Subject: [HPG] Verifizierung von PGP-Signaturen
Date: Sat, 19 Apr 2008 18:10:14 +0200
Hi,
offenbar geht der HPG mit eigenen postings anders um als der HCL.
Postings, die sowohl der HCL als auch der HPG zum externen Server
weitertransportieren sollen, werden mittels des scripts von Michael
Jaritz ordnungsgemaess signiert.
Der HCL liefert das posting aus und der Ruecklaeufer wird mittels der in
den newsclient 40tude-dialog eingebundenen Anwendung 40sig.exe
ordnungsgemaess verifiziert (X-PGP-Check: good sig). Das Ursprungsposting
wird ueberschrieben.
Der HPG jedoch erkennt offenbar, dass es sich bei dem Ruecklaeufer um ein
eigenes posting handelt und ueberschreibt das Ursprungsposting im client
nicht -das ja erst nach dem send-vorgang mittels des Hamsterscripts
ab, wobei noch ein Hinweistext an den bodyanfang in das posting
eingefuegt wird. Kommt nun dieses veraenderte posting in der Gruppe
internal.posted beim client an und folgt nun die Verifizierung, dann ist
das Ergebnis logischerweise X-PGP-Check: bad sig.
Das Ursprungsposting in der entsprechenden Gruppe des client traegt somit
keine Signatur, es findet folglich auch ueberhaupt kein
Verifizierungsvorgang statt. Daraus ergibt sich, dass eine Kontrolle der
ordnungsgemaessen Signierung bei Verwendung des HPG im client nicht
stattfinden kann, wenn es sich um eigene postings handelt, die der HPG
zum externen Server befoerdert.
Fremde, signierte postings jedoch werden von der
client-Verifizieranwendung ordnungsgemaess bearbeitet, egal ob sie der HCL
oder HPG zum client transportiert.
1. Frage nun: Vorausgesetzt, dass meine Meinung ueber das handling seitens
des HPG stimmt, kann man diesem Teil irgendwie beibringen, den
Ruecklaeufer in die Ursprungsgruppe des client einzuliefern?
2. Frage: Waere 1. obsolet, wenn
- im actiontask NewsIn ein "Verifizierungsscript" eingebunden waere?
- dieses script das Ergebnis nach X-PGP-Check schreiben wuerde?
- der client diesen Headerinhalt anzeigen koennte?
Bisher habe ich allerdings noch kein solches script gefunden, das auch
DSA-Schluessel verifizieren kann (Remo?). Mit einem solchen script koennte
die komplette Verifizierung vom client genommen (40sig.exe nur fuer
40tude-dialog) und komplett auf den HPG uebertragen werden und somit das
Ergebnis allen clients zur Verfuegung stehen. Wenn diese dann noch
X-PGP-Check anzeigen koennten, umso besser. Da 40sig.exe auch auf der
Kommandozeile verwendbar ist und nicht speziell 40tude voraussetzt, waere
das Problem m.E. schon ein *.hsc mit diesem Teil moeglich. Isch kann aber
keine schrcippte maaken ;-(
help needed
btw: ich hab auch schon dran gedacht, den bodytext als Signierkriterium
aussen vor zu lassen..... das aber war nur ein sehr kurzer Gedanke :-o
Viele Gruesse
Reinhard
--
,---- [Oh Du mein holder Abendstern] .
| ....... leuchtest ueber ....... |
| der Hamster-Spielwiese 1.25.2.0 |
'---------------------------------'
offenbar geht der HPG mit eigenen postings anders um als der HCL.
Postings, die sowohl der HCL als auch der HPG zum externen Server
weitertransportieren sollen, werden mittels des scripts von Michael
Jaritz ordnungsgemaess signiert.
Der HCL liefert das posting aus und der Ruecklaeufer wird mittels der in
den newsclient 40tude-dialog eingebundenen Anwendung 40sig.exe
ordnungsgemaess verifiziert (X-PGP-Check: good sig). Das Ursprungsposting
wird ueberschrieben.
Der HPG jedoch erkennt offenbar, dass es sich bei dem Ruecklaeufer um ein
eigenes posting handelt und ueberschreibt das Ursprungsposting im client
nicht -das ja erst nach dem send-vorgang mittels des Hamsterscripts
ab, wobei noch ein Hinweistext an den bodyanfang in das posting
eingefuegt wird. Kommt nun dieses veraenderte posting in der Gruppe
internal.posted beim client an und folgt nun die Verifizierung, dann ist
das Ergebnis logischerweise X-PGP-Check: bad sig.
Das Ursprungsposting in der entsprechenden Gruppe des client traegt somit
keine Signatur, es findet folglich auch ueberhaupt kein
Verifizierungsvorgang statt. Daraus ergibt sich, dass eine Kontrolle der
ordnungsgemaessen Signierung bei Verwendung des HPG im client nicht
stattfinden kann, wenn es sich um eigene postings handelt, die der HPG
zum externen Server befoerdert.
Fremde, signierte postings jedoch werden von der
client-Verifizieranwendung ordnungsgemaess bearbeitet, egal ob sie der HCL
oder HPG zum client transportiert.
1. Frage nun: Vorausgesetzt, dass meine Meinung ueber das handling seitens
des HPG stimmt, kann man diesem Teil irgendwie beibringen, den
Ruecklaeufer in die Ursprungsgruppe des client einzuliefern?
2. Frage: Waere 1. obsolet, wenn
- im actiontask NewsIn ein "Verifizierungsscript" eingebunden waere?
- dieses script das Ergebnis nach X-PGP-Check schreiben wuerde?
- der client diesen Headerinhalt anzeigen koennte?
Bisher habe ich allerdings noch kein solches script gefunden, das auch
DSA-Schluessel verifizieren kann (Remo?). Mit einem solchen script koennte
die komplette Verifizierung vom client genommen (40sig.exe nur fuer
40tude-dialog) und komplett auf den HPG uebertragen werden und somit das
Ergebnis allen clients zur Verfuegung stehen. Wenn diese dann noch
X-PGP-Check anzeigen koennten, umso besser. Da 40sig.exe auch auf der
Kommandozeile verwendbar ist und nicht speziell 40tude voraussetzt, waere
das Problem m.E. schon ein *.hsc mit diesem Teil moeglich. Isch kann aber
keine schrcippte maaken ;-(
help needed
btw: ich hab auch schon dran gedacht, den bodytext als Signierkriterium
aussen vor zu lassen..... das aber war nur ein sehr kurzer Gedanke :-o
Viele Gruesse
Reinhard
--
,---- [Oh Du mein holder Abendstern] .
| ....... leuchtest ueber ....... |
| der Hamster-Spielwiese 1.25.2.0 |
'---------------------------------'