Nach dem download einer Datei aus dem Internet empfiehlt es sich zu überprüfen, ob die Datei auch wirklich vom Urheber stammt. So kann vermieden werden, dass eine veränderte Versions ihres Downloads als Malware installiert wird und so Schaden anrichten kann.
In vielen Fällen werden die Dateien mittels OpenPGP signiert, welche mit einigen wenigem Befehlen überprüft werden kann. Für die Überprüfung der Signatur wird Folgendes benötigt.
Anmerkung: Die folgenden Schritte sind keine umfassende beschreibung resp. Anleitung. Die ausführlichere Dokumentation ist in den untenstehenden Links zu finden.
- OpenPGP Programm Gpg4win für Windows, für den Download siehe Links
- OpenPGP Binärdatei z.B. sha256sums.gpg
- Originaldatei z.B. sha256sums.txt
Anmerkung: Oft wird nicht die Download-Datei selbst, sondern die Datei welche die Prüfsummen-Werte enthält signiert. Mit der die Download-Datei auf ihre Integrität überprüft werden kann. Eine überprüfung der Prüfsumme erfolgt folgendermassen, siehe Beitrag Hash / Prüfsumme verifizieren
Überprüfung mittels CMD
Installiere das Programm gpg4win, siehe Links unten
Öffne ein CMD Fenster
Wechsle mit
cdin das gewünschte Verzeichnis und liste dessen Inhalt mitdiraufGib den Befehl
gpg -verify SHA256SUMS.gpg SHA256SUMS.txtwobei die erste Angabe für die Signatur-Datei und die zweite für die zu prüfende Datei stehtPrüfe, ob die Ausgabe korrekt ist. Erscheint folgende Meldung:
gpg: Signatur kann nicht geprüft werden: Kein öffentlicher Schlüssel
bedeutet dies das der öffentliche Schlüssel zuerst heruntergeladen werden muss
Kopiere die RSA Schlüsselnummer, in diesem Fall:
843938DF228D22F7B3742BC0D94AA3F0EFE21092
Importiere den öffentlichen Schlüssel mit folgendem Befehl:
gpg -receive-keys **0x**843938DF228D22F7B3742BC0D94AA3F0EFE21092Beachte das bei der Angabe der Schlüsselnummer die Ziffern 0x vorangestellt werden müssen
Führe erneut den Befehl
gpg -verify SHA256SUMS.gpg SHA256SUMS.txtÜberprüfe, ob die Ausgabe folgende Zeile enthält:
gpg: Korrekte Signatur** von Ubuntu CD Image Automatic Signing Key (2012)
C:\Users\Muster> cd Downloads\linux
C:\Users\Muster\Downloads\linux> dir
Volume in Laufwerk C: hat keine Bezeichnung.
Verzeichnis von C:\Users\fabia\Downloads\linux
08.02.2021 22:28 DIR .
08.02.2021 22:28 DIR ..
05.02.2021 19:50 1'894'451'200 lubuntu-20.10-desktop-amd64.iso
05.02.2021 19:50 833 SHA256SUMS.gpg
05.02.2021 19:49 98 SHA256SUMS.txt
3 Datei(en), 1'894'452'131 Bytes
2 Verzeichnis(se), 160'825'151'488 Bytes frei
C:\Users\Muster\Downloads\linux> gpg --verify SHA256SUMS.gpg SHA256SUMS.txt
gpg: Signatur vom 10/22/20 18:41:49 Mitteleuropõische Sommerzeit
gpg: mittels RSA-Schlüssel 843938DF228D22F7B3742BC0D94AA3F0EFE21092
gpg: Signatur kann nicht geprüft werden: Kein öffentlicher Schlüssel
C:\Users\Muster\Downloads\linux> gpg --receive-keys 0x843938DF228D22F7B3742BC0D94AA3F0EFE21092<
gpg: Schlüssel D94AA3F0EFE21092: Öffentlicher Schlüssel "Ubuntu CD Image Automatic Signing Key (2012) cdimage@ubuntu.com" importiert
gpg: Anzahl insgesamt bearbeiteter Schlüssel: 1
gpg: importiert: 1
C:\Users\Muster\Downloads\linux> gpg --verify SHA256SUMS.gpg SHA256SUMS.txt
gpg: Signatur vom 10/22/20 18:41:49 Mitteleuropõische Sommerzeit
gpg: mittels RSA-Schlüssel 843938DF228D22F7B3742BC0D94AA3F0EFE21092
gpg: Korrekte Signatur von "Ubuntu CD Image Automatic Signing Key (2012) cdimage@ubuntu.com" unbekannt
gpg: WARNUNG: Dieser Schlüssel trägt keine vertrauenswürdige Signatur!
gpg: Es gibt keinen Hinweis, daß die Signatur wirklich dem vorgeblichen Besitzer gehört.
Haupt-Fingerabdruck = 8439 38DF 228D 22F7 B374 2BC0 D94A A3F0 EFE2 1092
Links
Gpg4win: Windows Programm zum Download, sowie umfassendes Compendium zu OpenPGP / S/MIME