So überprüfen Sie eine Downloaddatei mit einer .sig-Datei und einem öffentlichen Schlüssel in Windows 10?

4632
Highly Irregular

Ich bin an der Installation der Anwendung Electron Cash von electroncash.org (Electron-Cash-2.9.4.exe) interessiert und die Website gibt an, dass ich die Authentizität der Datei überprüfen sollte, um die Integrität des Downloads sicherzustellen.

Die Website verweist auf die Entwickler-Github-Seite, um die Schlüssel und Hashes zu erhalten. Ich habe daraus abgeleitet, dass von den 3 öffentlichen Schlüsseln an diesem Link derjenige ist, der wahrscheinlich jonaldkey.txt heißt (obwohl es einen anderen gibt, jonaldkey2.txt aus irgendeinem Grund) und es eine .sig-Datei gibt, die vermutlich das enthält hash

Wie kann ich in Windows 10 den öffentlichen Schlüssel (jonaldkey.txt) und den Hash (Electron-Cash-2.9.4.exe.sig) verwenden, um meine heruntergeladene Datei (Electron-Cash-2.9.4.exe) zu überprüfen?

2

1 Antwort auf die Frage

4
Kitet

Es gibt eine Gpg4win- Anwendung, die sich mit dem Signieren und Überprüfen von Dateien befasst. Es hat sein Kompendium, auf dessen 110. Seite wir lesen:

Signatur prüfen

Prüfen Sie nun die Integrität der gerade signierten Datei, dh prüfen Sie, ob sie korrekt ist! Um die Integrität und Authentizität zu überprüfen, müssen sich die Signaturdatei - also die Datei mit den Endungen .sig, .asc, .p7s oder .pem - und die signierte Originaldatei (Originaldatei) im selben Dateiordner befinden. Wählen Sie die Signaturdatei aus und wählen Sie im Kontextmenü des Windows Explorer den Eintrag Entschlüsseln und prüfen:

Kontextmenü

Natürlich müssen Sie es mit der Shell-Erweiterung installieren. Option zum Überprüfen einer .SIG-Datei befindet sich unter Weitere GpgEX-Optionen . Um Ihr Programm zu überprüfen, habe ich folgende Schritte ausgeführt:

  • heruntergeladen jonaldkey.txt, nicht die andere, und die Electron-Cash-2.9.4.exe.sig Datei
  • Umbenannt in jonaldkey.txt in jonaldkey.PEM
  • Klicken Sie mit der rechten Maustaste auf .SIG und wählen Sie Überprüfen
  • Das Programm sagte, dass es aufgrund eines unbekannten Schlüssels nicht bestätigen kann.
  • Ich wurde gebeten, meinen eigenen Schlüssel zu erstellen, um den öffentlichen Schlüssel einer anderen Person zu überprüfen. Deshalb tat ich das. Leider wurde ich gebeten, einen Fingerabdruck dieses öffentlichen Schlüssels zu akzeptieren, der nirgendwo verfügbar ist
  • Danach wähle ich den neu importierten Schlüssel im Verifizierungsprozess aus und der Schlüssel wurde bestanden.

Ausgabe einer verifizierten Datei

Prüfsumme überprüfen (nicht die Signatur)

Sie können auch die SHA1.Electron-Cash-2.9.4.exe.txtDatei herunterladen, bei der es sich um eine Textdatei handelt, und die Erweiterung in .sha1 umbenennen. Ich habe zwei Werkzeuge zur Verfügung, die die Prüfsummen überprüfen. Dies sind: 7zip und Total Commander von Ghisler. Ersteres fügt ein Kontextmenü hinzu, in dem Sie verschiedene Prüfsummen einer angeklickten Datei anzeigen können. In diesem Fall klicken Sie mit der rechten Maustaste auf eine EXE-Datei (nicht die .sig-Datei) und überprüfen die angezeigte Summe mit der heruntergeladenen SHA1-Textdatei. Mit Letzterem können Sie bei den Dateien * .sha, * .md5, * .sfv usw. die Eingabetaste drücken und die Ergebnisse als "OK" oder "FAIL" anzeigen.

Kontextmenü von 7zip Total Commander hat die Datei überprüft

Vielen Dank für Ihre Hilfe! Wenn Sie sagen: "Leider wurde ich gebeten, einen Fingerabdruck dieses öffentlichen Schlüssels zu akzeptieren, der nirgendwo verfügbar ist". Sollte der Entwickler auch einen Fingerabdruck des öffentlichen Schlüssels veröffentlicht haben? Highly Irregular vor 6 Jahren 0
Ja, Sie können zum Beispiel qbittorrent herunterladen, auf dessen Seite ein Fingerabdruck angezeigt wird: [siehe hier] (https://www.qbittorrent.org/download.php) Kitet vor 6 Jahren 0