Hilfe bei Ledger .sig Datei

[Neuhier]

Liebe Forengurus....

ich bekomme es nicht hin. Ledger Live hat ja neues Update 2.29.0 veröffentlicht. Nach dem download hat das überprüfen des sha512 hash mit certutil unter win 10 funktioniert.

Dann sollte man für zusätzliche Sicherheit den sha512 hash in der Datei ledger-live-desktop-2.29.0.sha512sum prüfen...und da stehe ich jetzt komplett im Wald.

Habe diese Datei, Ledger-live-desktop-2.29.0sha512sum.sig, runtergeladen. Mangels Programm zum öffnen hab ich mir sigcheck von ms runtergeladen, aber hier kommt dann beim Aufruf nur unsigned und ein paar n/a Angaben. Was mache ich falsch?

Und noch eine Verständnisfrage: Wenn ich auf eine Fakeseite reingefallen bin, sieht ja alles sehr original aus. Dann wird der böse Bube (Mädchen machen das ja nicht) dort vermutlich auch einen SHA512 hash zur Kontrolle anbieten, natürlich verändert, sowie eine veränderte .sig Datei. Ich versteh's nicht!

Sry, für Anfängerfragen aber schon im Voraus vielen Dank für das Licht in der Dunkelheit!

[rheingold]

@NeuhierDie .sig Datei kannst du mal mit Notepad öffnen, kann sein, dass darin der sha512 hash steht. Der Hash den du mit certutil erzeugt hast, sollte dann der gleiche sein wie in der Datei.
Soweit ich weiß, signiert Ledger nicht mit gpg.

[o0dy]

Warum liest eigentlich keiner mehr eine "Beschreibung", oder googelt

...erster Link 

https://www.ledger.com/ledger-live/lld-signatures

😋

Bearbeitet 18. Juni 2021 von o0dy

[Neuhier]

@rheingold, ich habe natürlich als erstes versucht die sig Datei mit dem Editor zu öffnen. Da wird dann aber nur das hier (䐰 錉쮜ꁎረꥳ僴囆牷齬堎뇾 嬙㫌ﰟ뾟ꭓ솔⩬뉑錛큭⮡ꍵ珿當㰀) angezeigt.

Auch mit OneNote kein Erfolg, deshalb habe ich ja sigcheck installiert.

 

@oOdy, genau diese Seite von ledger habe ich natürlich gesehen. Aber diese "Anleitung" hat mir genau gar nichts genützt.

Vielleicht kann das jemand Schritt f. Schritt erklären? Würde mich wirklich sehr interessieren wie das funktionieren soll?

[Cricktor]

Du brauchst drei Dateien (ledgerlive.pem, der Public Key von denen; die *.sig Datei, die Signatur der Datei, die den Hash enthält; die *.sha512sum, die den Hash enthält für die Installationsdatei für LedgerLive) und das Tool openssl, gibst dann folgendes Befehl ein und die Verifikation ist hoffentlich OK:

$ openssl dgst -sha256 -verify ledgerlive.pem -signature ledger-live-desktop-2.29.0.sha512sum.sig ledger-live-desktop-2.29.0.sha512sum
  
Verified OK

Die *.sig Signatur belegt, daß die Prüfsummendatei tatsächlich von den Ledger-Fuzzis erstellt und mit ihrem priv. Signaturschlüssel unterschrieben wurde. Diese Signaturdatei kann Niemand erstellen, der nicht den privaten Signatur-Schlüssel der Ledger-Crew hat.

[Neuhier]

@Cricktor, vielen Dank!

Ich versteh zwar nicht was ich da tue, aber wenn ich die Schritte wie von dir beschrieben durchführe, erhalte ich ein Verified OK. Das sollte dann ja passen?

Könntest du (ihr) mir noch folgendes erklären: Wenn ich mir den hash von der win.exe anzeigen lasse, dann stimmt er mit dem hash, der mit e3a55e beginnt überein.

Wenn ich mir aber den hash von ledger-live-desktop-2.29.0.sha512sum anzeigen lasse, kommt was ganz anderes heraus?

[Cricktor]

Mit dem openssl-Befehl (oben)  überprüfst du, ob die .sha512sum-Datei noch genauso ist, wie sie der Ersteller vorgesehen hat, also ob Datei und ihre Signatur noch zusammen passen, weder das eine noch das andere verändert wurde.

Die Datei ledger-live-desktop-2.29.0.sha512sum ist eine Textdatei, die die SHA-512-Hashes der jeweiligen dort aufgeführten Installationsdateien enthält. Damit kannst du prüfen, ob die Installationsdateien die korrekten Prüfsummen haben. Diese Prüfsummensammeldatei selbst ist durch die ledger-live-desktop-2.29.0.sha512sum.sig unterschrieben und eindeutig beglaubigt. Veränderst du die ledger-live-desktop-2.29.0.sha512sum, sollte die Signatur *.sig nicht mehr passen und eine Manipulation sollte auffliegen, um dir z.B. veränderte Installationsdateien unterzujubeln, die natürlich eine andere SHA-512-Prüfsumme hätten.

Einen Hash für die ledger-live-desktop-2.29.0.sha512sum auszuweisen, ist nicht nötig, da die .sig dieser Datei ihre Korrektheit ausweisen kann.

Bearbeitet 20. Juni 2021 von Cricktor

[Neuhier]

Langsam kommt Licht in die Dunkelheit. Vielen Dank an alle, besonders an Cricktor!!

Habe die sum Datei verändert und das Ergebnis war Verification Failure. Ich denke ich habe es langsam kapiert.

Noch eine Frage bitte: Reicht es eigentlich wenn man beim sha512hash die ersten paar Zeichen und die letzen Zeichen kontrolliert?

So, wie man bei einer TX Adresse ja auch einige Zeichen vorne und hinten kontrolliert, oder kontrolliert ihr die komplette Zeichenkette?

Und nochmals.....DANKE!!

[o0dy]

vor 13 Minuten schrieb Neuhier:

Noch eine Frage bitte: Reicht es eigentlich wenn man beim sha512hash die ersten paar Zeichen und die letzen Zeichen kontrolliert?

So, wie man bei einer TX Adresse ja auch einige Zeichen vorne und hinten kontrolliert, oder kontrolliert ihr die komplette Zeichenkette?

Jap.

Hinweis: Eine Adresse ist meist auch nur ein Hash.

Bearbeitet 21. Juni 2021 von o0dy