Re: [de-discuss] Vertauenwürdiger Keyserver mit vertraunesnwürdigen Keys. Wie geht das?

Christian Lohmaier <lohmaier+ooofuture -AT- googlemail.com>
Sat, 24 Aug 2013 14:49:20 +0200

Hi Lutz, *,

2013/8/24 Lutz <Lutz@myfifi.de>:

Hallo,

ich habe mir von
http://download.documentfoundation.org/libreoffice/stable/4.0.5/win/x86/
die 4.0.5.2 Version gezogen. Wo finde ich denn Angaben zu den LibreOffice
Keyservern, um die Signaturen überprüfen zu können.


LibreOffice hat keinen eigenen Keyserver - das tolle ist ja, dass die
Keyserver selbst nicht vertrauenswürdig sein müssen - das leisten Die
Keys an sich.

Eine Möglichkeit ist der gnupg eigene Keyserver:

gpg --keyserver hkp://keys.gnupg.net --recv-keys AFEEAEA3

Der Fingerabdruck des keys ist

C283 9ECA D940 8FBE 9531  C3E9 F434 A1EF AFEE AEA3

Aber wie schon andere geschrieben haben: Die Keyserver tauschen die
keys auch untereinander aus, sprich jeder der gängigen Keyserver
sollte den key haben.

Zum Verifizieren der Signatur dann beide Dateien (Den Installer und
die .asc Datei) in dasselbe Verzeichnis packen und dann z.B.

gpg --verify LibreOffice_4.1.0_Linux_x86-64_rpm.tar.gz.asc

ausführen. Die Ausgabe ist dann etwas in der Art:

gpg: Unterschrift vom Di 23 Jul 2013 23:50:18 CEST mittels
RSA-Schlüssel ID AFEEAEA3
gpg: Korrekte Unterschrift von »LibreOffice Build Team (CODE SIGNING
KEY) <build@documentfoundation.org>«
gpg: WARNUNG: Dieser Schlüssel trägt keine vertrauenswürdige Signatur!
gpg:          Es gibt keinen Hinweis, daß die Signatur wirklich dem
vorgeblichen Besitzer gehört.
Haupt-Fingerabdruck  = C283 9ECA D940 8FBE 9531  C3E9 F434 A1EF AFEE AEA3

Wichtig sind hier die Zeile: "Korrekte Unterschrift..." und die
Schlüssel ID bzw. der Fingerabdruck.

Die Warnung kann man ignorieren, Das heißt einfach nur, dass man dem
Signierschlüssel sein eigenes Vertrauen nicht explizit ausgesprochen
hat.

Sprich gpg sagt: "Die Signatur stimmt, aber ich kann nicht sicher
sagen, dass die Signatur auch tatsächlich vom LibreOffice Build Team
ist".

ciao
Christian

-- 
Liste abmelden mit E-Mail an: discuss+unsubscribe@de.libreoffice.org
Probleme? http://de.libreoffice.org/hilfe-kontakt/mailing-listen/abmeldung-liste/
Tipps zu Listenmails: http://wiki.documentfoundation.org/Netiquette/de
Listenarchiv: http://listarchives.libreoffice.org/de/discuss/
Alle E-Mails an diese Liste werden unlöschbar öffentlich archiviert

Context

[de-discuss] Vertauenwürdiger Keyserver mit vertraunesnwürdigen Keys. Wie geht das? · Lutz
- Re: [de-discuss] Vertauenwürdiger Keyserver mit vertraunesnwürdigen Keys. Wie geht das? · Florian Effenberger
  - Re: [de-discuss] Vertauenwürdiger Keyserver mit vertraunesnwürdigen Keys. Wie geht das? · Lutz
    - Re: [de-discuss] Vertauenwürdiger Keyserver mit vertraunesnwürdigen Keys. Wie geht das? · Florian Effenberger
      - Re: [de-discuss] Vertauenwürdiger Keyserver mit vertraunesnwürdigen Keys. Wie geht das? · Lutz
- Re: [de-discuss] Vertauenwürdiger Keyserver mit vertraunesnwürdigen Keys. Wie geht das? · Christian Lohmaier

Privacy Policy | Impressum (Legal Info) | Copyright information: Unless otherwise specified, all text and images on this website are licensed under the Creative Commons Attribution-Share Alike 3.0 License. This does not include the source code of LibreOffice, which is licensed under the Mozilla Public License (MPLv2). "LibreOffice" and "The Document Foundation" are registered trademarks of their corresponding registered owners or are in actual use as trademarks in one or more countries. Their respective logos and icons are also subject to international copyright laws. Use thereof is explained in our trademark policy.