Signatur überprüfen: Unterschied zwischen den Versionen
Aus MattWiki
Matt (Diskussion | Beiträge) K (Matt verschob die Seite Echtheit per Signatur überprüfen nach Signatur überprüfen) |
Matt (Diskussion | Beiträge) |
||
Zeile 19: | Zeile 19: | ||
Überprüfen der Datei mit Hilfe der Signatur. | Überprüfen der Datei mit Hilfe der Signatur. | ||
gpg --validate file.foo.sig file.foo # Wichtig: Erster Parameter ist die Signatur, zweiter die Datei. | gpg --validate file.foo.sig file.foo # Wichtig: Erster Parameter ist die Signatur, zweiter die Datei. | ||
gpg --verify file.foo{.asc*,} | |||
Das Ergebnis muss folgendermaßen aussehen: | Das Ergebnis muss folgendermaßen aussehen: |
Version vom 14. Mai 2015, 14:09 Uhr
Wie kann man die Echtheit einer Datei mit Hilfe einer Signatur mit GnuPG überprüfen?
Voraussetzungen
- GnuPG Software
- Öffentlicher Schlüssel
- Fingerprint des öffentlichen Schlüssels (40 Stellen)
- Zu überprüfende Datei
- Signatur-Datei (*.sig)
Vorgehen
Download des öffentlichen Schlüssels der signierenden Person von einem Keyserver. Der öffentliche Schlüssel wird anhand der letzten 16 Stellen des Fingerprints ausgewählt:
gpg --keyserver hkp://pgp.mit.edu --recv-keys 0xXXAABBCCDDEEFFXX gpg --keyserver x-hkp://pool.sks-keyservers.net --recv-keys 0xXXAABBCCDDEEFFXX
Überprüfen des 40-stelligen Fingerprints des heruntergeladenen öffentlichen Schlüssels. Dieser sollte mit dem öffentlich publizierten Fingerprint des öffentlichen Schlüssels übereinstimmen:
gpg --fingerprint 0xXXAABBCCDDEEFFXX
Überprüfen der Datei mit Hilfe der Signatur.
gpg --validate file.foo.sig file.foo # Wichtig: Erster Parameter ist die Signatur, zweiter die Datei. gpg --verify file.foo{.asc*,}
Das Ergebnis muss folgendermaßen aussehen:
- Der Haupt-Fingerabdruck muss mit dem öffentlich publizierten übereinstimmen
- Die E-Mailadressen sollten plausibel sein.
- Folgende Zeilen sollten enthalten sein:
gpg: Unterschrift vom... gpg: Korrekte Unterschrift von...
oder
gpg: Signature made... gpg: Good signature from...