Sie sind hier: Startseite / Blog

Blog

Really Verifying LineageOS Build Authenticity

Re-establish the chain of trust after the way to verify public builds has changed

Really Verifying LineageOS Build Authenticity

LineageOS Logo (Quelle: Wikipedia)

The Lineage team has changed the way they sign the public builds. Unfortunately this change is not yet well communicated: The "Verifying Build Authenticity" wiki page as of today only describes the old method. Well, after some "startpaging" (how I call searching the internet) I found a patch and a pull-request describing the new method.

Formerly the Java-based "keytool" was used, which prints out some checksums the user has to compare her/himself. The new tool is Python-based and just says "verified successfully".

While this user-friendly, it leaves open how to verify the provided public key? How to build a chain of trust from the checksums published on the wiki to the public key included in the new tool's archive? Here is how-to.

The basic idea is to extract the public key from an installation archive we could verify using the old method and check if the public key in the new tool's archive matches the one used in the old installation archive.

In detail:

  1. Download and verify an installation archive using the old method, e.g. lineage-14.1-20180803-nightly-i9100-signed.zip
  2. Get the checksums from https://wiki.lineageos.org/verifying-builds.html respective commit 8dca5e117efc77be9bfcfeb39c6f69c1dce041ed (which as far as I can tell was the very first commit of this wiki-page and thus shall be our trust anchor). Define shell-variables to have them at hand:
    SHA1=9B:6D:F9:06:2A:1A:76:E6:E0:07:B1:1F:C2:EF:CB:EF:4B:32:F2:23
    SHA256=51:83:25:EF:7F:96:C0:D1:19:4C:2E:85:6B:04:0D:63:61:66:FF:B8:46:71:7D:72:FA:87:F4:FA:E5:BE:7B:BB

    You may want to pick the values from the aforementioned links so you don't need to trust me.

  3. Extract the X.509 certificate from the installation archive
    unzip -j lineage-14.1-20180803-nightly-i9100-signed.zip META-INF/com/android/otacert
  4. This will extract the certificate otacert into the current directory (unzip -j means: junk paths).
  5. Manually verify the fingerprints using different methods
    echo $SHA1 | tr -d ':' ; \
    openssl x509 -fingerprint -noout -in otacert | sed 's/.*=//' | tr -d ':' ; \
    openssl x509 -outform DER -in otacert | sha1sum --binary | tr '[:lower:]' '[:upper:]'

    echo $SHA256 | tr -d ':' ; \
    openssl x509 -outform DER -in otacert | sha256sum --binary | tr '[:lower:]' '[:upper:]'

    Line 1 will print the SHA1 check-sum picked from the wiki with colons removed. It's easer to remove the colons then inserting them in line 3. Line 2 will print the SHA1 check-sum using openssl x509 -fingerprint, again colons removed. This line is basically to verify our line 3 is correct. And line 3 calculates the SHA1 check-sum using the tool sha1sum.

    Lines 5 and 6 basically do the same, just using SHA256 check-sums. I did not find a way to make openssl x509 -fingerprint use SHA256 check-sums. This is why this step is missing here and why I'm using the external tools at all.

  6. Now we have verified the certificate within the installation archive is the correct one. Fine.
  7. Extract the public key from the certificate and convert into format used by the public key provided in the new tool's archive:
    openssl x509 -in otacert -noout -pubkey | openssl rsa -pubin -RSAPublicKey_out > otacert.pub
  8. Check if the two files are the same
    diff otacert.pub lineageos_pubkey && echo okay
  9. q.e.d.

For reference, here is the otacert.pub file:

-----BEGIN RSA PUBLIC KEY-----
MIIBCgKCAQEApk3T4fhCA4/wP2e46b8JUw/CkTy1PjZUx47CDbyLHnETYoylq8CG
BWDLRCwbUfmLbc5eWcSQN/J/ZPSK7wSQq5kQbwgHohMOGos6rNg05lbwhUtgJne2
bAB7FMLQwo0NxhNB3mSNh521mp554SiIcxo7scYftY9yWsBx3hK2EJPezFaFrCR0
zuLPIvDkS/IIQQ2RxdH2CqeUVUiCK611anDg/hfIPzXl+lm+TdK0RgSPm0IzIYb/
CqR+05whDen9mBxVcZ7I8wyqxEFcIWBfE/V9Ds3waCxITpRWdI3r6A4vLgsc9H+5
XZL/9Gc+FvY3gfOyx81LkEBBq+td+FBZmQIDAQAB
-----END RSA PUBLIC KEY-----
30.08.2018 18:56

Flüchtlinge von heute sind auch "Opfer von Flucht"

Wie verlogen: Der Bundesinnenminister hetzt gegen Flüchtlinge von heute. Gleichzeitig veranstaltet er einen "Gedenktag für die Opfer von Flucht und Vertreibung". Gemeint sind die nach den 2. ...

23.06.2018 09:58

Appell gegen Polizeigesetze und innere Aufrüstung

Die deutsche Innenpolitik legt mit einer unverhältnismäßigen Aufrüstung der Exekutive und mit Überwachungsgesetzen der demokratisch erstritten Freiheit, Sicherheit und den Bürgerrechten schwere ...

23.06.2018 09:21

E-mails weiterhin verschlüsseln!

S/MIME und PGP sind nicht gebrochen

E-mails weiterhin verschlüsseln!

EFail-Symbolbild (CC-0)

Mitte Mai veröffentlichte eine Gruppe deutscher Wissenschaftler eine Warnung vor neu entdeckten Problemen mit verschlüsselter E-Mail. Dies Veröffentlichung führte zu Aussagen, wie "E-mails nicht mehr verschlüsseln".

Ich bitte darum, die Falschmeldung nicht weiter zu verbreiten - auch wenn sie von der renommierten Electronic Frontier Foundation losgetreten wurde.

Die beiden zugrundeliegenden Verfahren S/MIME und PGP sind nicht gebrochen. Lediglich nutzen etliche Mailprogramme diese Techniken falsch, so dass Angreifer mit ziemlichen Aufwand an den Inhalt verschlüsselter Mails kommen können. Dazu ist aber ein aktiver Angriff nötig!

Der Rat ist noch immer: E-mails verschlüsseln. Dann ohne Verschlüsselung kann jeder den Inhalt der Mails lesen, im andren Fall nur der Angreifer - wenn er denn angreift.

Abhilfe ist zudem leicht:
a) keine externen Inhalte in Mails nachladen
b) neue Version des Mailprogramm verwenden

Mehr hierzu unter https://digitalcourage.de/2018/05/21/e-mail-verschluesselung-und-sicherheitsnihilismus

19.06.2018 18:10

„Kamera-Safari“ durch die Münchner Innenstadt

am 21. April 2018, 14 Uhr im JIZ, Sendlinger Str. 7 (Innenhof)

„Kamera-Safari“ durch die Münchner Innenstadt

"Mutig warf sich die kleine Kamera zwischen den Täter und das Opfer."

Es gibt immer weniger öffentliche Orte, an denen man sich bewegen kann, ohne dabei von öffentlichen und privaten Überwachungskameras aufgezeichnet zu werden. Viele Überwachungskameras sind rechtswidrig angebracht, doch das fällt selten auf, Strafen gibt es keine. So mehren die vielen Kameras in der Öffentlichkeit das Gefühl, permanent unter Beobachtung zu stehen. Dies ist eine Einschränkung unserer Freiheitsrechte - denn wer beobachtet wird, ist nicht frei.

Die Digitalcourage Ortsgruppe München veranstaltet am Samstag, den 21. April um 14 Uhr eine „Kamera-Safari“ durch Münchner Innenstadt. Um 14 Uhr startet der Spaziergang am JIZ. Ab ca. 16:00 Uhr wollen wir dort gemeinsam die ermittelten Videokameras kartieren und in OpenStreetMap einpflegen. Ziel ist es, das Ausmaß der Videoüberwachung und ggf. rechtswidrig angebrachte Kameras zu dokumentieren.

Bitte Digitalkamera oder Handy, mit denen man Fotos machen kann, mitbringen, damit wir die Kameras besser dokumentieren können.

Alle, denen außerhalb des Spazierganggebietes Kameras auffallen, können die Standorte und ein Dokumentations-Foto gerne mitbringen, um die Kameras zu kartieren.

05.04.2018 17:30

Gemeinsam die Gala zur Verleihung der der BigBrotherAwards gucken

20. April 2018, 18 Uhr im JIZ, Sendlinger Str. 7 (Innenhof), München

Die BigBrotherAwards (BBAs) 2018 werden am 20. April 2018 im Stadttheater Bielefeld verliehen. Spannend, unterhaltsam und gut verständlich werden die ‚Oscars für Überwachung' (Le Monde) an die größten Datensünder des letzten Jahres vergeben. Eine Jury aus prominenten Bürgerrechtlern verleiht jährlich diesen Datenschutz-Negativpreis an Firmen, Organisationen und Politiker.

Für alle Münchnerinnen und Münchner, die weder den weiten Weg nach Bielefeld auf sich nehmen wollen, noch alleine auf der Couch schauen möchten, bietet die Digitalcourage Ortsgruppe München ein Live-Streaming der BBAs im JIZ an. Seid dabei!

Ab 17:45 Uhr geht es los, die Übertragung startet um 18 Uhr.

05.04.2018 17:17

Eilt: Petition auf WeAct gegen VDS *jetzt* unterschreiben

Vorratsdatenspeicherung wird heute verhandelt!

Hallo liebe Leute,

der AK Vorrat hat auf WeAct (der Peditionsplatform von Campact) einen Petition gegen die Vorratsdatenspeicherung gestartet:

https://weact.campact.de/petitions/weg-mit-dem-gesetz-zur-vorratsdatenspeicherung

Jetzt gleich unterzeichnen und Link bekannt machen denn wie wir eben erfahren haben, verhandeln heute die Berichterstatter der Parteien die Themen Innen,Justiz und Rechtsstaat. Ganz vorne auf der Agenda wieder die VDS.

Danke!

09.11.2017 15:07

Public Money – Public Code

Warum wird durch Steuergelder finanzierte Software nicht als Freie Software veröffentlicht? Wir wollen rechtliche Grundlagen, die es erfordern, dass mit öffentlichen Geldern für öffentliche ...

Die Adresse lautet: https://publiccode.eu/de/

19.09.2017 11:33

Digitalcourage klagt gegen den die Staatstrojaner – Verfassungsbeschwerde unterstützen!

in letzter Zeit werden wir von Überwachungsgesetzen überrannt – sie sind versteckt, tragen irreführende Namen und werden mit Verfahrenstricks durchgedrückt. Die kürzlich beschlossenen Staatstrojaner ...

28.07.2017 10:55

Artikel 1 – Wählerinitiative zur Bundestagswahl

Die Bundestagswahl bietet die Chance, die Bürgerrechte wieder zu stärken. Wir treten ein für ein demokratisch verfasstes Europa, das sich nach innen und außen für die Menschenrechte einsetzt. Wir ...

17.06.2017 10:13