Ich habe das ISO-Abbild von der Workstation 25 ins Download Verzeichnis runtergeladen
Ich habe danach diese Cheksumdatei angelegt und den Inhalt, der im Browser gezeigt wurde, reinkopiert. Die Datei habe ich genauso genannt wie sie im browser hieß, also: Fedora-Workstation-25-1.3-x86_64-CHECKSUM

Dann habe ich alle Befehle ausgeführt die ich ausführen sollte, aber diese ganze Chose funktioniert einfach nicht



$ curl https://getfedora.org/static/fedora.gpg | gpg --import
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 22218 100 22218 0 0 16479 0 0:00:01 0:00:01 --:--:-- 16482
gpg: Schlüssel 3AD31D0B: "Fedora-SPARC (15) <fedora@fedoraproject.org>" nicht geändert
gpg: Schlüssel 81B46521: "Fedora (24) <fedora-24-primary@fedoraproject.org>" nicht geändert
gpg: Schlüssel 030D5AED: "Fedora Secondary (24) <fedora-24-secondary@fedoraproject.org>" nicht geändert
gpg: Schlüssel FDB19C98: "Fedora 25 Primary (25) <fedora-25-primary@fedoraproject.org>" nicht geändert
gpg: Schlüssel E372E838: "Fedora 25 Secondary (25) <fedora-25-secondary@fedoraproject.org>" nicht geändert
gpg: Schlüssel 64DAB85D: "Fedora 26 Primary (26) <fedora-26-primary@fedoraproject.org>" nicht geändert
gpg: Schlüssel 3B921D09: "Fedora 26 Secondary (26) <fedora-26-secondary@fedoraproject.org>" nicht geändert
gpg: Schlüssel F5282EE4: "Fedora 27 (27) <fedora-27@fedoraproject.org>" nicht geändert
gpg: Schlüssel 0608B895: "EPEL (6) <epel@fedoraproject.org>" nicht geändert
gpg: Schlüssel 352C64E5: "Fedora EPEL (7) <epel@fedoraproject.org>" nicht geändert
gpg: Anzahl insgesamt bearbeiteter Schlüssel: 10
gpg: unverändert: 10
henry@mx1:~/Downloads
$ gpg --verify-files *-CHECKSUM
gpg: Unterschrift vom Fr 18 Nov 2016 15:15:52 CET mittels RSA-Schlüssel ID FDB19C98
gpg: Korrekte Unterschrift von "Fedora 25 Primary (25) <fedora-25-primary@fedoraproject.org>"
gpg: WARNUNG: Dieser Schlüssel trägt keine vertrauenswürdige Signatur!
gpg: Es gibt keinen Hinweis, daß die Signatur wirklich dem vorgeblichen Besitzer gehört.
Haupt-Fingerabdruck = C437 DCCD 558A 66A3 7D6F 4372 4089 D8F2 FDB1 9C98
henry@mx1:~/Downloads
$ sha256sum -c *-CHECKSUM
sha256sum: Fedora-Workstation-netinst-x86_64-25-1.3.iso: Datei oder Verzeichnis nicht gefunden
Fedora-Workstation-netinst-x86_64-25-1.3.iso: FEHLSCHLAG bei open oder read
Fedora-Workstation-Live-x86_64-25-1.3.iso: OK
sha256sum: WARNUNG: 19 Zeilen sind nicht korrekt formatiert
sha256sum: WARNUNG: die aufgeführte Datei konnte nicht gelesen werden


Was läuft da falsch?

Sieht so aus als habest du die netinstall...iso nicht runtergeladen sondern nur die live...iso

Dann kann er auch nur die live.... iso verifizieren.

Ich würde es übrigens anders machen, sha256sum einzeln auf die Dateien anwenden und die Ergebnisse direkt am Bildschirm vergleichen, dann hast du auch mehr Kontrolle über den Prozess (und lernst besser mit den Tools umzugehen).

Zu der Meldung mit der Signatur: du hast gpg nirgends gesagt dass du der Signatur (oder einem eventuell dazu vorhandenen Root Zertifikat mit dem die Fedora Signatur unterschrieben sein könnte) traust, daher kommt die Meldung dass die "trust chain" ("Vertrauenskette" ) nicht vollständig ist. Aber offensichtlich stimmt die Signatur mit dem öffentlichen Schlüssel von Fedora überein.

https://en.wikipedia.org/wiki/Chain_of_trust

"Trust chain" heißt dass irgendwie sichergestellt wird dass die Signatur wirklich von der Person oder Organisation stammt die im öffentlichen Schlüssel angegeben ist. In dem Fall hier kannst du den Fingerabdruck aus der Meldung mit dem Fingerabdruck der bestimmt irgendwo auf der Fedora Homepage steht vergleichen und deinem GpG dann sagen dass du der Signatur vertraust.

Hmmm, scheint mir alles etwas kompliziert... Kann ich die CD jetzt auch einfach brennen ohne diese Verifizierung, ohne irgendwelche Fehlermeldungen oder Nachteile zu erhalten?

Ich mach immer folgendes:

-sha256sum auf die .iso
- vergleiche mindestens einen Teil der Prüfsumme mit dem Wert der laut Website rauskommen soll
(Wenn es nicht übereinstimmt lade ich die .iso nochmal runter)
-brenne die .iso mit der Einstellung "gebrannte Daten verifizieren"
- installiere.

Die GpG Keys habe ich nie verifiziert, das ist eher wenn man Angst haben muss dass jemand die Fedora Website "faked" und einem gefälschte .isos unterjubeln will.... was zum Beispiel bei Menschenrechtsaktivisten in Unterdrückungsstaaten keine so weit hergeholte Annahme ist.

Hmm, ich hoffe dann einfach mal daß die Bundesrepublik Deutschland kein Unterdrückungsstaat ist. Vielen Dank für die Antwort!

Ich auch ;) Im Herbst wählen gehen damit sie es auch nicht wird.

Naja, ich halte nichts von Wahlen... andererseits wäre es aufgrund der fatalen Fehlentscheidungen der zurzeit herrschenden Politiker von CDUSPDGRÜNELINKE mal an der Zeit, diese mit der Wahl einer Alternative abzustrafen...

Aber über Politik läßt sich vortrefflich streiten, wir bleiben lieber beim technischen, zumindest da gibt es immer eine eindeutige Wahrheit über die nicht gestritten werden kann :D

Interessante Frage wie man das verifiziert wenn man annehmen muss dass eine staatliche Organisation hinter einem her ist.

Hier kannst du die Fingerprints der GpG Keys abschreiben: https://getfedora.org/en/keys/#
.. und dann mit dem Fingerprints nach den Downloads vergleichen. Wenn du annehmen musst dass sich ein Staat reingeschmuggelt hat (CA chain im https System kompromittiert, dir eine falsche DNS Auflösung untergejubelt) kannst du noch jemanden in einem anderen Staat bitten dir auf sicherem Weg (GpG Mail, Signal Messenger, Telegram etc.) diese Fingerprints zu verifizieren. Wenn die stimmen ist der Download "koscher".