Hallo @ all
Auf der Palemoon-Download-Seite (Linux -> bzipped tarball) finde ich zwar das gpg-sig-File, aber auf keiner der Seiten einen Direktlink zum gpg-Pubkey. Das scheint wirklich gut versteckt zu sein. Hat jemand einen Tip für mich, wo ich das keyfile runterladen kann?
Danke, mfg Maddin
Hidden Pub-Key-Link?
Re: Hidden Pub-Key-Link?
Die öffentlichen GPG-Schlüssel sollten alle auf den regulären öffentlichen Schlüsselservern verfügbar sein.
"Sometimes, the best way to get what you want is to be a good person." -- Louis Rossmann
"Seek wisdom, not knowledge. Knowledge is of the past; wisdom is of the future." -- Native American proverb
"Linux makes everything difficult." -- Lyceus Anubite
"Seek wisdom, not knowledge. Knowledge is of the past; wisdom is of the future." -- Native American proverb
"Linux makes everything difficult." -- Lyceus Anubite
-
martinirocks
Re: Hidden Pub-Key-Link?
Vielen Dank für den Hinweis, nur schaff ich es damit im Moment nicht, mein Problem zu lösen. Ich habe hier gesucht: http://keys.gnupg.net/pks/lookup?search=palemoon&fingerprint=on&op=index
Das ist das Ergebnis:
Ich weiss leider nicht, ob ich hier einen Fehler mache.... und ich weiss auch nicht, wie ich überhaupt den richtigen zu importierenden Key erkennen kann. Einfach alles stundenlang durchzuprobieren kann doch keine Lösung sein. Irgendwie findet man auf der Moonchild-Site auch keinerlei Informationen zum richtigen Vorgehen (für normale User geeignet)... als wenn das zurückgehalten würde. Hast Du noch einen Tip für mich, wo ich Infos darüber finde, wie es geht?
Das ist das Ergebnis:
Code: Select all
$ gpg --list-keys
/home/martin/.gnupg/pubring.kbx
-------------------------------
pub rsa2048 2016-09-28 [SC] [verfällt: 2021-02-01]
F9611EC6ADCFDD303362217A0FAD31CA8719FCE4
uid [ unbekannt ] home:stevenpusser OBS Project <home:stevenpusser@build.opensuse.org>
pub rsa4096 2019-05-14 [SCA]
D73E2D844C0727C0A676B90DEB540ACE988CCC02
uid [ unbekannt ] Travis A. Wine <travawine@palemoon.org>
sub rsa4096 2019-05-14 [E]
$ gpg --verify palemoon-28.6.1.linux-x86_64.tar.bz2.sig palemoon-28.6.1.linux-x86_64.tar.bz2
gpg: Signatur vom Di 23 Jul 2019 03:37:38 CEST
gpg: mittels RSA-Schlüssel 439F46F42C6AE3D23CF52E70865E6C87C65285EC
gpg: Signatur kann nicht geprüft werden: No public key-
martinirocks
Re: Hidden Pub-Key-Link?
Hallo
Jetzt habe ich gerade einen Hinweis von Palemoon auf das aktuelle Update bekommen, welches ich jetzt erst mal wieder ungeprüft installiert habe..... was für mich in der heutigen Zeit jedoch irgendwie total unbefriedigend ist.
Ist wirklich niemand da, der mir helfend einen Keyserver und keine Key-ID nennen kann, wo ich den gültigen Schlüssel zum Prüfen der Integrität des Palemoon-Pakets downloaden kann? Im Moment empfinde ich das als nicht sehr vertrauenserweckend, dass das so ein Geheimnis ist. Ein Hinweis auf den Schlüssel gehört doch auch auf die Download-Seite, wo ja auch hilfreich die SIG enthalten ist.... gerade für eine solche sensible Anwendung, wie einen Browser.
mfg, Martin
Jetzt habe ich gerade einen Hinweis von Palemoon auf das aktuelle Update bekommen, welches ich jetzt erst mal wieder ungeprüft installiert habe..... was für mich in der heutigen Zeit jedoch irgendwie total unbefriedigend ist.
Ist wirklich niemand da, der mir helfend einen Keyserver und keine Key-ID nennen kann, wo ich den gültigen Schlüssel zum Prüfen der Integrität des Palemoon-Pakets downloaden kann? Im Moment empfinde ich das als nicht sehr vertrauenserweckend, dass das so ein Geheimnis ist. Ein Hinweis auf den Schlüssel gehört doch auch auf die Download-Seite, wo ja auch hilfreich die SIG enthalten ist.... gerade für eine solche sensible Anwendung, wie einen Browser.
mfg, Martin
Re: Hidden Pub-Key-Link?
Wie bereits erwähnt: Die öffentlichen Schlüssel sind auf den öffentlichen pgp-Schlüsselservern verfügbar. Das manuelle Herunterladen / Importieren von Schlüsseln war seit den 90er Jahren nicht mehr erforderlich.
Bitte beschuldigen Sie uns nicht, dass Sie GnuPG nicht ordnungsgemäß für die Verwendung von Keyservern einrichten können.
Bitte beschuldigen Sie uns nicht, dass Sie GnuPG nicht ordnungsgemäß für die Verwendung von Keyservern einrichten können.
"Sometimes, the best way to get what you want is to be a good person." -- Louis Rossmann
"Seek wisdom, not knowledge. Knowledge is of the past; wisdom is of the future." -- Native American proverb
"Linux makes everything difficult." -- Lyceus Anubite
"Seek wisdom, not knowledge. Knowledge is of the past; wisdom is of the future." -- Native American proverb
"Linux makes everything difficult." -- Lyceus Anubite
-
martinirocks
Re: Hidden Pub-Key-Link?
Ich bitte vielmals für mein Versagen um Entschuldigung, nur ein unwissender Anwender zu sein, dem nicht mal bewusst war, dass man so eine Einrichtung überhaupt tun kann oder muss oder sollte. Ich bitte auch vielmals um Entschuldigung dafür, nicht als allwissender arroganter IT-Schnösel geboren worden zu sein und somit mir nicht diesen Sprachgebrauch zu eigen gemacht habe, denn mein Rat als Helfer wäre einfach gewesen "Du musst Dein gnupg mit einem beliebigen öffentlichen Schlüsselserver verbinden, dann braucht man den Schlüssel nicht runterzuladen. Wie das geht, ist über Suchmaschinen zu finden."
Bitte meinen Account löschen! Dieser Stil ist
Re: Hidden Pub-Key-Link?
Da mir die Nutzung von GnuPG u.ä. schon früher so kompliziert erschien, dass ich es nicht nutze, und auch die im englischen Forum durchaus vorhandenen Hilfen nicht wirklich verstehe oder übersetzen kann, konnte ich hier nichts weiter beisteuern. - Und so viele Deutschsprachler sind hier wohl nicht unterwegs. Sorry, dafür.
Da du in der obigen Post selber dein Unwissen beschrieben hast und meintest deinen verärgerten Empfindungen auch gleich mit eigenen unbegründeten Verdächtigungen und Vorhaltungen Ausdruck verleihen zu müssen, hast du eine höfliche und sachlich richtige Antwort bekommen, bei der du dich beleidigt fühlst - und mit wirklichen Beleidigungen reagierst.
Dein Vorschlag, wie eine dir genehmere Antwort hätte aussehen sollen unterscheidet sich im Übrigen kaum von der, die du von MC bekommen hast; insofern sieht deine Post hier leider nach dem bereits bekannten und aufgesetzten "Soo schlimm ist das PM-Forum..."-Theater aus.
Da du in der obigen Post selber dein Unwissen beschrieben hast und meintest deinen verärgerten Empfindungen auch gleich mit eigenen unbegründeten Verdächtigungen und Vorhaltungen Ausdruck verleihen zu müssen, hast du eine höfliche und sachlich richtige Antwort bekommen, bei der du dich beleidigt fühlst - und mit wirklichen Beleidigungen reagierst.
Dein Vorschlag, wie eine dir genehmere Antwort hätte aussehen sollen unterscheidet sich im Übrigen kaum von der, die du von MC bekommen hast; insofern sieht deine Post hier leider nach dem bereits bekannten und aufgesetzten "Soo schlimm ist das PM-Forum..."-Theater aus.