Neuhier Geschrieben 18. Juni 2021 Teilen Geschrieben 18. Juni 2021 Liebe Forengurus.... ich bekomme es nicht hin. Ledger Live hat ja neues Update 2.29.0 veröffentlicht. Nach dem download hat das überprüfen des sha512 hash mit certutil unter win 10 funktioniert. Dann sollte man für zusätzliche Sicherheit den sha512 hash in der Datei ledger-live-desktop-2.29.0.sha512sum prüfen...und da stehe ich jetzt komplett im Wald. Habe diese Datei, Ledger-live-desktop-2.29.0sha512sum.sig, runtergeladen. Mangels Programm zum öffnen hab ich mir sigcheck von ms runtergeladen, aber hier kommt dann beim Aufruf nur unsigned und ein paar n/a Angaben. Was mache ich falsch? Und noch eine Verständnisfrage: Wenn ich auf eine Fakeseite reingefallen bin, sieht ja alles sehr original aus. Dann wird der böse Bube (Mädchen machen das ja nicht) dort vermutlich auch einen SHA512 hash zur Kontrolle anbieten, natürlich verändert, sowie eine veränderte .sig Datei. Ich versteh's nicht! Sry, für Anfängerfragen aber schon im Voraus vielen Dank für das Licht in der Dunkelheit! Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
rheingold Geschrieben 18. Juni 2021 Teilen Geschrieben 18. Juni 2021 @NeuhierDie .sig Datei kannst du mal mit Notepad öffnen, kann sein, dass darin der sha512 hash steht. Der Hash den du mit certutil erzeugt hast, sollte dann der gleiche sein wie in der Datei. Soweit ich weiß, signiert Ledger nicht mit gpg. Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
o0dy Geschrieben 18. Juni 2021 Teilen Geschrieben 18. Juni 2021 (bearbeitet) Warum liest eigentlich keiner mehr eine "Beschreibung", oder googelt ...erster Link https://www.ledger.com/ledger-live/lld-signatures 😋 Bearbeitet 18. Juni 2021 von o0dy Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Neuhier Geschrieben 18. Juni 2021 Autor Teilen Geschrieben 18. Juni 2021 @rheingold, ich habe natürlich als erstes versucht die sig Datei mit dem Editor zu öffnen. Da wird dann aber nur das hier (䐰 錉쮜ꁎረꥳ僴囆牷齬堎뇾 嬙㫌ﰟ뾟ꭓ솔⩬뉑錛큭⮡ꍵ珿當㰀) angezeigt. Auch mit OneNote kein Erfolg, deshalb habe ich ja sigcheck installiert. @oOdy, genau diese Seite von ledger habe ich natürlich gesehen. Aber diese "Anleitung" hat mir genau gar nichts genützt. Vielleicht kann das jemand Schritt f. Schritt erklären? Würde mich wirklich sehr interessieren wie das funktionieren soll? Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Cricktor Geschrieben 18. Juni 2021 Teilen Geschrieben 18. Juni 2021 Du brauchst drei Dateien (ledgerlive.pem, der Public Key von denen; die *.sig Datei, die Signatur der Datei, die den Hash enthält; die *.sha512sum, die den Hash enthält für die Installationsdatei für LedgerLive) und das Tool openssl, gibst dann folgendes Befehl ein und die Verifikation ist hoffentlich OK: $ openssl dgst -sha256 -verify ledgerlive.pem -signature ledger-live-desktop-2.29.0.sha512sum.sig ledger-live-desktop-2.29.0.sha512sum Verified OK Die *.sig Signatur belegt, daß die Prüfsummendatei tatsächlich von den Ledger-Fuzzis erstellt und mit ihrem priv. Signaturschlüssel unterschrieben wurde. Diese Signaturdatei kann Niemand erstellen, der nicht den privaten Signatur-Schlüssel der Ledger-Crew hat. Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Neuhier Geschrieben 19. Juni 2021 Autor Teilen Geschrieben 19. Juni 2021 @Cricktor, vielen Dank! Ich versteh zwar nicht was ich da tue, aber wenn ich die Schritte wie von dir beschrieben durchführe, erhalte ich ein Verified OK. Das sollte dann ja passen? Könntest du (ihr) mir noch folgendes erklären: Wenn ich mir den hash von der win.exe anzeigen lasse, dann stimmt er mit dem hash, der mit e3a55e beginnt überein. Wenn ich mir aber den hash von ledger-live-desktop-2.29.0.sha512sum anzeigen lasse, kommt was ganz anderes heraus? Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Cricktor Geschrieben 20. Juni 2021 Teilen Geschrieben 20. Juni 2021 (bearbeitet) Mit dem openssl-Befehl (oben) überprüfst du, ob die .sha512sum-Datei noch genauso ist, wie sie der Ersteller vorgesehen hat, also ob Datei und ihre Signatur noch zusammen passen, weder das eine noch das andere verändert wurde. Die Datei ledger-live-desktop-2.29.0.sha512sum ist eine Textdatei, die die SHA-512-Hashes der jeweiligen dort aufgeführten Installationsdateien enthält. Damit kannst du prüfen, ob die Installationsdateien die korrekten Prüfsummen haben. Diese Prüfsummensammeldatei selbst ist durch die ledger-live-desktop-2.29.0.sha512sum.sig unterschrieben und eindeutig beglaubigt. Veränderst du die ledger-live-desktop-2.29.0.sha512sum, sollte die Signatur *.sig nicht mehr passen und eine Manipulation sollte auffliegen, um dir z.B. veränderte Installationsdateien unterzujubeln, die natürlich eine andere SHA-512-Prüfsumme hätten. Einen Hash für die ledger-live-desktop-2.29.0.sha512sum auszuweisen, ist nicht nötig, da die .sig dieser Datei ihre Korrektheit ausweisen kann. Bearbeitet 20. Juni 2021 von Cricktor Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Neuhier Geschrieben 21. Juni 2021 Autor Teilen Geschrieben 21. Juni 2021 Langsam kommt Licht in die Dunkelheit. Vielen Dank an alle, besonders an Cricktor!! Habe die sum Datei verändert und das Ergebnis war Verification Failure. Ich denke ich habe es langsam kapiert. Noch eine Frage bitte: Reicht es eigentlich wenn man beim sha512hash die ersten paar Zeichen und die letzen Zeichen kontrolliert? So, wie man bei einer TX Adresse ja auch einige Zeichen vorne und hinten kontrolliert, oder kontrolliert ihr die komplette Zeichenkette? Und nochmals.....DANKE!! Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
o0dy Geschrieben 21. Juni 2021 Teilen Geschrieben 21. Juni 2021 (bearbeitet) vor 13 Minuten schrieb Neuhier: Noch eine Frage bitte: Reicht es eigentlich wenn man beim sha512hash die ersten paar Zeichen und die letzen Zeichen kontrolliert? So, wie man bei einer TX Adresse ja auch einige Zeichen vorne und hinten kontrolliert, oder kontrolliert ihr die komplette Zeichenkette? Jap. Hinweis: Eine Adresse ist meist auch nur ein Hash. Bearbeitet 21. Juni 2021 von o0dy Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde Dich hier an.
Jetzt anmelden