Benutzer-Werkzeuge

Webseiten-Werkzeuge


howto:howto:gpgsignatur

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
Nächste ÜberarbeitungBeide Seiten der Revision
howto:howto:gpgsignatur [2019/03/14 23:54] – [Überprüfung über das Terminal] yaddahowto:howto:gpgsignatur [2019/03/21 15:21] – [2.2 Überprüfung mit Terminal] yadda
Zeile 1: Zeile 1:
-====== OpenPGP-Signaturen überprüfen ======+====== GPG-Signaturen überprüfen ======
  
 Eigentlich sollte man niemals Dateien aus dem Internet herunterladen und einfach auf dem eigenen Computer installieren. Linux-Nutzer*innen sollten immer die Paketverwaltung ihres Betriebssystems benutzen, die sicherstellt dass die installierten Pakete vertrauenswürdig sind. Eigentlich sollte man niemals Dateien aus dem Internet herunterladen und einfach auf dem eigenen Computer installieren. Linux-Nutzer*innen sollten immer die Paketverwaltung ihres Betriebssystems benutzen, die sicherstellt dass die installierten Pakete vertrauenswürdig sind.
Zeile 5: Zeile 5:
 Manchmal ist das aber nicht möglich, zum Beispiel wenn man Windows verwendet. Besonders für sicherheitskritische Software, wie den [[howto:torbrowser|Tor Browser]] oder die Passwortverwaltung [[https://keepassxc.org|KeePassXC]] ist es üblich, die Installations-Datei mit einer digitalen Signatur zu versehen. Dadurch können andere überprüfen, ob die Datei die sie heruntergeladen haben auch tatsächlich der*dem Entwickler*in der Software stammt und keien Schadsoftware beinhaltet. Manchmal ist das aber nicht möglich, zum Beispiel wenn man Windows verwendet. Besonders für sicherheitskritische Software, wie den [[howto:torbrowser|Tor Browser]] oder die Passwortverwaltung [[https://keepassxc.org|KeePassXC]] ist es üblich, die Installations-Datei mit einer digitalen Signatur zu versehen. Dadurch können andere überprüfen, ob die Datei die sie heruntergeladen haben auch tatsächlich der*dem Entwickler*in der Software stammt und keien Schadsoftware beinhaltet.
  
-<note important>Für die Überprüfung einer Signatur musst du GnuPG (Gnu Privacy Guard) installiert haben. Auf Linux-Systemen ist GnuPG vorinstalliert. Windows-Nutzer*innen müssen vorher [[https://www.gpg4win.org/|GPG4Win]] installieren, für Mac gibt es [[https://gpgtools.org/|GPG-Tools]] </note>+<note important>Für die Überprüfung einer Signatur musst du GnuPG (Gnu Privacy Guard) installiert haben. Auf Linux-Systemen ist GnuPG vorinstalliert. Windows-Nutzer*innen müssen vorher [[https://www.gpg4win.org/|GPG4Win]] installieren, für Mac gibt es die [[https://gpgtools.org/|GPG-Suite]] </note>
  
-===== Allgemein =====+===== 1. Schritt: Datei und Signatur besorgen =====
  
-Lade zunächst Datei und Signatur herunter und speicher sie im selben Verzeichnis ab. Eine Signatur-Datei hat immer denselben Namen wie die ursprüngliche Datei mit dem Zusatz ".sig" oder ".gpg". Die Signatur-Datei zu einer Datei namens //Tor_Browser.exe// heißt dann etwa //Tor_Browser.exe.sig//+Lade zunächst Datei und Signatur herunter und **speichere sie im selben Verzeichnis ab**. Eine Signatur-Datei hat immer denselben Namen wie die ursprüngliche Datei mit dem Zusatz ".sig" oder ".gpg". Die Signatur-Datei zu einer Datei namens //Tor_Browser.exe// heißt dann etwa //Tor_Browser.exe.sig//
  
  
-==== Überprüfung über das Terminal ====+===== 2. Schritt: Signatur überprüfen ===== 
 + 
 +==== 2.1 Überprüfung mit grafischer Oberfläche ==== 
 + 
 +Es gibt für GnuPG verschiedene grafische Frontends, die es dir ersparen Befehle ins Terminal einzugeben. 
 + 
 +=== Windows === 
 + 
 +Bei der Installation von [[https://www.gpg4win.org/|GPG4Win]] wirst du gefragt, ob du [[https://kde.org/applications/utilities/kleopatra/|Kleopatra]] oder GnuPrivacyAssistend als grafische Oberfläche mitinstallieren möchtest.  //Kleopatra// ist wesentlich benutzer*innenfreundlicher und erweitert das Kontext-Menü (Rechtsklick-Menü) deines Dateibrowser (Windows Explorer) um die wichtigsten GPG-Funktionen. 
 + 
 +Du kannst nun einfach das Verzeichnis öffnen, die Signatur-Datei mit Rechtsklick auswählen und "Entschlüsseln/Überprüfen" auswählen. 
 + 
 +Weiter unter //3. Schritt//
 + 
 +=== Linux === 
 + 
 +Linux kannst du [[https://kde.org/applications/utilities/kleopatra/|Kleopatra]] oder [[https://wiki.gnome.org/Apps/Seahorse/|Seahorse]] verwenden. 
 + 
 +== Kleopatra ==  
 +  * ist eine KDE-Anwendung und integriert sich sehr gut in Kubuntu und andere KDE Desktops. 
 +  * installiere dafür das Paket ''kleopatra'' 
 + 
 +== Seahorse == 
 +  * ist eine GNOME-Anwendung und intergriert sich sehr gut in die Desktop-Umgebungen GNOME (dem Standard-Desktop von Ubuntu), MATE und Cinnamon. 
 +  * Installiere dafür Paket ''Seahorse'' und die zugehörige Erweiterung für deinen Filebrowser, ''seahorse-nautilus'' (GNOME), ''nemo-seahorse'' (Cinnamon) ''caja-seahorse'' (MATE)  
 + 
 +Nachdem du das passende Programm installiert hast, kannst du das Verzeichnis öffnen in dem die Dateien liegen und mit Rechtsklick auf die Signatur-Datei die Signatur überprüfen. 
 + 
 +Weiter unter //3. Schritt//
 + 
 +=== MacOs === 
 + 
 +Bei der Installation der [[https://gpgtools.org/|GPG-Suite]] wird ein grafisches Frontend mitinstalliert. Du kannst im Filebrowser die Signatur-Datei im Kontext-Menü (Rechtsklick) auswählen und die Signatur überprüfen. 
 + 
 +Weiter unter //3. Schritt//
 + 
 +==== 2.2 Überprüfung mit Terminal ====
  
 Öffne das Terminal und bewege dich mit **cd** in das Verzeichnis, in dem die Datei lieg die du überprüfen willst. Öffne das Terminal und bewege dich mit **cd** in das Verzeichnis, in dem die Datei lieg die du überprüfen willst.
Zeile 28: Zeile 64:
   gpg  --verify  --auto-key-retrieve  Dateiname.exe.sig  Dateiname.exe    gpg  --verify  --auto-key-retrieve  Dateiname.exe.sig  Dateiname.exe 
      
-Der Output des Terminals sollte etwa so aussehen:+ 
 +==== 3. Schritt: Fingerprint überprüfen ==== 
 + 
 +Die Antwort von GPG sollte etwa so aussehen:
  
   gpg: Good signature from "Irgendeine Identität <user@mail.org>"   gpg: Good signature from "Irgendeine Identität <user@mail.org>"
Zeile 39: Zeile 78:
 Dazu schaust du auf der Webseite dieser Person nach, ob der Fingerprint "AAAA BBBB CCCC DDDD EEEE  FFFF GGGG HHHH IIII" auch tatsächlich ihr gehört. Wenn es sich um Software handelt Du kannst den Fingerprint auch in verschiedene Suchmaschinen tippen, und gucken ob es vertrauenswürdige Seiten gibt die diesen Fingerprint mit derjenigen Person assoziieren. Dazu schaust du auf der Webseite dieser Person nach, ob der Fingerprint "AAAA BBBB CCCC DDDD EEEE  FFFF GGGG HHHH IIII" auch tatsächlich ihr gehört. Wenn es sich um Software handelt Du kannst den Fingerprint auch in verschiedene Suchmaschinen tippen, und gucken ob es vertrauenswürdige Seiten gibt die diesen Fingerprint mit derjenigen Person assoziieren.
  
-Um nicht jedes Mal einen so langen Befehl eingeben zu müssen, kannst du stattdessen die Zeile ''keyserver-options auto-key-retrieve'' in der Konfigurationsdatei von GnuPG einfügen.  
- 
-Das geht mit einem einfachen Befehl im Terminal: 
- 
-  echo 'keyserver-options auto-key-retrieve' >> ~/.gnupg/gpg.conf 
-   
-Du kannst aber auch die Datei gpg.conf mit einem Texteditor öffnen und die Zeile selbst einfügen. Sie liegt im unsichtbaren Ordner .gnupg in deinem Homeverzeichnis. 
- 
- 
-==== Überprüfung mit grafischer Oberfläche ==== 
- 
-Es gibt für GnuPG verschiedene grafische Frontends, die dir ersparen können jedes Mal ein Terminal zu benutzen. Dazu kannst du [[https://kde.org/applications/utilities/kleopatra/|Kleopatra]] oder GPA (Gnu Privacy Assistent) geschrieben.  
- 
-Falls du nicht sicher bist was für dich das richtige ist: Kleopatra ist ein KDE-Programm und fügt sich besonders gut in Kubuntu und andere KDE Desktops ein. GPA ist hingegen eine GTK-Anwendung und fügt sich sehr gut in Ubuntu (GNOME) und Xubuntu (XFCE) ein. Windows-Nutzer*innen können bei der Installation von [[https://www.gpg4win.org/|GPG4Win]] beide Anwendungen optional installieren. 
  
-Eine Anleitung mit Screenshotswie du GPA oder Kleopatra verwenden kannst, folgt.+<note tip>Um nicht jedes Mal einen so langen Befehl eintippen zu müssenkannst du die Option //auto-key-retrieve// in der Konfiguration von GPG [[howto:howto:gpgkonfigurieren|speichern]]</note>
howto/howto/gpgsignatur.txt · Zuletzt geändert: 2019/05/30 12:40 von yadda

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki