Discussion:
pgpverify de.* & MD5
(zu alt für eine Antwort)
Hauke Lampe
2016-02-15 01:32:43 UTC
Permalink
Hallo.

Mit der Neuinstallation meines INN wollte ich _endlich_ mal
checkgroups mit pgpverify einrichten.

Für Big8 u.a. klappt das auch schon:
| [GNUPG:] GOODSIG C25D3AD3B88DA9C1 news.announce.newgroups

Der checkgroups für de.* wird allerdings nicht akzeptiert:
| gpgv: Signature made Sat 06 Feb 2016 03:47:27 PM CET using RSA key ID D3033C99
| gpgv: Note: signatures using the MD5 algorithm are rejected
| [GNUPG:] ERRSIG 7536EAB5D3033C99 1 1 01 1454770047 5
| gpgv: Can't check signature: unknown digest algorithm

Das lässt sich offenbar auch nicht mit anderen Parametern für gpgv beheben:
| --weak-digest name
| Treat the specified digest algorithm as weak. Signatures made over
| weak digests algorithms are normally rejected. [...] MD5 is always
| considered weak, and does not need to be listed explicitly.

Wie macht ihr das? Selbstgebautes gpgv mit MD5-Support oder manuell
eingespielter checkgroups, wenn überhaupt?

Und wieso benutzt de.* überhaupt noch MD5? ;)


Hauke.
Hauke Lampe
2016-02-15 11:20:20 UTC
Permalink
Post by Hauke Lampe
| --weak-digest name
| Treat the specified digest algorithm as weak. Signatures made over
| weak digests algorithms are normally rejected. [...] MD5 is always
| considered weak, and does not need to be listed explicitly.
Wie macht ihr das? Selbstgebautes gpgv mit MD5-Support
Ich muss feststellen, daß ich mit Debian Stretch und GnuPG 1.4.20
vermutlich den meisten aktiven Newsservern voraus bin.

GnuPG 1.4.18 aus dem Jessie-Paket ist noch nicht so pingelig.


Hauke.
Thomas Hochstein
2016-02-21 14:54:47 UTC
Permalink
Post by Hauke Lampe
Und wieso benutzt de.* überhaupt noch MD5? ;)
Abwärtskompatibilität.

(Und es ist mit halbwegs aktueller Software gar nicht so einfach, das
hinzubekommen.)
Hauke Lampe
2016-02-22 01:34:27 UTC
Permalink
Post by Thomas Hochstein
Post by Hauke Lampe
Und wieso benutzt de.* überhaupt noch MD5? ;)
Abwärtskompatibilität.
Abwärtskompatibel zu wem? Eine Site, die nur MD5-Signaturen kennt, kann
bereits jetzt schon für einige Hierarchien kein PGP-checkgroups mehr
benutzen.

Ich habe bisher nur wenige checkgroups zur Hand, MD5 ist dabei knapp in der
Minderheit:

us.* SHA1
hr.* SHA1
Big8 SHA256
ba.* MD5
de.* MD5
Post by Thomas Hochstein
(Und es ist mit halbwegs aktueller Software gar nicht so einfach, das
hinzubekommen.)
Und es ist zu ganz aktueller Software nicht mehr aufwärtskompatibel.
Kannst du die checkgroups evtl. doppelt posten, mit MD5- und SHAx-Signatur?


Hauke.
Thomas Hochstein
2016-02-28 13:54:43 UTC
Permalink
Post by Hauke Lampe
Post by Thomas Hochstein
Post by Hauke Lampe
Und wieso benutzt de.* überhaupt noch MD5? ;)
Abwärtskompatibilität.
Abwärtskompatibel zu wem?
Zu alten, lange nicht mehr veränderten Systemen. Der Gedanke, dass es
solche gerade im Usenet-Bereich noch gibt, liegt jetzt nicht völlig
fern - zumal sich das erste bereits beim Testen gefunden hatte. :)
Post by Hauke Lampe
Eine Site, die nur MD5-Signaturen kennt, kann
bereits jetzt schon für einige Hierarchien kein PGP-checkgroups mehr
benutzen.
Das mag sein. Ich hatte mich damit nicht weiter beschäftigt, weil MD5
auf allen Systemen funktionierte, moderne Varianten aber nicht
zwingend. 2008 war das offensichtlich definitiv noch ein Thema:
<https://lists.gnupg.org/pipermail/gnupg-devel/2008-September/024601.html>
Post by Hauke Lampe
Und es ist zu ganz aktueller Software nicht mehr aufwärtskompatibel.
Getrackt wird das hier, ja:
<https://github.com/Julien-Elie/usenet-signcontrol/issues/3>
Post by Hauke Lampe
Post by Thomas Hochstein
Post by Hauke Lampe
| --weak-digest name
| Treat the specified digest algorithm as weak. Signatures made over
| weak digests algorithms are normally rejected. [...] MD5 is always
| considered weak, and does not need to be listed explicitly.
Was ist denn mit "--allow-weak-digest-algos"? In der Doku finde ich
das nicht, aber es sollte vorhanden sein:
| 2015-12-19 Daniel Kahn Gillmor <***@fifthhorseman.net>
|
| gpg: Add option --weak-digest to gpg and gpgv.
[...]
<http://fossies.org/linux/misc/gnupg-1.4.20.tar.gz/gnupg-1.4.20/ChangeLog>
Post by Hauke Lampe
Kannst du die checkgroups evtl. doppelt posten, mit MD5- und SHAx-Signatur?
Auch darüber könnte man ggf. nachdenken.

Grüße,
-thh
--
Informationen rund um Usenet und Newsserver:
<http://th-h.de/infos/usenet/>
Peter Faust
2016-04-06 19:22:22 UTC
Permalink
Post by Hauke Lampe
Post by Thomas Hochstein
Post by Hauke Lampe
Und wieso benutzt de.* überhaupt noch MD5? ;)
Abwärtskompatibilität.
Abwärtskompatibel zu wem? Eine Site, die nur MD5-Signaturen kennt, kann
bereits jetzt schon für einige Hierarchien kein PGP-checkgroups mehr
benutzen.
Ich habe bisher nur wenige checkgroups zur Hand, MD5 ist dabei knapp in der
us.* SHA1
hr.* SHA1
Big8 SHA256
ba.* MD5
de.* MD5
Ich habe das hier mit händischem laden für MD5-Keys gelöst:

|From: Peter Faust <peter.faust-***@t-online.de>
|Newsgroups: hamster.de.misc
|Subject: Hamster - AutoVerify-Script; Manueller Import von z.B. MD5-Keys
|Date: Wed, 6 Apr 2016 13:44:25 +0200
|<hamster.de.misc!06.April.2016|13.44.25-***@peter.faust-stockholm.intra.itm.kth.se>

Zitat daraus:

|<checkgroups-openwatcom-***@newsfeed.cmeerw.net>
|
|Per AutoVerify-Script kommt folgendes Resultat:
|gpg: Signatur vom 04/04/16 11:50:02 Mitteleuropäische Sommerzeit mittels RSA-Schlüssel ID 53A61EBD
|gpg: Signatur kann nicht geprüft werden: Kein öffentlicher Schlüssel
|
|Ok, dann die oben genannte Anleitung per PowerShell nutzen:
|
|PS C:\Users\Standard> gpg2 --recv-keys --allow-weak-digest-algos 0x53A61EBD
|gpg: fordere Schlüssel 53A61EBD von hkp-Server keys.gnupg.net an
|gpg: Schlüssel 53A61EBD: Öffentlicher Schlüssel "***@openwatcom.news-admin.org" importiert
|gpg: Anzahl insgesamt bearbeiteter Schlüssel: 1
|gpg: importiert: 1 (RSA: 1)
|PS C:\Users\Standard>
|
|Der nächste checkgroups sollte dann ein "OK" ergeben.

Nur mal so als Anregung die MD5-Keys vielleicht händisch zu laden, da
das automatisch nicht mehr unterstützt wird.

Gruß, Peter
--
👍
👍
Loading...