Benötige Möglichkeiten zur Überprüfung von trezor-bridge-Paketen für Linux (.deb, .rpm)

Home Foren Trezor Wallet Benötige Möglichkeiten zur Überprüfung von trezor-bridge-Paketen für Linux (.deb, .rpm)

Ansicht von 3 Antwort-Themen
  • Autor
    Beiträge
    • 2. Mai 2022 um 11:52 Uhr #755385
      root_s2yse8vt
      Administrator
      Up
      0
      Down
      ::

      Auf [this page](https://data.trezor.io/bridge/latest/index.html), gibt es Signaturen für Windows und Mac.

      Für Linux-Pakete, versucht, den Schlüssel zu importieren : [91F3B339B9A02A3D](https://keybase.io/stick#show-public)

      Der Paketmanager stellt jedoch fest, dass dieser Schlüssel bereits abgelaufen ist und weigert sich daher, ihn zu importieren.

      Ein anderer Schlüssel, den ich importiert habe, ist: SatoshiLabs 2021 Signing Key

      EB48 3B26 B078 A4AA 1B6F 425E E21B 6950 A2EC B65C, der zum Signieren der Trezor-Suite-Pakete verwendet wird.

      Aber die Verifizierung schlägt für trezor-bridge fehl, also nehme ich an, dass es nicht von ihm signiert ist.

      Ich kann auch keine Hash-Informationen für die trezor-bridge-Pakete finden.

    • 2. Mai 2022 um 11:52 Uhr #755386
      findingmewanahelp909
      Gast
      Up
      0
      Down
      ::

      Same problem I ran into, just gotta take a leap of faith I guess Their signing process needs some working on to say the least.

    • 2. Mai 2022 um 11:52 Uhr #755387
      brianddk
      Gast
      Up
      0
      Down
      ::

      Sig checks are part of the DPKG spec. It’s rather convoluted, but if you can find / install the proper dpkg utils you can check them. If you open the DEP in an ANSI ascii text editor you will see the metadata.

      The first 60 bytes of the file are ascii, and the last 1300 bytes are ascii encoded signature data. This is all in the DPKG spec. The archive format is `AR` (see `binutils`) and you can use `ar` to [extract the deb directly](https://www.cyberciti.biz/faq/how-to-extract-a-deb-file-without-opening-it-on-debian-or-ubuntu-linux/).

      The `ar` util will extract a file called `data.tar.gz`. The metadata mentioned in the first paragraph has the MD5 and SHA1 hash of the file. The metadata with the hashes is a GPG signed message with key `86E6792FC27BFD478860C11091F3B339B9A02A3D`

      So the full process, assuming you want to use none of the DPKG utils would be:

      1. Import and consider trusting key `91F3B339B9A02A3D`
      2. Download DEP file
      3. Verify DEP (`gpg –verify trezor-bridge_2.0.27_amd64.dep`)
      4. View the hashes (`tail -n 29 trezor-bridge_2.0.27_amd64.deb`)
      5. Extract the files (`ar x trezor-bridge_2.0.27_amd64.deb`)
      6. Hash the files (`shasum data.tar.gz`)

      Convoluted, but that is the DPKG spec.

    • 2. Mai 2022 um 11:52 Uhr #755388
      Midar3
      Gast
      Up
      0
      Down
      ::

      You could just use Suite on Web and not bother with the bridge at all

  • Autor
    Beiträge
Ansicht von 3 Antwort-Themen
  • Du musst angemeldet sein, um auf dieses Thema antworten zu können.