Signatur überprüfen: Unterschied zwischen den Versionen
Aus MattWiki
Matt (Diskussion | Beiträge) Keine Bearbeitungszusammenfassung |
Matt (Diskussion | Beiträge) K (Matt verschob die Seite Echtheit per Signatur überprüfen nach Signatur überprüfen) |
(kein Unterschied)
|
Version vom 14. Mai 2015, 13:59 Uhr
Wie kann man die Echtheit einer Datei mit Hilfe einer Signatur mit GnuPG überprüfen?
Voraussetzungen
- GnuPG Software
- Öffentlicher Schlüssel
- Fingerprint des öffentlichen Schlüssels (40 Stellen)
- Zu überprüfende Datei
- Signatur-Datei (*.sig)
Vorgehen
Download des öffentlichen Schlüssels der signierenden Person von einem Keyserver. Der öffentliche Schlüssel wird anhand der letzten 16 Stellen des Fingerprints ausgewählt:
gpg --keyserver hkp://pgp.mit.edu --recv-keys 0xXXAABBCCDDEEFFXX gpg --keyserver x-hkp://pool.sks-keyservers.net --recv-keys 0xXXAABBCCDDEEFFXX
Überprüfen des 40-stelligen Fingerprints des heruntergeladenen öffentlichen Schlüssels. Dieser sollte mit dem öffentlich publizierten Fingerprint des öffentlichen Schlüssels übereinstimmen:
gpg --fingerprint 0xXXAABBCCDDEEFFXX
Überprüfen der Datei mit Hilfe der Signatur.
gpg --validate file.foo.sig file.foo # Wichtig: Erster Parameter ist die Signatur, zweiter die Datei.
Das Ergebnis muss folgendermaßen aussehen:
- Der Haupt-Fingerabdruck muss mit dem öffentlich publizierten übereinstimmen
- Die E-Mailadressen sollten plausibel sein.
- Folgende Zeilen sollten enthalten sein:
gpg: Unterschrift vom... gpg: Korrekte Unterschrift von...
oder
gpg: Signature made... gpg: Good signature from...