Wie kann ich die Echtheit der GPG4win-Downloaddatei überprüfen?

1449
Alex

Ich versuche zu überprüfen, ob die heruntergeladene GPG4win-Datei tatsächlich legitim ist. Ich habe Zugriff auf einen Computer mit einer verifizierten GnuPG-Installation. ich rannte

> gpg --recv EC70B1B8 > gpg -v --verify gpg4win-2.3.3.exe.sig gpg4win-2.3.3.exe Version: GnuPG v1.4.12 (GNU/Linux) gpg: armor header:  gpg: Signature made Thu 18 Aug 2016 05:20:50 AM EDT using DSA key ID EC70B1B8 gpg: using PGP trust model gpg: Good signature from "Intevation File Distribution Key <distribution-key@intevation.de>" gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner. Primary key fingerprint: 61AC 3F5E E4BE 593C 13D6 8B1E 7CBD 620B EC70 B1B8 gpg: binary signature, digest algorithm SHA1

Meine Sorge ist, dass der Fingerabdruck des Primärschlüssels nicht mit dem Code-Signaturzertifikat auf ihrer Website übereinstimmt:

Code-Signaturzertifikat Alle Dateien des Gpg4win-exe-Installationsprogramms seit April 2016 werden mit dem folgenden Code-Signaturzertifikat signiert:

 S/N: 1121A3D67EAB28AA86FD85728B57FA62630D Issuer: CN=GlobalSign CodeSigning CA - SHA256 - G2,O=GlobalSign nv-sa,C=BE Subject: 1.2.840.113549.1.9.1=#636F64657369676E696E6740696E7465766174696F6E2E6465,CN=Intevation

GmbH, O = Intevation GmbH, L = Osnabrück, ST = Niedersachsen, C = DE sha1_fpr: DE: 16: D5: 97: 2F: 0B: 73: 95: F7: D9: 1E: DC: 1F: 21: 9B: 0F: FE: 89: FA: B3 md5_fpr: C0: 98: 08: 94: D4: E7: 97: 3E: 9D: F4: 18: E4: 5E: 0A: 2E: D7 nicht vorher: 2016-03-30 16 : 54: 41 nicht Nachher: ​​2019-03-31 16:54:41

Ich vergleiche den sha1_fprFingerabdruck mit dem Primärschlüssel. Ist das nicht das Richtige?

1
Schauen Sie sich [hier] (https://www.gnupg.org/gph/de/manual/x334.html) um und überlegen Sie, mit dem Befehl ** trust ** zu testen, ob Sie den öffentlichen Schlüssel mit Ihrem privaten Server auflösen oder möglicherweise signieren möchten Schlüssel. Recherchieren Sie bei Bedarf etwas mehr, vielleicht eine Lösung, die Sie in Ihrem Fall anwenden können, wenn Sie diesem bestimmten Schlüssel bestätigen und ihm vertrauen. Pimp Juice IT vor 8 Jahren 0

1 Antwort auf die Frage

0
Jens Erat

Sie vergleichen verschiedene Arten von Signaturen. Die Signatur in gpg4win-2.3.3.exe.sigist eine OpenPGP-Signatur, die Sie über GnuPG überprüfen können (Windows unterstützt OpenPGP jedoch nicht). Auf der anderen Seite ist das Codesignaturzertifikat (wie es beispielsweise von Windows überprüft wird) ein X.509-Zertifikat. Diese Signatur ist in die gpg4win-2.3.3.exeDatei eingebettet . Wenn ich mich recht erinnere, sollten Sie es durchchecken können SignTool verify gpg4win-2.3.3.exe.

Während sowohl OpenPGP- als auch X.509-Zertifikate grundsätzlich auf den gleichen kryptographischen Prinzipien (dh RSA-Schlüsseln) basieren, sind ihre Schlüssel und Zertifikate nicht kompatibel. Sie können zwar Zertifikate aus demselben RSA-Schlüsselpaar erstellen, sie sind jedoch immer noch unterschiedlich und weisen unterschiedliche Fingerabdrücke auf: unterschiedliche Informationen sind enthalten.

Ein wichtiger Unterschied ist auch das zugrunde liegende Vertrauenssystem: Während OpenPGP auf ein Netz des Vertrauens angewiesen ist (Sie suchen nach Vertrauenspfaden, die von Ihren eigenen oder anderen vertrauenswürdigen und verifizierten Schlüsseln ausgehen, haben Sie noch nicht getan, also die Nachricht auf einem nicht vertrauenswürdige Signatur), verwendet X.509 einen hierarchischen Ansatz: So genannte Zertifizierungsstellen sind vertrauenswürdig und dürfen Zertifikate für andere ausstellen (hier handelt es sich um Global Sign).

Diese Befehle wurden unter Linux ausgeführt. Bedeutet das, dass gpg4win unter Windows signiert wurde? Alex vor 8 Jahren 0
Nicht unbedingt, ich würde eher sagen, dass die Datei signiert wurde, um mit Standard-Windows-Tools überprüft zu werden (normalerweise wurde sie mit beiden Technologien signiert). Diese Art von Software-Zertifikaten wird auch für Treiber und andere Systemsoftware benötigt. Jens Erat vor 8 Jahren 0
Ich fürchte, ich verstehe nicht, was Sie sagen: Sie sagen, dass die EXE-Datei unter Windows signiert wurde, sodass sie OpenPGP nicht verwendet? Wenn das der Fall ist, jetzt, wo ich gpg4win habe, sollte ich in der Lage sein, die heruntergeladene Datei zu überprüfen. Alex vor 8 Jahren 0
Das GPG4win-Installationsprogramm enthält zwei unabhängige Signaturen: eine OpenPGP-Signatur in der `.sig'-Datei und eine in der` .exe'-Datei eingebettete Softwaresignatur im Windows-Stil. Sie können jeden von ihnen unabhängig überprüfen, sie sind nicht miteinander verbunden und werden über separate Schlüssel mit unterschiedlichen Standards ausgegeben. Wählen Sie die von Ihnen bevorzugte Signatur aus, um das GPG4win-Installationsprogramm zu überprüfen. Jens Erat vor 8 Jahren 0

Verwandte Probleme