Jump to content

Hilfe bei Ledger .sig Datei


Recommended Posts

Liebe Forengurus....

ich bekomme es nicht hin. Ledger Live hat ja neues Update 2.29.0 veröffentlicht. Nach dem download hat das überprüfen des sha512 hash mit certutil unter win 10 funktioniert.

Dann sollte man für zusätzliche Sicherheit den sha512 hash in der Datei ledger-live-desktop-2.29.0.sha512sum prüfen...und da stehe ich jetzt komplett im Wald.

Habe diese Datei, Ledger-live-desktop-2.29.0sha512sum.sig, runtergeladen. Mangels Programm zum öffnen hab ich mir sigcheck von ms runtergeladen, aber hier kommt dann beim Aufruf nur unsigned und ein paar n/a Angaben. Was mache ich falsch?

Und noch eine Verständnisfrage: Wenn ich auf eine Fakeseite reingefallen bin, sieht ja alles sehr original aus. Dann wird der böse Bube (Mädchen machen das ja nicht) dort vermutlich auch einen SHA512 hash zur Kontrolle anbieten, natürlich verändert, sowie eine veränderte .sig Datei. Ich versteh's nicht!

Sry, für Anfängerfragen aber schon im Voraus vielen Dank für das Licht in der Dunkelheit!

Link to comment
Share on other sites

@rheingold, ich habe natürlich als erstes versucht die sig Datei mit dem Editor zu öffnen. Da wird dann aber nur das hier (䐰 錉쮜ꁎረꥳ僴囆牷齬堎뇾 嬙㫌ﰟ뾟ꭓ솔⩬뉑錛큭⮡ꍵ珿當㰀) angezeigt.

Auch mit OneNote kein Erfolg, deshalb habe ich ja sigcheck installiert.

 

@oOdy, genau diese Seite von ledger habe ich natürlich gesehen. Aber diese "Anleitung" hat mir genau gar nichts genützt.

Vielleicht kann das jemand Schritt f. Schritt erklären? Würde mich wirklich sehr interessieren wie das funktionieren soll?

Link to comment
Share on other sites

Du brauchst drei Dateien (ledgerlive.pem, der Public Key von denen; die *.sig Datei, die Signatur der Datei, die den Hash enthält; die *.sha512sum, die den Hash enthält für die Installationsdatei für LedgerLive) und das Tool openssl, gibst dann folgendes Befehl ein und die Verifikation ist hoffentlich OK:

$ openssl dgst -sha256 -verify ledgerlive.pem -signature ledger-live-desktop-2.29.0.sha512sum.sig ledger-live-desktop-2.29.0.sha512sum
  
Verified OK

Die *.sig Signatur belegt, daß die Prüfsummendatei tatsächlich von den Ledger-Fuzzis erstellt und mit ihrem priv. Signaturschlüssel unterschrieben wurde. Diese Signaturdatei kann Niemand erstellen, der nicht den privaten Signatur-Schlüssel der Ledger-Crew hat.

Link to comment
Share on other sites

@Cricktor, vielen Dank!

Ich versteh zwar nicht was ich da tue, aber wenn ich die Schritte wie von dir beschrieben durchführe, erhalte ich ein Verified OK. Das sollte dann ja passen?

Könntest du (ihr) mir noch folgendes erklären: Wenn ich mir den hash von der win.exe anzeigen lasse, dann stimmt er mit dem hash, der mit e3a55e beginnt überein.

Wenn ich mir aber den hash von ledger-live-desktop-2.29.0.sha512sum anzeigen lasse, kommt was ganz anderes heraus?

Link to comment
Share on other sites

Mit dem openssl-Befehl (oben)  überprüfst du, ob die .sha512sum-Datei noch genauso ist, wie sie der Ersteller vorgesehen hat, also ob Datei und ihre Signatur noch zusammen passen, weder das eine noch das andere verändert wurde.

Die Datei ledger-live-desktop-2.29.0.sha512sum ist eine Textdatei, die die SHA-512-Hashes der jeweiligen dort aufgeführten Installationsdateien enthält. Damit kannst du prüfen, ob die Installationsdateien die korrekten Prüfsummen haben. Diese Prüfsummensammeldatei selbst ist durch die ledger-live-desktop-2.29.0.sha512sum.sig unterschrieben und eindeutig beglaubigt. Veränderst du die ledger-live-desktop-2.29.0.sha512sum, sollte die Signatur *.sig nicht mehr passen und eine Manipulation sollte auffliegen, um dir z.B. veränderte Installationsdateien unterzujubeln, die natürlich eine andere SHA-512-Prüfsumme hätten.

Einen Hash für die ledger-live-desktop-2.29.0.sha512sum auszuweisen, ist nicht nötig, da die .sig dieser Datei ihre Korrektheit ausweisen kann.

Edited by Cricktor
Link to comment
Share on other sites

Langsam kommt Licht in die Dunkelheit. Vielen Dank an alle, besonders an Cricktor!!

Habe die sum Datei verändert und das Ergebnis war Verification Failure. Ich denke ich habe es langsam kapiert.

Noch eine Frage bitte: Reicht es eigentlich wenn man beim sha512hash die ersten paar Zeichen und die letzen Zeichen kontrolliert?

So, wie man bei einer TX Adresse ja auch einige Zeichen vorne und hinten kontrolliert, oder kontrolliert ihr die komplette Zeichenkette?

Und nochmals.....DANKE!!

Link to comment
Share on other sites

vor 13 Minuten schrieb Neuhier:

Noch eine Frage bitte: Reicht es eigentlich wenn man beim sha512hash die ersten paar Zeichen und die letzen Zeichen kontrolliert?

So, wie man bei einer TX Adresse ja auch einige Zeichen vorne und hinten kontrolliert, oder kontrolliert ihr die komplette Zeichenkette?

Jap.

Hinweis: Eine Adresse ist meist auch nur ein Hash.

Edited by o0dy
Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.