Zusammenhang zwischen der SHA256SUMS & SHA256SUMS.asc?

Munka · 3. Januar 2023 um 19:12

Hallo liebe Bitcoiner und die es noch werden,

mit dem Ziel nun selbst eine pruned Node auf einem Laptop zu realisieren habe ich mir brav auf Bitcoin Core :: Download - Bitcoin die Version 22 runtergeladen. Doch STOP! Erstmal prüfen, ob das wirklich die richtige Version/Software ist. Bringt ja nix, wenn man irgendwelche Regeln überprüft. Es sollte schon die richtigen sein.

Bin dann auch der Anleitung „Windows verification instructions“ gefolgt. Diese findet man auch auf der oben genannten Seite.
Jetzt versuche ich es möglichst kurz zu machen und beziehe mich auf die Schritte gemäß der Anleitung, damit es hoffentlich nachvollziehbar bleibt.

6) Ensure that the checksum produced by the command above matches one of the checksums listed in the checksums file you downloaded earlier.
Die SHA256-checksumme der Setup.exe schnell überprüft.
SHA256-checksumme setup.exe = SHA256SUMS aus (Index of /bin/bitcoin-core-22.0/)
Damit weiß ich ja, das die Setup Datei gleich ist mit dem Eintrag in der SHA256SUMS. Gut hilft mir das viel weiter? Eigentlich nicht. Kann ja gut sein, dass beide Dateien kompromittiert sind. Erst die Signatur der Entwickler bringt die Sicherheit. Also weiter!

*8) Bitcoin releases are signed by a number of individuals, each with a unique public key. In order to recognize the validity of signatures, you must use GPG to load these public keys locally. You can find many developer keys listed in the bitcoin/bitcoin repository, which you can then load into your GPG key database.

So wie ich es verstehe, kann ich hiermit überprüfen, ob die SHA256SUMS.asc mit „PGP“ von den Bitcoindevs(Chefentwicklern) kryptografisch signiert wurde. Habe ich auch gemacht Ergebnis:
SHA256SUMS.asc enthält PGP-Schlüssel die prüfbar sind mit denen der Chefentwickler

Was ich nicht verstehe: Ich habe hier 3 verschiedene Dateien (Setup.exe, SUMS und SUMS.asc) die ich verifiziere. Aber wo ist der Zusammenhang?
Ich prüfe:
Setup.exe gegen SHA256SUMS
&
SHA256SUMS.asc gegen Chefentwicklerschlüssel

Wo ist der Zusammenhang zwischen der SHA256SUMS & SHA256SUMS.asc
Oder besser gesagt: Wo ist der Zusammenhang zwischen den Chefentwicklerschlüssel und der Setup.exe

Ich hoffe es ist nachvollziehbar, wo mein Problem ist. Ich freue mich auf die Erleuchtung!
Danke!

Edit: Typos

Cricktor · 3. Januar 2023 um 19:36

Die digitalen Unterschriften in der Datei SHA256SUMS.asc beglaubigen, daß der Inhalt der SHA256SUMS (Prüfsummen für verschiedene Dateien) authentisch ist und von mehreren Augenpaaren geprüft und bestätigt wurde. Damit sind die Hashes in der SHA256SUMS die Wahrheit. Hat deine *.exe oder andere Download-Datei den korrekten Hash aus der SHA256SUMS, dann weißt du, daß sie nicht manipuliert sein kann und so ist, wie sie von den Bitcoin Devs beglaubigt und freigegeben wurde. Ein maligner Hoster hat die Datei zum Download nicht verändert. Sie ist so auf deinem Rechner angekommen, wie sie sein soll, jedes einzelne Bit an der richtigen Stelle mit richtigem Wert.

Der Vorteil dieses Ansatzes ist es, daß du viele Hashes von verschiedenen Dateien in der SHA256SUMS haben kannst und letztlich nur eine digitale Unterschrift für die SHA256SUMS brauchst. Ansonsten bräuchtest du für jede Download-Datei eine individuelle digitale Unterschrift.
Die haben sich schon etwas dabei gedacht, es genau so zu machen, wie es ist.

Munka · 3. Januar 2023 um 19:52

Hey Cricktor,

besten Dank für die schnelle Antwort. Diese ist sehr ausführlich gut nachvollziehbar.
Leider bist du auf den entscheidenden Punkt meiner Frage nicht eingegangen. Oder ich habe es noch nicht verstanden:

Wie passiert das?
Wo ist der Zusammenhang zwischen der SHA256SUMS & SHA256SUMS.asc

Wie kann ich überprüfen, das die SHA256SUMS nicht nachträglich verändert wurde? Es besteht ja schließlich, soweit mir bekannt, kein kryptografischer Zusammenhang zur SHA256SUMS.asc

Gruß

Cricktor · 3. Januar 2023 um 20:11

Die SHA256SUMS.asc ist eine kryptografisch sichere und unfälschbare digitale Unterschrift eines oder mehrerer Individuen der SHA256SUMS, die deren Inhalt mit ihrer digitalen Unterschrift beglaubigen, sehr vereinfacht dargestellt. PGP-Profis können da sicherlich noch mehr dazu sagen. Du kannst die digitale(n) Unterschrift(en) in der SHA256SUMS.asc für eine beliebige Datei nicht fälschen, das ist der entscheidende Punkt.

Verändere doch einfach mal ein beliebiges Zeichen in der SHA256SUMS und prüfe dann nochmal mit der digitalen Signatur in SHA256SUMS.asc. Was kommt dabei heraus?

Verändere ein beliebiges Zeichen in der SHA256SUMS.asc, lasse aber die SHA256SUMS wie ursprünglich war. Was kommt dabei heraus?

Munka · 3. Januar 2023 um 20:49

Danke dir! Ich hatte kein gutes Verständnis für PGP & GPG und habe jetzt auf die schnelle selbst eine Datei signiert und dann wieder überprüft.

Die SHA256SUMS.asc entsteht durch die SHA256SUMS + Entwickler-Key.
Diese Verbindung hat mir gefehlt

-closed-

Cricktor · 3. Januar 2023 um 21:24

Aaach soo! Siehst du, ich dachte anfangs, du wüsstest, wie eine *.asc generiert wird.
Aber selbst erworbenes Wissen ist nachhaltigeres Wissen.

Sovereignyx · 4. Januar 2023 um 13:26

Darf ich fragen, warum du eine pruned node aufsetzen möchtest?

Geht es dir einfach um den Speicherplatz oder möchtest du diese auf einem Mobilgerät installieren oder wie oder was?

Ich frage nur aus Neugier weil für mich macht das bei dem nicht einmal halben Terrabyte an Speicherplatz gar keinen Sinn auf eine Full Node verzichten zu wollen?

Munka · 4. Januar 2023 um 21:20

Möchte die Node auf meinen Laptop laufen lassen. Der Speicherplatz ist, wie du schon vermutet hast, nicht ausreichend.

Zu einem späteren Zeitpunkt möchte ich dann eine Full-Node betreiben die 24/7 am Netz hängt.