# [gelöst] SHA256 von ut2004-ded stimmt nicht.

## sprittwicht

Guten...

Wollte games-server/ut2004-ded installieren, aber Portage meckert immer über die SHA256-Prüfsumme:

```
('Failed on SHA256 verification', 'b8fc94fc843483b18c225e100736d10cb2690ba8666d6abbb274ea6ad718b18e', '0e5e77738c0069f213689b48f8c50a5676dc5ffe03169d4c721c2a99bcc1af0c')

!!! Fetched file: dedicatedserver3339-bonuspack.zip VERIFY FAILED!

!!! Reason: Failed on SHA256 verification

!!! Got:      b8fc94fc843483b18c225e100736d10cb2690ba8666d6abbb274ea6ad718b18e

!!! Expected: 0e5e77738c0069f213689b48f8c50a5676dc5ffe03169d4c721c2a99bcc1af0c

Refetching... File renamed to '/usr/portage/distfiles/dedicatedserver3339-bonuspack.zip._checksum_failure_.GzEQ2T'

!!! Couldn't download 'dedicatedserver3339-bonuspack.zip'. Aborting.

```

Also hab ich mal auf anderen Servern nach besagter Datei gesucht. Wann immer eine MD5-Prüfsumme angegeben war, deckte die sich mit meinem Download: d3f28c5245c4c02802d48e4f0ffd3e34

Zufälligerweise fand ich folgende Datei (http://mirrors.crazeekennee.com/gentoo-portage/games-server/ut2004-ded/files/digest-ut2004-ded-3369):

```
MD5 d3f28c5245c4c02802d48e4f0ffd3e34 dedicatedserver3339-bonuspack.zip 914213907

RMD160 e31cdb4f1ecfd31e51b4caea76db4ea7b522a4ca dedicatedserver3339-bonuspack.zip 914213907

SHA256 0e5e77738c0069f213689b48f8c50a5676dc5ffe03169d4c721c2a99bcc1af0c dedicatedserver3339-bonuspack.zip 914213907

MD5 0fa447e05fe5a38e0e32adf171be405e ut2004-lnxpatch3369-2.tar.bz2 22465217

RMD160 af632d8cd1f05e36e861eb3fab927ffc8ae3f59d ut2004-lnxpatch3369-2.tar.bz2 22465217

SHA256 438b9b13a367d46f23cce12b065382a55afa2fc68add1f1dd3db03b015f60bb3 ut2004-lnxpatch3369-2.tar.bz2 22465217
```

Die MD5-Summe stimmt mit meiner überein, SHA256 nicht (ist dieselbe, die auch im Portage-Manifest steht).

Nun meine Frage: Spinnt mein Rechner und berechnet für die korrekt runtergeladene Datei die falsche SHA256-Summe?

Oder ist die SHA256-Prüfsumme in /usr/portage/games-server/ut2004-ded/Manifest falsch (dann verwirrt mich umso mehr, dass aber meine MD5-Summe mit der aus "digest-ut2004-ded-3369" übereinstimmt)?

Oder liefern alle Server eine kaputte / veränderte Datei aus, die zwar mit der MD5 aus der oben zitierten "digest-ut2004-ded-3369" übereinstimmt, jedoch nicht mit der SHA256 aus derselben Datei?

Licht ins Dunkel?Last edited by sprittwicht on Fri Aug 17, 2007 7:24 am; edited 1 time in total

----------

## manuels

Sicher dass die MD5 korrekt ist?

Die Wahrscheinlichkeit, dass die Datei zufällig die richtige MD5 aber die falsche SHA hat ist _sehr_ klein.

EDIT: oder das Ebuild ist inkorrekt. Was ist denn die RMD

----------

## UTgamer

Hallo sprittwicht,

ich wollte extra für deine Überprüfung die Dateien herunterladen, aber das wären ~1GB oder mehr gewesen.

Dieses Paket hatte ich nun bereits heruntergeladen:

ftp://ftp.planetmirror.com/pub/3dgamers/games/unrealtourn2k4/ut2004-lnxpatch3369-2.tar.bz2

aber bei 

ftp://ftp.planetmirror.com/pub/3dgamers/games/unrealtourn2k4/dedicatedserver3339-bonuspack.zip

Length: 914.213.907 (872M) (unauthoritative)

 habe ich direkt abgebrochen.

Ich selbst habe direkt über die orig. CD installiert und dann die neuesten Patches mit den 64 Bit Dateien in Nutzung. Wenn ich einen dedicated aufbaue brauche ich nur die Konfigs austauschen oder im Spielmenü einfach dedicated auswählen.

Nunja ein MD5 oder SHA256 Wert kann ich dir damit aber übergeben und zwar den von ut2004-lnxpatch3369-2.tar.bz2. Sollte reichen.  :Very Happy: 

cd /usr/portage/distfiles

distfiles # md5sum ut2004-lnxpatch3369-2.tar.bz2

0fa447e05fe5a38e0e32adf171be405e  ut2004-lnxpatch3369-2.tar.bz2

distfiles # sha256sum ut2004-lnxpatch3369-2.tar.bz2

438b9b13a367d46f23cce12b065382a55afa2fc68add1f1dd3db03b015f60bb3  ut2004-lnxpatch3369-2.tar.bz2

Reicht dir das?

----------

## sprittwicht

Äääh... Wie berechne ich die RMD160?   :Embarassed: 

Die SHA1 passt mit dem Portage-Manifest. Die ut2004-lnxpatch3369-2.tar.bz2 hat er auch anstandslos runtergeladen.

Das Ganze soll auf einen Dedicated Server, deshalb würde ich den dedicated-Ebuild schon bevorzugen. Hab nämlich keine Lust, 3 GB per DSL hochzuladen.  :Wink: 

----------

## schotter

Ich schließ mich mal der Behauptung an. Vor 2 Wochen oder so, bot sich mir das gleiche Bild.

----------

## UTgamer

So habe das knappe Gigabyte jetzt extra mal heruntergeladen, und hier der zusätzliche Wert:

sha256sum dedicatedserver3339-bonuspack.zip

b8fc94fc843483b18c225e100736d10cb2690ba8666d6abbb274ea6ad718b18e  dedicatedserver3339-bonuspack.zip

md5sum dedicatedserver3339-bonuspack.zip

d3f28c5245c4c02802d48e4f0ffd3e34  dedicatedserver3339-bonuspack.zip

PS sprittwicht:

Was wird denn das für ein dedicated?

----------

## sprittwicht

Danke für deine Mühen, bin ich mit der "falschen" Prüfsumme zumindest nicht allein.

Trotzdem nochmal die Frage: Wie berechnet man die RMD-Prüfsumme? Ich hab mit hashalot rumgespielt, aber je nachdem wie ich's anstelle krieg ich für ein und dieselbe Datei 3 verschiedene Prüfsummen, teilweise kommt das Ergebnis bei riesigen Dateien _sofort_, also mach ich da wohl irgendwas falsch...

Ist nur ein kleiner Bastelserver, auf dem hauptsächlich Privatkram läuft und eben hin und wieder mal'n Gameserver zum Abreagieren.  :Smile: 

----------

## firefly

 *sprittwicht wrote:*   

> Danke für deine Mühen, bin ich mit der "falschen" Prüfsumme zumindest nicht allein.
> 
> Trotzdem nochmal die Frage: Wie berechnet man die RMD-Prüfsumme? Ich hab mit hashalot rumgespielt, aber je nachdem wie ich's anstelle krieg ich für ein und dieselbe Datei 3 verschiedene Prüfsummen, teilweise kommt das Ergebnis bei riesigen Dateien _sofort_, also mach ich da wohl irgendwas falsch...
> 
> Ist nur ein kleiner Bastelserver, auf dem hauptsächlich Privatkram läuft und eben hin und wieder mal'n Gameserver zum Abreagieren. 

 

hmm hashalot scheint dafür nicht gemacht zu sein.

ich habe hier nen rmd160 checksum tool gefunden:

http://www.nic.com/~cheah/ripmd160.html

----------

## sprittwicht

Hm, wie macht Portage das denn?

Irgendwie muss die Möglichkeit, eine RMD160-Prüfsumme zu bilden, ja auf meinem Rechner vorhanden sein...

----------

## manuels

denke, es nutzt OpenSSL: http://pwet.fr/man/linux/commandes/ssl__1/openssl

----------

## ChrisJumper

 *sprittwicht wrote:*   

> Hm, wie macht Portage das denn?
> 
> Irgendwie muss die Möglichkeit, eine RMD160-Prüfsumme zu bilden, ja auf meinem Rechner vorhanden sein...

 

Das hast du! Aber nur als Root glaub ich.

```
 # rmd160 --help

rmd160: invalid option -- -

usage:

    hashalot [ -x ] [ -s SALT ] [ -n _#bytes_ ] HASHTYPE

  or

    HASHTYPE [ -x ] [ -s SALT ] [ -n _#bytes_ ]

supported values for HASHTYPE: ripemd160 rmd160 rmd160compat sha256 sha384 sha512 
```

Edit: Bingo @ manuels da kommt es bestimmt her!

----------

## firefly

 *sprittwicht wrote:*   

> Hm, wie macht Portage das denn?
> 
> Irgendwie muss die Möglichkeit, eine RMD160-Prüfsumme zu bilden, ja auf meinem Rechner vorhanden sein...

 

soweit ich weis, hat portage die hash algorithmen selbst implementiert. Sprich ist auf externe hash summen tools nicht angewiesen.

EDIT: habe gerade in den sourcen von portage nachgeschaut. portage verwendet "Crypto.Hash.RIPEMD+pyhash" zum prüfen/erstellen der rmd160 checksumme

----------

## Carlo

emerge pycrypto -pv  :Question: 

----------

## sprittwicht

Mit "openssl rmd160 dedicatedserver3339-bonuspack.zip" bekomme ich: e31cdb4f1ecfd31e51b4caea76db4ea7b522a4ca.

Hier nochmal die Summen aus /usr/portage/games-server/ut2004-ded/Manifest:

```
DIST dedicatedserver3339-bonuspack.zip 914213907:

RMD160: e31cdb4f1ecfd31e51b4caea76db4ea7b522a4ca

SHA1: e1eda562d99e66a7e5972f05bbf0de8733bf60c9

SHA256: 0e5e77738c0069f213689b48f8c50a5676dc5ffe03169d4c721c2a99bcc1af0c

```

Und jetzt ich:

```
openssl rmd160 dedicatedserver3339-bonuspack.zip: e31cdb4f1ecfd31e51b4caea76db4ea7b522a4ca

sha1sum dedicatedserver3339-bonuspack.zip: e1eda562d99e66a7e5972f05bbf0de8733bf60c9

sha256sum dedicatedserver3339-bonuspack.zip: b8fc94fc843483b18c225e100736d10cb2690ba8666d6abbb274ea6ad718b18e

```

Laut https://bugs.gentoo.org/show_bug.cgi?id=164462 benutzt Portage "pycrypto", und hat vor einiger Zeit mächtig was verbockt in Richtung SHA256. Da die Manifest-Datei grob in den selben Zeitraum fällt, vermute ich dass einfach die SHA256-Summe von dedicatedserver3339-bonuspack.zip noch nicht gefixt wurde, und die im Portage-Tree mit einer fehlerhaften Version von pycrypto erzeugt wurde.

Neuer Bugreport, oder liest hier jemand mit, der sich am Portage-Tree austoben darf?  :Smile: 

EDIT:

```
emerge -pv pycrypto:

These are the packages that would be merged, in order:

Calculating dependencies  ..... done!

[ebuild   R   ] dev-python/pycrypto-2.0.1-r6  USE="-bindist -gmp -test" 0 kB

Total: 1 package (1 reinstall), Size of downloads: 0 kB
```

----------

## Carlo

 *sprittwicht wrote:*   

> Laut https://bugs.gentoo.org/show_bug.cgi?id=164462 benutzt Portage "pycrypto", und hat vor einiger Zeit mächtig was verbockt in Richtung SHA256.

 

Ah, stimmt - der pycrypto Bug betraf die ja Erstellung des Hashes...

 *sprittwicht wrote:*   

> Neuer Bugreport, oder liest hier jemand mit, der sich am Portage-Tree austoben darf? 

 

Sei doch so gut und mach einen Bug auf. Ich zumindest habe wenig Lust dafür 800MB aus der Leitung zu lutschen.

----------

## sprittwicht

Bug gestern Abend erstellt, heute aufgewacht und der Portage-Tree enthielt die korrekte Prüfsumme.

So macht Gentoo Spaß.  :Smile: 

----------

