So überprüfen Sie die PGP-Signatur heruntergeladener Software unter Linux
PGP, das für Pretty Good Privacy steht, ist eine Kryptografiesoftware mit öffentlichem Schlüssel. PGP kann zum Verschlüsseln und Signieren der Datenkommunikation verwendet werden. In diesem Tutorial erfahren Sie, wie Sie die PGP-Signatur heruntergeladener Software überprüfen.
Linux-Benutzer können Software sicher aus den Repositorys ihrer Distribution installieren. Es gibt aber auch Zeiten, in denen Sie Software von der Website herunterladen und installieren müssen. Wie können Sie sicher sein, dass die heruntergeladene Software nicht manipuliert wurde?
Einige Softwareautoren signieren ihre Software mit einem PGP-Programm wie GPG, einer freien Softwareimplementierung des OpenPGP-Standards. In diesem Fall können Sie die Integrität der Software mit GPG überprüfen.
Der Prozess ist relativ einfach:
- Sie laden den öffentlichen Schlüssel des Softwareautors herunter.
- Überprüfen Sie den Fingerabdruck des öffentlichen Schlüssels, um sicherzustellen, dass es sich um den richtigen Schlüssel handelt.
- Importieren Sie den richtigen öffentlichen Schlüssel in Ihren öffentlichen GPG-Schlüsselbund.
- Laden Sie die Signaturdatei der Software herunter.
- Verwenden Sie den öffentlichen Schlüssel, um die PGP-Signatur zu überprüfen. Wenn die Signatur korrekt ist, wurde die Software nicht manipuliert.
Wir werden VeraCrypt als Beispiel verwenden, um Ihnen zu zeigen, wie Sie die PGP-Signatur heruntergeladener Software überprüfen können.
Beispiel: Überprüfen Sie die PGP-Signatur von VeraCrypt
Obwohl VeraCrypt Open Source-Software ist, ist es nicht im Repository von Ubuntu oder anderen Linux-Distributionen enthalten. Wir können VeraCrypt Linux Installer von der offiziellen Website herunterladen.
Alternativ können Sie das VeraCrypt-Installationsprogramm im Terminal mit dem folgenden Befehl herunterladen.
wget https://launchpadlibrarian.net/289850375/veracrypt-1.19-setup.tar.bz2
Auf der VeraCrypt-Download-Seite finden Sie auch einen Link zum Herunterladen des öffentlichen PGP-Schlüssels und der PGP-Signatur. Laden Sie diese beiden Dateien herunter. Alternativ können Sie sie im Terminal mit dem folgenden Befehl herunterladen.
Öffentlicher PGP-Schlüssel
wget https://www.idrix.fr/VeraCrypt/VeraCrypt_PGP_public_key.asc
PGP-Signaturdatei
wget https://launchpad.net/veracrypt/trunk/1.19/+download/veracrypt-1.19-setup.tar.bz2.sig
Bevor Sie etwas mit dem öffentlichen Schlüssel tun, müssen Sie immer den Fingerabdruck des Schlüssels überprüfen, um festzustellen, ob es sich um den richtigen Schlüssel handelt. Zeigen Sie den Fingerabdruck des Schlüssels mit dem folgenden Befehl an.
gpg --with-fingerprint VeraCrypt_PGP_public_key.asc
Die zweite Zeile der Ausgabe ist der Fingerabdruck des Schlüssels.
Vergleichen Sie es mit dem auf der VeraCrypt-Website veröffentlichten Fingerabdruck.
Wie Sie sehen können, sind die beiden Fingerabdrücke identisch, was bedeutet, dass der öffentliche Schlüssel korrekt ist. So können Sie den öffentlichen Schlüssel in Ihren öffentlichen Schlüsselbund importieren mit:
gpg --import VeraCrypt_PGP_public_key.asc
Überprüfen Sie nun die Signatur mit dem folgenden Befehl. Sie müssen die Signaturdatei und das Softwareinstallationsprogramm angeben, deren Namen normalerweise identisch sind, nur mit einer anderen Dateierweiterung. Dies ist eine getrennte Signatur, was bedeutet, dass die Signatur und die Software voneinander getrennt sind.
gpg --verify veracrypt-1.19-setup.tar.bz2.sig veracrypt-1.19-setup.tar.bz2
Die Ausgabe sollte „Gute Signatur“ lauten.
Die Signatur ist ein Hashwert, der mit dem privaten Schlüssel des Softwareautors verschlüsselt wird. GPG verwendet den öffentlichen Schlüssel Hash-Wert zu entschlüsseln, dann den Hash-Wert von VeraCrypt Installer berechnen und die beiden vergleichen. Wenn diese beiden Hash-Werte übereinstimmen, ist die Signatur gut und die Software wurde nicht manipuliert.
Wenn GPG Ihnen mitteilt, dass es sich um eine schlechte Signatur handelt, wurde das Softwareinstallationsprogramm manipuliert oder beschädigt.
Importieren eines öffentlichen Schlüssels aus einer vertrauenswürdigen Quelle
Beachten Sie, dass Sie den öffentlichen Schlüssel mit importieren können, wenn der Softwareautor Ihnen seine öffentliche Schlüssel-ID auf der Website mitteilt:
gpg --recv-keys <key-ID>
Zeigen Sie dann den Fingerabdruck mit an:
gpg --fingerprint <key-ID>
Und vergleichen Sie den Fingerabdruck von der Ausgabe mit dem auf der Website veröffentlichten. Dies ist sicherer, da der öffentliche Schlüssel von einem öffentlichen Schlüsselserver importiert wird, der standardmäßig in der Datei ~/.gnupg/gpg.conf
auf hkp://keys.gnupg.net
festgelegt ist. Da alle wichtigen Schlüsselserver miteinander kommunizieren und Schlüssel synchronisieren, müssen Sie die Standardeinstellung nicht ändern.
Das war’s!
Ich hoffe, dieses Tutorial hat Ihnen geholfen, die PGP-Signatur von Software-Downloads zu überprüfen. Wie immer, wenn Sie diesen Beitrag nützlich fanden, dann abonnieren Sie unseren kostenlosen Newsletter oder folgen Sie uns auf Google+, Twitter oder wie unsere Facebook-Seite.