Frage zu dreamboxupdate.com Neuerung

    Hallo Leute mir ist heute aufgefallen das es nun zusätzliche Punkte gibt


    • info
    • (sig)


    Kann man dies auch verwenden wie die md5sum um zu überprüfen? Oder für was sind diese gut?
    Würde mich freuen wenn mir dies jemand erklären würde :smiling_face:

    Doppelt :grinning_squinting_face:
    PGP SIGNATURE



    Also md5 ist das nicht :winking_face:
    Die (sig) Dateien sind PGP bzw. GPG Dateisignaturen, mit denen du aber auch die Integrität der Downloads überprüfen kannst. Bisher macht der Rescue-Loader das auch schon automatisch, mit dem Online-Recovery. Vielleicht baut DMM da ja auch was für normales Flashen ein?


    Du kannst damit natürlich auch manuell einen Download überprüfen, aber dazu fehlt aktuell leider noch der öffentliche Schlüssel.


    Die info Datei ist das, was früher mit changelog verlinkt war und eine nfo Datei mit Infos zur Datei :smiling_face: Da steckt auch eine sha256sum drin, was vergleichbar mit md5 ist (aber moderner, sicherer, etc.).



    Edit: Hmm... Das Recovery nutzt schonmal nen anderes GPG-Zertifikat. Schade finde ich auch, dass im Recovery zwar für jede Box ein anderes GPG-Zertifikat genutzt wird, aber die experimental Images der 7080 mit demselben Key signiert sind, wie die der 900.

    Code
    PS C:\Users\m0rphU\Desktop> gpg --verify .\dreambox-image-deb-dm900-20161216.tar.xz.sig .\dreambox-image-deb-dm900-20161216.tar.xz
gpg: Signatur vom 12/17/16 01:43:22 Mitteleuropõische Zeit mittels RSA-Schlüssel ID FA2204E7
gpg: Signatur kann nicht geprüft werden: Kein öffentlicher Schlüssel
PS C:\Users\m0rphU\Desktop> gpg --verify .\dreambox-image-deb-dm7080-20161217.tar.xz.sig .\dreambox-image-deb-dm7080-20161217.tar.xz
gpg: Signatur vom 12/17/16 11:41:07 Mitteleuropõische Zeit mittels RSA-Schlüssel ID FA2204E7
gpg: Signatur kann nicht geprüft werden: Kein öffentlicher Schlüssel
PS C:\Users\m0rphU\Desktop>

    so long
    m0rphU

    Einmal editiert, zuletzt von m0rphU ()

    Was soll man da nicht deuten können? Es stehen halt nur Versionsnummern und Infos zur Image-Datei drin. Und das schön strukturiert, dass man das mit nem Script auswerten kann.
    Echte ausführliche Changelogs gab es immer nur bei stable Images. Und das waren dann meist auch nur Zusammenfassungen aus den Commit-Nachrichten aus dem git. Die kannst du auch beim unstable immer nachlesen :smiling_face:


    Von daher finde ich aber die Umbenennung des Links auch etwas passender. Es ist halt kein echter Changelog, sondern eine Dateiinfo und da passt der Dateiname .nfo auch gut zu (kurz für info ;)).


    @träumer78: Ich sehe gerade, dass da ja auch ne md5sum in der info steht :grinning_squinting_face:

    so long
    m0rphU

    Ja steht drinnen deshalb ja auch die Frage ob man damit überprüfen kann. Könnte ja sein das dies was anderes auf sich hat?
    ist halt doof wenn man sich da gar nicht auskennt :frowning_face:
    Aber dafür gibt es ja ein Forum wo man es erklärt bekommt von hilfsbereiten Usern wie dir :thumbs_up:

    MD5 und SHA256 kannst du eigentlich mit jedem Linux mit den Befehlen md5sum oder sha256sum überprüfen (auch auf der Dream). Unter Windows habe ich mir dafür HashCheck (https://github.com/gurnec/HashCheck) installiert.
    Leider wird aber glaube ich seit dem Recovery USB Stick der 8000 das .nfo File nicht mehr ausgelesen. Das musst du also vor dem Flashen manuell überprüfen und dann weißt du auch nur, dass der Download auf deinen PC fehlerfrei war :winking_face:


    Ich denke aber, dass DMM jetzt was in den Rescue Loader einbauen will, dass man das Image mit GPG überprüfen kann. Der Vorteil von GPG Siganturen gegenüber einfachen Checksumme ist, dass man nicht nur sicherstellen kann, dass was geändert wurde, sondern auch sicher weiß, dass der Download von DMM stammt. Dafür braucht man aber den Öffentlichen Schlüssel...
    Naja, noch ist das Spekulation. Wir werden sehen, was mit der Zeit da noch kommt.

    so long
    m0rphU