Benutzer-Werkzeuge

Webseiten-Werkzeuge


howto:howto:gpgsignatur

Dies ist eine alte Version des Dokuments!


OpenPGP-Signaturen überprüfen

Eigentlich sollte man niemals Dateien aus dem Internet herunterladen und einfach auf dem eigenen Computer installieren. Linux-Nutzer*innen sollten immer die Paketverwaltung ihres Betriebssystems benutzen, die sicherstellt dass die installierten Pakete vertrauenswürdig sind.

Manchmal ist das aber nicht möglich, zum Beispiel wenn man Windows verwendet. Besonders für sicherheitskritische Software, wie den Tor Browser oder die Passwortverwaltung KeePassXC ist es üblich, die Installations-Datei mit einer digitalen Signatur zu versehen. Dadurch können andere überprüfen, ob die Datei die sie heruntergeladen haben auch tatsächlich der*dem Entwickler*in der Software stammt und keien Schadsoftware beinhaltet.

Für die Überprüfung einer Signatur musst du GnuPG (Gnu Privacy Guard) installiert haben. Auf Linux-Systemen ist GnuPG vorinstalliert. Windows-Nutzer*innen müssen vorher GPG4Win installieren, für Mac gibt es GPG-Tools

Allgemein

Lade zunächst Datei und Signatur herunter und speicher sie im selben Verzeichnis ab. Eine Signatur-Datei hat immer denselben Namen wie die ursprüngliche Datei mit dem Zusatz „.sig“ oder „.gpg“. Die Signatur-Datei zu einer Datei namens Tor_Browser.exe heißt dann etwa Tor_Browser.exe.sig

Überprüfung über das Terminal

Öffne das Terminal und bewege dich mit cd in das Verzeichnis, in dem die Datei lieg die du überprüfen willst.

cd /Pfad/zur/Datei/

Mit ls kannst du überprüfen, welche Dateien im Verzeichnis liegen (und wie genau sie heißen)

ls

Der Output des Terminals könnte nun sein: Dateiname.exe Dateiname.exe.sig

Jetzt kannst du die Dateien mit GnuPG (gpg) überprüfen. Der kurze Befehl dafür ist gpg –verify. Weil gpg aber den öffentlichen Schlüssel der Unterzeichnerin benötigt, würde es eine Fehlermeldung herausgeben dass es den öffentlichen Schlüssel nicht auf deinem Computer gefunden hat. Als zusätzliche Option kannst du deswegen –auto-key-retrieve angeben. Dadurch wird gpg die Identität der Unterzeichnerin aus der Signatur ablesen, deren Öffentlichen Schlüssel herunterladen und die Dateien überprüfen. Wichtig ist nur, dass im Anschluss daran erst die Signatur, und danach die Datei selber angegeben werden:

gpg  --verify  --auto-key-retrieve  Dateiname.exe.sig  Dateiname.exe 

Der Output des Terminals sollte etwa so aussehen:

gpg: Good signature from "Irgendeine Identität <user@mail.org>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: AAAA BBBB CCCC DDDD EEEE  FFFF GGGG HHHH IIII

Wichtig ist der Teil Good signature from… - Die Warnung kannst du erstmal ignorieren. Das bedeutet nämlich nur, dass GnuPG zwar feststellen konnte dass die Signatur korrekt ist und von einer bestimmten Person stammt. Aber ob diese Person auch wirklich die richtige ist, musst du selber herausfinden.

Dazu schaust du auf der Webseite dieser Person nach, ob der Fingerprint „AAAA BBBB CCCC DDDD EEEE FFFF GGGG HHHH IIII“ auch tatsächlich ihr gehört. Wenn es sich um Software handelt Du kannst den Fingerprint auch in verschiedene Suchmaschinen tippen, und gucken ob es vertrauenswürdige Seiten gibt die diesen Fingerprint mit derjenigen Person assoziieren.

Um nicht jedes Mal einen so langen Befehl eingeben zu müssen, kannst du stattdessen die Zeile keyserver-options auto-key-retrieve in der Konfigurationsdatei von GnuPG einfügen.

Das geht mit einem einfachen Befehl im Terminal:

echo 'keyserver-options auto-key-retrieve' >> ~/.gnupg/gpg.conf

Du kannst aber auch die Datei gpg.conf mit einem Texteditor öffnen und die Zeile selbst einfügen. Sie liegt im unsichtbaren Ordner .gnupg in deinem Homeverzeichnis.

Überprüfung mit grafischer Oberfläche

Es gibt für GnuPG verschiedene grafische Frontends, die dir ersparen können jedes Mal ein Terminal zu benutzen. Dazu kannst du Kleopatra oder GPA (Gnu Privacy Assistent) geschrieben.

Falls du nicht sicher bist was für dich das richtige ist: Kleopatra ist ein KDE-Programm und fügt sich besonders gut in Kubuntu und andere KDE Desktops ein. GPA ist hingegen eine GTK-Anwendung und fügt sich sehr gut in Ubuntu (GNOME) und Xubuntu (XFCE) ein. Windows-Nutzer*innen können bei der Installation von GPG4Win beide Anwendungen optional installieren.

Eine Anleitung mit Screenshots, wie du GPA oder Kleopatra verwenden kannst, folgt.

howto/howto/gpgsignatur.1552604099.txt.gz · Zuletzt geändert: 2019/03/14 23:54 von yadda