Hab ich schonwider die falsche CD oder gibt es wirklich keinen signierten Hash für die One? Ich habe die One per Torrent runtergeladen und jetzt ist keine datei mit der Endung asc dabei. Wenn ich über ftp oder http runterladen will bekomme ich immer nur eine (zufällige) Adresse. Auch dort felt eine entsprechende Datei und SSL gibt es entweder gar nicht oder es ist slefsinght.

War bei den Torrents je ein signierter Hash dabei? Ich habe nur die md5sum...

Wenn du via FTP von einem bestimmten Mirror runterlädst, warum bekommst du dann eine zufällige Adresse?
Und kannst du mal etwas genauer ausführen, was du dann mit dem signierten Hash anstellst, interessehalber?

Wenn ich eine bestimmte Adresse Hätte. Ich bin nur auf mandriva.com gegangen und habe da auf runterladen gedrückt. Dann werde ich irgendwohin weitergeleitet (jedesmal woanders).
Eben nicht das ist ja mein Problem.

Wie wäre es, wenn Du einfach den Mirror Deines Vertrauens wählst? Z.B. ftp.free.fr, ftp.mandrivauser.de oder so?

Oliver


EDIT: Auch bei den Earlyseeder-Versionen der ONE ist keine asc-Datei dabei, bei der Free schon!
Wäre mir nie aufgefallen.

Um feststellen zu können, ob es sich um einen Sever meines Vertrauens handelt, bräuchte ich ja SSL (DNS und Downloadtraffic lässt sich einfach fälschen. - Bei Zertifikaten ist das zumindest schwieriger.)
Und wie dir scheint es fast allen zu gehen. Mir scheint ich bin der einzige, der seine Downloads vorbildlich überprüft.
Überprüfen ob der Hash echt ist. (Ob die Signatur in sich stimmig ist und ob da nicht einfach privat einen Schlüssel generiert hat.
Ich verstehe sowieso nicht warum bei den Torrents immer pure md5 und sha1 hashs dabei sind. Der ganze Kram ist doch bei Torrents nutzlos.

Offensichtlich, wir anderen ca. 2,5 Millionen User sind da nicht so vorbildlich, sonst wäre das schon seit Jahren bemängelt worden - ich kann mich allerdings weder bei uns noch im internationalen Forum an eine entsprechende Anfrage erinnern.
Ich schlage vor, Du meldest das in Bugzilla, da es ja Deiner Meinung nach ein Fehler ist.

Oder Du holst Dir einfach die ISO von einem Server, die md5-Datei von einem anderen. Dann müssten schon beide Downloads übereinstimmend ǵefaket sein, um nicht aufzufallen. Was wohl so gut wie unmöglich ist.

Nen, in den letzten Versionen waren die entsprechenden Dateien immer dabei.
Das die Server oder gar der Torent vollständig manipuliert werden halte ich auch für sehr unwahrscheinlich. Aber für alle Server mir einen falschen DNS-Eintrag zu unterbreiten oder die Dateien dirket beim Downloaden zu manipulieren geht recht gut. Wenn ich im Lan sitze bekomme selbst ich sowas whrscheinlich hin. Und für einen bestimmten Abschnitt im Internt braucht man dann halt Zugriff auf die richtigen Router.

edit: bei der 2010.0 hat's auch schon gefehlt.
Aber davor war immer alles dabei:
ftp://mandrivauser.de/mandriva_isos/2009.1/mdv-ONE-2009.1-KDE4-europe1_americas-i586/mandriva-linux-one-2009.1-KDE4-europe1-americas-cdrom-i586.iso.md5.asc
ftp://mandrivauser.de/mandriva_isos/2009.0/mandriva-linux-one-2009-KDE4-int-cdrom-i586/mandriva-linux-one-2009-KDE4-int-cdrom-i586.iso.md5.asc
ftp://mandrivauser.de/mandriva_isos/2009.0/mandriva-linux-one-2009-KDE4-int-cdrom-i586/mandriva-linux-one-2009-KDE4-int-cdrom-i586.iso.sha1.asc

Ich halte diesen Denkansatz zumindest im vorliegenden Fall für rein akademisch.
Sicher wäre es theoretisch möglich, alle Server und alle ISOs und alle md5-Dateien zu manipulieren. Aber das würde erstens eine Menge Aufwand erfordern und zweitens absolut nichts bringen, denn zumindest den Entwicklern, die Zugang zum Primärserver haben, würde es sehr schnell auffallen.

Aber wie gesagt: beschreibe Deine Bedenken in Bugzilla.