---

Goer jeg noget galt, eller hvad?

wget ftp://ftp.freenet.de/pub/ftp.wu-ftpd.org/pub/wu-ftpd/wu-ftpd-2.6.2.tar.gz.asc
wget ftp://ftp.freenet.de/pub/ftp.wu-ftpd.org/pub/wu-ftpd/wu-ftpd-2.6.2.tar.gz

johansen ~ [18] % gpg wu-ftpd-2.6.2.tar.gz.asc
gpg: Signature made Fri Nov 30 14:19:52 2001 CET using RSA key ID
62885875
gpg: key 62885875: public key "WU-FTPD Development Group
<wuftpd-members@wu-ftpd.org>" imported
gpg: Total number processed: 1
gpg: imported: 1 (RSA: 1)
gpg: BAD signature from "WU-FTPD Development Group
<wuftpd-members@wu-ftpd.org>"
johansen ~ [19] %


--
Ole Michaelsen, Darmstadt, Germany
http://www.fys.ku.dk/~omic

---

Ole Michaelsen wrote:

> Goer jeg noget galt, eller hvad?

<snip>

> gpg: BAD signature from "WU-FTPD Development Group
><wuftpd-members@wu-ftpd.org>"

Jeg ved ikke om du gør noget galt, men jeg ville i hvert fald ikke bruge
den fil. Prøv evt. at (dobbelt)checke at du har den rigtige offentlige
nøgle fra "WU-FTPD Development Group"

--
..signature

---

Ole Michaelsen <omic+usenet4@fys.ku.dk> wrote:

>Goer jeg noget galt, eller hvad?
>
>wget ftp://ftp.freenet.de/pub/ftp.wu-ftpd.org/pub/wu-ftpd/wu-ftpd-2.6.2.tar.gz.asc
>wget ftp://ftp.freenet.de/pub/ftp.wu-ftpd.org/pub/wu-ftpd/wu-ftpd-2.6.2.tar.gz
>
>johansen ~ [18] % gpg wu-ftpd-2.6.2.tar.gz.asc
>gpg: Signature made Fri Nov 30 14:19:52 2001 CET using RSA key ID
>62885875
>gpg: key 62885875: public key "WU-FTPD Development Group
><wuftpd-members@wu-ftpd.org>" imported
>gpg: Total number processed: 1
>gpg: imported: 1 (RSA: 1)
>gpg: BAD signature from "WU-FTPD Development Group
><wuftpd-members@wu-ftpd.org>"
>johansen ~ [19] %

Jeg ved ikke præcis hvad "BAD" betyder her. Måske betyder det
bare at den ikke tror på den offentlige nøgle fordi du ikke har
underskrevet den (den situation hedder "Invalid key" i
Windowsudgaven af PGP).

Hvis det kan være til nogen hjælp vil jeg da gerne røbe at den
wu-ftpd-2.6.2.tar.gz som jeg downloadede 2001-12-01, som passede
med den underskrift jeg hentede dengang, og som har kørt fint
siden da, har nedenstående md5sum som du fx kan sammenligne din
med:

jesper@nuser:/jd$ md5sum wu-ftpd-2.6.2.tar.gz
b3c271f02aadf663b8811d1bff9da3f6 wu-ftpd-2.6.2.tar.gz

--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

---

Jesper Dybdal wrote:
>
> Ole Michaelsen <omic+usenet4@fys.ku.dk> wrote:
>
> >Goer jeg noget galt, eller hvad?
> >
> >wget ftp://ftp.freenet.de/pub/ftp.wu-ftpd.org/pub/wu-ftpd/wu-ftpd-2.6.2.tar.gz.asc
> >wget ftp://ftp.freenet.de/pub/ftp.wu-ftpd.org/pub/wu-ftpd/wu-ftpd-2.6.2.tar.gz
> >
> >johansen ~ [18] % gpg wu-ftpd-2.6.2.tar.gz.asc
> >gpg: Signature made Fri Nov 30 14:19:52 2001 CET using RSA key ID
> >62885875
> >gpg: key 62885875: public key "WU-FTPD Development Group
> ><wuftpd-members@wu-ftpd.org>" imported
> >gpg: Total number processed: 1
> >gpg: imported: 1 (RSA: 1)
> >gpg: BAD signature from "WU-FTPD Development Group
> ><wuftpd-members@wu-ftpd.org>"
> >johansen ~ [19] %
>
> Jeg ved ikke præcis hvad "BAD" betyder her.

Det betyder at .gz filen kan være modificeret, evt. er der blot
tale om et ufuldstændigt download.

>
> jesper@nuser:/jd$ md5sum wu-ftpd-2.6.2.tar.gz
> b3c271f02aadf663b8811d1bff9da3f6 wu-ftpd-2.6.2.tar.gz

Jeg hentede filen fra ftp.freenet.de og fik samme md5sum
filen fylder 354784 bytes.

Men det her ser altså ikke godt ud:

[dummy:pts/0/tmp] gpg --import PGP.public.key
gpg: Warning: using insecure memory!
gpg: key 62885875: public key imported
gpg: /home/dummy/.gnupg/trustdb.gpg: trustdb created
gpg: Total number processed: 1
gpg: imported: 1 (RSA: 1)
[dummy:pts/0/tmp] gpg --verify wu-ftpd-2.6.2.tar.gz.asc
gpg: Warning: using insecure memory!
gpg: Signature made Fri 30 Nov 2001 02:19:52 PM CET using RSA key ID 62885875
gpg: BAD signature from "WU-FTPD Development Group <wuftpd-members@wu-ftpd.org>"
[dummy:pts/0/tmp] ll
total 352
-rw-r--r-- 1 dummy dummy 1005 Nov 7 09:18 PGP.public.key
-rw------- 1 dummy dummy 354784 Nov 7 09:15 wu-ftpd-2.6.2.tar.gz
-rw------- 1 dummy dummy 292 Nov 7 09:15 wu-ftpd-2.6.2.tar.gz.asc
[dummy:pts/0/tmp] md5sum *
6fc6f7279f833327017bbc3b6e753c96 PGP.public.key
b3c271f02aadf663b8811d1bff9da3f6 wu-ftpd-2.6.2.tar.gz
8416e8c9b9556e6107386e26e9806840 wu-ftpd-2.6.2.tar.gz.asc
[dummy:pts/0/tmp]

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Don't do this at home kids: touch -- -rf

---

Kasper Dupont <kasperd@daimi.au.dk> wrote:

>Jesper Dybdal wrote:
>>
>> jesper@nuser:/jd$ md5sum wu-ftpd-2.6.2.tar.gz
>> b3c271f02aadf663b8811d1bff9da3f6 wu-ftpd-2.6.2.tar.gz
>
>Jeg hentede filen fra ftp.freenet.de og fik samme md5sum
>filen fylder 354784 bytes.
>
>Men det her ser altså ikke godt ud:

>gpg: Signature made Fri 30 Nov 2001 02:19:52 PM CET using RSA key ID 62885875
>gpg: BAD signature from "WU-FTPD Development Group <wuftpd-members@wu-ftpd.org>"

>b3c271f02aadf663b8811d1bff9da3f6 wu-ftpd-2.6.2.tar.gz
>8416e8c9b9556e6107386e26e9806840 wu-ftpd-2.6.2.tar.gz.asc

Det er også præcis de to filer jeg har. Og gpg siger også BAD når jeg prøver.
Og den siger det samme hvis jeg smadrer gz-filen.

Men PGP i Windows siger "Invalid key", hvilket efter min erfaring betyder at
underskriften er ok, men at nøglen ikke en den ved jeg kan stole på.

Jeg mangler dog at tjekke at det er samme nøgle jeg bruger i Windows og i Linux
- det kan jeg først når jeg kommer hjem til min Windows-boks.

Men selvom jeg finder dette dybt mystisk (og interessant), så tror jeg nu nok at
selve tar.gz-filen er ok. Jeg downloadede den 2001-12-01, dagen efter at de
havde lavet det seneste sikkerhedsbugfix (og altså dagen efter ovennævnte
underskriftsdato), og den er - ifølge md5sum, som jeg absolut tror på - magen
til den du har downloadet for nylig.
--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

---

Jesper Dybdal wrote:
>
> Men selvom jeg finder dette dybt mystisk (og interessant), så tror jeg nu nok at
> selve tar.gz-filen er ok.

Det er da muligt. Men der er tydligvis noget galt med en
af filerne. Og så længe jeg ikke ved hvad og hvilken fil,
så vil jeg ikke være tryk ved at bruge den.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Don't do this at home kids: touch -- -rf

---

Kasper Dupont <kasperd@daimi.au.dk> wrote:

>Jesper Dybdal wrote:
>>
>> Men selvom jeg finder dette dybt mystisk (og interessant), så tror jeg nu nok at
>> selve tar.gz-filen er ok.
>
>Det er da muligt. Men der er tydligvis noget galt med en
>af filerne. Og så længe jeg ikke ved hvad og hvilken fil,
>så vil jeg ikke være tryk ved at bruge den.

Det kan jeg godt forstå: I modsætning til mig har du jo ikke set en Windows-PGP
være glad for den. For slet ikke at tale om at jeg har kørt med den på 3
servere, heraf to tilgængelige fra internettet, i et års tid - så hvis den er
farlig er det nok ikke lige de næste par dage der gør forskellen.
--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

---

Jesper Dybdal wrote:
>
> Kasper Dupont <kasperd@daimi.au.dk> wrote:
>
> >Jesper Dybdal wrote:
> >>
> >> Men selvom jeg finder dette dybt mystisk (og interessant), så tror jeg nu nok at
> >> selve tar.gz-filen er ok.
> >
> >Det er da muligt. Men der er tydligvis noget galt med en
> >af filerne. Og så længe jeg ikke ved hvad og hvilken fil,
> >så vil jeg ikke være tryk ved at bruge den.
>
> Det kan jeg godt forstå: I modsætning til mig har du jo ikke set en Windows-PGP
> være glad for den. For slet ikke at tale om at jeg har kørt med den på 3
> servere, heraf to tilgængelige fra internettet, i et års tid - så hvis den er
> farlig er det nok ikke lige de næste par dage der gør forskellen.

Øh, snakker vi ikke forbi hindanden? Jeg sagde ikke, at der
var noget i vejen med Windows-PGP (jeg kender den ikke), jeg
sagde, at der var noget i vejen med minimum en af de tre
filer, man kan downloade fra:
ftp://ftp.freenet.de/pub/ftp.wu-ftpd.org/pub/wu-ftpd/
Det kan være en harmløs fejltagelse, men det kan jo også
være en trojansk hest (det er jo set for nylig med ssh).

Hvis Windows-PGP siger noget forskelligt alt efter, om du
først ændrer i .tar.gz filen eller ej, er det da interesant.
Men gpg giver altså samme melding om BAD signature, uanset
om jeg bruger den downloadede fil eller en, jeg selv har
modificeret.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Don't do this at home kids: touch -- -rf

---

Kasper Dupont wrote:
>
> Det kan være en harmløs fejltagelse, men det kan jo også
> være en trojansk hest (det er jo set for nylig med ssh).

Jeg har nu prøvet at downloade filerne direkte fra
wu-ftpd.org, og de er nøjagtigt magen til. Jeg prøvede
at kigge mig omkring på siderne og fandt dette:
http://www.wu-ftpd.org/wu-ftpd-faq.html#QA13
Det er godt nok meget kortfattet og snakker ikke om gpg
men derimod pgp, så jeg ved ikke om det har noget med
sagen at gøre. Desuden tyder fejlmeldingen ikke på, at
det er et problem med en for gammel version af gpg.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Don't do this at home kids: touch -- -rf

---

Kasper Dupont <kasperd@daimi.au.dk> wrote:

>Jeg har nu prøvet at downloade filerne direkte fra
>wu-ftpd.org, og de er nøjagtigt magen til. Jeg prøvede
>at kigge mig omkring på siderne og fandt dette:
> http://www.wu-ftpd.org/wu-ftpd-faq.html#QA13
>Det er godt nok meget kortfattet og snakker ikke om gpg
>men derimod pgp, så jeg ved ikke om det har noget med
>sagen at gøre. Desuden tyder fejlmeldingen ikke på, at
>det er et problem med en for gammel version af gpg.

Det synes jeg heller ikke.

Jeg har nu konstateret at:
* Underskriften er ok ifølge pgp 6.5.3 for Windows.
* Hvis jeg eksporterer nøglen fra den pgp, flytter den til
Linuxen, og importerer den i gpg 1.2.0 (som i hvert fald var den
nyeste da jeg downloadede den for få uger siden), så siger gpg at
underskriften *ikke* er ok - med den samme underskriftsfil og den
samme tar.gz-fil som pgp godt kan lide.

Jeg har også eksperimenteret med nogle andre filer, og prøvet at
ændre en fil, og er således sikker på
* at du har ret i at "BAD signature" er det den siger når filen
er korrupt, og ikke er det den siger når nøglen bare ikke er til
at tro på,
* at jeg har forstået reaktionerne fra Windows-pgp rigtigt,
* at andre forholdsvis gamle RSA-underskrifter kan verificeres
med den gpg uden problemer.

Så jeg forstår overhovedet ikke hvad der foregår. På en eller
anden vis lader netop den underskrift til at være inkompatibel
med gpg.

--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

---

Jesper Dybdal wrote:
>
> Jeg har nu konstateret at:
> * Underskriften er ok ifølge pgp 6.5.3 for Windows.
> * Hvis jeg eksporterer nøglen fra den pgp, flytter den til
> Linuxen, og importerer den i gpg 1.2.0 (som i hvert fald var den
> nyeste da jeg downloadede den for få uger siden), så siger gpg at
> underskriften *ikke* er ok - med den samme underskriftsfil og den
> samme tar.gz-fil som pgp godt kan lide.
>
> Jeg har også eksperimenteret med nogle andre filer, og prøvet at
> ændre en fil, og er således sikker på
> * at du har ret i at "BAD signature" er det den siger når filen
> er korrupt, og ikke er det den siger når nøglen bare ikke er til
> at tro på,
> * at jeg har forstået reaktionerne fra Windows-pgp rigtigt,
> * at andre forholdsvis gamle RSA-underskrifter kan verificeres
> med den gpg uden problemer.

Jeg takker for diskussionen. Jeg har samme md5sum som I har - og tror
ogsaa paa at filerne er ok. Men rimeligt taabeligt at WU-folkene ikke
kan finde ud af at lave korrekte signaturer.

Vh,

-- Ole