[erledigt] GPG - Wie Authentizität prüfen?

Du hast Probleme mit Deinem eMail-Programm, Webbrowser oder Textprogramm? Dein Lieblingsprogramm streikt?
Antworten
TomL

[erledigt] GPG - Wie Authentizität prüfen?

Beitrag von TomL » 07.04.2016 20:28:42

Moin

Heute habe ich mir den aktuellen Palemoon runtergeladen und installiert. Im Download-Dir gabs auch noch gnugpg-Prüf-Files (siehe Link), die ich natürlich auch runtergeladen habe. Und nach ner quälend frustrierenden Stunde mit ManPage und Suchen im Web geb ichs auf... ich weiss nix damit anzufangen.... und hab ihn einfach so installiert.

Das war die letzte erfolglose (und vermutlich auch planlose) Aktion:

Code: Alles auswählen

gpg --verify palemoon-26.2.0.en-US.linux-x86_64.tar.bz2.sig palemoon-26.2.0.en-US.linux-x86_64.tar.bz2
gpg: Unterschrift vom Di 05 Apr 2016 02:14:41 CEST mittels RSA-Schlüssel ID C65285EC
gpg: Unterschrift kann nicht geprüft werden: Öffentlicher Schlüssel nicht gefunden
Auf der Projekt-Seite konnte ich keinen "öffentlichen Schlüssel" finden.... und ich weiss nicht, ob der hier überhaupt fehlt, ob es mit korrekten Parametern auch ohne geht, oder wo man den kriegen kann. Wie prüfe ich richtig, ob die Files ok sind?
Zuletzt geändert von TomL am 08.04.2016 19:57:39, insgesamt 1-mal geändert.
Nach oben
Cae
Beiträge: 6349
Registriert: 17.07.2011 23:36:39
Wohnort: 2130706433

Re: GPG - Wie Authentizität prüfen?

Beitrag von Cae » 07.04.2016 20:59:52

Du kannst den Oeffentlichen Schluessel von einem Keyserver herunterladen (die key id steht in am Ende der zweiten Zeile der Meldung):

Code: Alles auswählen

$ gpg --recv-keys C65285EC
Damit kannst du verifizieren, dass die Signatur tatsaechlich mit diesem Schluessel angefertigt wurde und korrekt ist.

Natuerlich hast du keine direkte Moeglichkeit, herauszufinden, ob der Oeffentliche Schluessel selbst korrekt ist. Ein halbwegs brauchbarer Weg ginge ueber das Web of trust [1], aber auch dort brauchst du einen "vertrauenswuerdigen Anker" drin.

Gruss Cae

[1] https://en.wikipedia.org/wiki/Web_of_trust
If universal surveillance were the answer, lots of us would have moved to the former East Germany. If surveillance cameras were the answer, camera-happy London, with something like 500,000 of them at a cost of $700 million, would be the safest city on the planet.

—Bruce Schneier
Nach oben
TomL

Re: GPG - Wie Authentizität prüfen?

Beitrag von TomL » 08.04.2016 20:00:28

Cae hat geschrieben:...aber auch dort brauchst du einen "vertrauenswuerdigen Anker" drin.
Danke für die Erklärung. Ich habe mich danach entschieden, das jetzt nicht weiter zu verfolgen.... und hoffe, dass das wie in der Vergangenheit auch jetzt keine Folgen hat.
Nach oben
Cae
Beiträge: 6349
Registriert: 17.07.2011 23:36:39
Wohnort: 2130706433

Re: [erledigt] GPG - Wie Authentizität prüfen?

Beitrag von Cae » 09.04.2016 11:30:11

Du kannst, nachdem du den Key einmal gezogen hast, immerhin nachvollziehen, ob spaetere Downloads auch damit signiert wurden. D.h. du kannst mit recht wenig Aufwand aus den Moeglichkeiten fuer drei Downloads falsch/richtig, falsch/richtig, falsch/richtig ein "alle falsch"/"alle richtig" machen.

Gruss Cae
If universal surveillance were the answer, lots of us would have moved to the former East Germany. If surveillance cameras were the answer, camera-happy London, with something like 500,000 of them at a cost of $700 million, would be the safest city on the planet.

—Bruce Schneier
Nach oben
Antworten

Zurück zu „Standardprogramme, Office und Co.“