overenie integrity zdrojov WireGuard pred kompilovaním

Sekcia: Konfigurácia 11.12.2019 | 22:26
Avatar zavrk devuan  Používateľ

Ahoj,

chcel som si overiť integritu stiahnutého archívu zdrojových súborov (VPN WireGuard) a zahlásilo mi to chybný podpis. GPG to hovorí úplne jasne ale som len priemerný užívateľ linuxu, na vadný podpis som narazil prvý krát a chcem sa spýtať či robím niekde chybu (pri sťahovaní alebo overovaní) alebo je podpis skutočne nesprávny a stiahnutému archívu sa nedá dôverovať ?

Ď.

niekto@niekde:~$ wget https://git.zx2c4.com/WireGuard/snapshot/WireGuard-0.0.20191206.tar.xz
...
WireGuard-0.0.20191     [     <=>            ] 324,79K   246KB/s    in 1,3s    
2019-12-11 21:14:41 (246 KB/s) - „WireGuard-0.0.20191206.tar.xz“ uložený [332
...
niekto@niekde:~$ wget https://git.zx2c4.com/WireGuard/snapshot/WireGuard-0.0.20191206.tar.asc
...
WireGuard-0.0.20191     [ <=>                ]     858  --.-KB/s    in 0s      
2019-12-11 21:22:32 (5,48 MB/s) - „WireGuard-0.0.20191206.tar.asc“ uložený [858]
...
niekto@niekde:~$ gpg --verify WireGuard-0.0.20191206.tar.asc WireGuard-0.0.20191206.tar.xz 
gpg: Signature made Pi  6. december 201918:39:35 CET
gpg:                using RSA key AB9942E6D4A4CFC3412620A749FC7012A5DE03AE
gpg:                issuer "jason@zx2c4.com"
gpg: BAD signature from "Jason A. Donenfeld <Jason@zx2c4.com>" [unknown]
...
niekto@niekde:~$ gpg --list-keys
/home/niekto/.gnupg/pubring.kbx
-------------------------------
pub   rsa4096 2011-01-15 [SC] [expires: 2021-02-02]
      AB9942E6D4A4CFC3412620A749FC7012A5DE03AE
uid           [ unknown] Jason A. Donenfeld <Jason@zx2c4.com>
sub   rsa4096 2011-01-15 [E] [expires: 2021-02-02]
    • RE: overenie integrity zdrojov WireGuard pred kompilovaním 12.12.2019 | 00:31
      Avatar xkucf03   Používateľ

      Zjevně nejdřív podepsali .tar soubor a až potom ho zkomprimovali jako .xz. Zkus tedy:

      unxz --keep WireGuard-0.0.20191206.tar.xz
      gpg --verify WireGuard-0.0.20191206.tar.asc WireGuard-0.0.20191206.tar
      • RE: overenie integrity zdrojov WireGuard pred kompilovaním 12.12.2019 | 19:37
        Avatar zavrk devuan  Používateľ

        Jasné, nenapadlo ma. Ďakujem.

    • RE: overenie integrity zdrojov WireGuard pred kompilovaním 12.12.2019 | 00:33
      Avatar xkucf03   Používateľ

      Ještě přikládám hashe toho, co jsem stáhl:

      $ sha256sum WireGuard-0.0.20191206.tar*
      76bdffb3940c46d28653487e98b37ff33e8d525121270ffa32f0394d9d141eb2  WireGuard-0.0.20191206.tar
      b0f763fcbf69c61c6aadd995563b1cf083951e8ca66a9bad801f5b4cf4c68226  WireGuard-0.0.20191206.tar.asc
      75e4e8f2971257339ef45af1be67f0a21435235f25277e3e0e4d6f867714ece5  WireGuard-0.0.20191206.tar.xz
    • RE: overenie integrity zdrojov WireGuard pred kompilovaním 12.12.2019 | 00:36
      Avatar samalama.   Návštevník

      ... wget https://git.zx2c4.com/WireGuard/snapshot/WireGuard-0.0.20191206.tar.xz...
      ... som len priemerný užívateľ linuxu...
      ... robím niekde chybu ...

      to, co robis, je chyba. ked chces bezpecnost, tak pouzi ipsec, co je industry standard, je tu uz niekolko desatroci, podporuje to skoro vsetko (od os az po hw) atd., a nie nejake chujoviny, co si niekto vymysla, lebo sa nudi...

      • RE: overenie integrity zdrojov WireGuard pred kompilovaním 12.12.2019 | 11:29
        Avatar mudrlanti_vsade   Návštevník

        Sak ho nechaj, nech sa hraje chlapec :) WireGuard je na take to domace zuvanie celkom schodny, chalan po case sam zisti ze IPsec je cesta :D

      • RE: overenie integrity zdrojov WireGuard pred kompilovaním 12.12.2019 | 13:44
        Avatar bedňa LegacyIce-antiX  Administrátor

        4000 riadkov kódu vs 400000?

        Táto správa neobsahuje vírus, pretože nepoužívam MS Windows. http://kernelultras.org
        • RE: overenie integrity zdrojov WireGuard pred kompilovaním 12.12.2019 | 15:08
          Avatar mudrlanti_vsade   Návštevník

          Porovnavas soft alebo vseobecnejsie implementaciu protokolov na zaklade poctu riadkov? Tak v tom pripade moj hello world program v C++ je urcite lepsi ako Windwos lebo ja mam 4 riadky kodu :D

          • RE: overenie integrity zdrojov WireGuard pred kompilovaním 12.12.2019 | 15:24
            Avatar bedňa LegacyIce-antiX  Administrátor

            Tak malé porovnanie s IPsec a OpenVPN od Linusa:

            Pulled.

            Btw, on an unrelated issue: I see that Jason actually made the pull request to have wireguard included in the kernel.

            Can I just once again state my love for it and hope it gets merged
            soon? Maybe the code isn't perfect, but I've skimmed it, and compared
            to the horrors that are OpenVPN and IPSec, it's a work of art.

            Linus

            lkml

            Takže Linus IPsec prirovnal k hrôze a WireGuard k umeleckému dielu. Toto je pre mňa presvedčivejší argument ako prázdne kecy neprispôsobivých.

            Táto správa neobsahuje vírus, pretože nepoužívam MS Windows. http://kernelultras.org
            • RE: overenie integrity zdrojov WireGuard pred kompilovaním 12.12.2019 | 15:42
              Avatar Andrej Lacho Debian, CentOS ...  Administrátor

              Mario, u mna napr. vitazi jednoznacne IPSec. Mam s tym najlepsie skusenosti.

              • RE: overenie integrity zdrojov WireGuard pred kompilovaním 12.12.2019 | 15:57
                Avatar bedňa LegacyIce-antiX  Administrátor

                Ja netvrdím že je zlé.

                Ale samozvaný najmúdrejší vládca "samalama" tu zo svojich názorov robí jedinú pravdu.

                Takže áno, IPsec je dobré, ale nikto nemôže tvrdiť, že jediné dobré riešenie.

                Táto správa neobsahuje vírus, pretože nepoužívam MS Windows. http://kernelultras.org
                • RE: overenie integrity zdrojov WireGuard pred kompilovaním 12.12.2019 | 16:21
                  Avatar samalama.   Návštevník

                  o jedinej pravde (tej svojej), tu hlasa len plesaty...
                  ja som len povedal svoj nazor, nikomu nic nevnucujem...

                  btw, porovnaj si funkcionalitu ipsec a wireguard... a potom porovnaj pocet riadkov atd...

                  • RE: overenie integrity zdrojov WireGuard pred kompilovaním 12.12.2019 | 16:57
                    Avatar bedňa LegacyIce-antiX  Administrátor
                    o jedinej pravde (tej svojej), tu hlasa len plesaty...

                    Tak sa ho nesnaž napodobovať ;)

                    WireGuard je elegantný, jednoduchý a bezpečný. Má nakročené k tomu aby sa z neho (nie len) v Linux enviroment stal štandard. Takže nejaké odstrašovanie od jeho používania nie je namieste.

                    Táto správa neobsahuje vírus, pretože nepoužívam MS Windows. http://kernelultras.org
                    • RE: overenie integrity zdrojov WireGuard pred kompilovaním 12.12.2019 | 21:41
                      Avatar mudrlanti_vsade   Návštevník

                      Nema nakrocene k ziadnemu standardu, pokial sa nenajde jeden ozajstny HW vendor, ktory ho implementuje. Je odsudeny pre bastlicov podobne ako OpenVPN. Implementacia OpenVPN od MikroTiku ani od TP-Linku sa neda povazovat za implementaciu od seriozneho vendora. Takze ziadna slava. Kto vychvaluje Wireguard, nikdy nepotreboval prepojit ozajstne viac-ako-bastl (zamerne nevravim enterprise) siete na viac-ako-bastl HW.

                      • RE: overenie integrity zdrojov WireGuard pred kompilovaním 12.12.2019 | 22:04
                        Avatar bedňa LegacyIce-antiX  Administrátor

                        Pred tým ako si napísal tento koment si si pozrel aspoň nejaký benčmark IPsec s HW akceleráciou a WireGuard bez HW akcelerácie?

                        Podľa mňa je IPsec super, ale prečo nenasadiť niečo lajt tam kde to ide. Poďalšie keď budeš chcieť predať riešnie s nezávislym auditom tak to bude stáť pár korún.

                        Proste sa tu bavíme hlavne o tom, či použitie WireGuard je OK, alebo nie. Ak chceš o tom vedieť viac tak ti to tu kľudne rozpíšem.

                        Táto správa neobsahuje vírus, pretože nepoužívam MS Windows. http://kernelultras.org