jag behövde din kommandorad. Jag visste inte att man kunde ha nyckeln inbakad i samma fil som ska verifieras så jag försökte med olika varianter på

gpg --verify signed-hashes.txt Parrot-security-3.10.1_amd64.iso

och att klippa ut nyckeln och skapa en egen fil av den (signed-hashes.sig) för att sedan försöka med

gpg --verify signed-hashes.sig signed-hashes.txt

men då fick jag felmeddelande om "not a detached signature" så jag antog att jag inte kunde klippa ut nyckeln på det sättet.

Nu provade jag en grej som jag antog inte skulle funka igår, men som visade sig funka (duh!). Fattar inte varför.

gpg --verify signed-hashes.sig signed-hashes.txt

funkade alltså inte, men om jag hade döpt min nyckelfil till signed-hashes.txt.sig så hade det funkat med

gpg --verify signed-hashes.txt.sig

eftersom signed-hashes.txt implicit antas vara målfil då. Varför funkar det när målfilen är implicit, men inte när filnamnet är annat och målfilen explicit?

Lite rörigt att det finns så många olka sätt att göra på...