Hi,
mir geht es darum, Dateien auf github auf ihre Echtheit zu überprüfen. Im Folgenden, was ich bisher rausfinden konnte, damit niemand auf die Idee kommt, einen google-mich Link zu posten.
Auf github wird teilweise eine SHA256SUMS.asc mitgeliefert, mit welcher die binaries verifiziert werden können. Wenn ich die Datei mit dem Editor öffne steht die Prüfsumme in ASCII da und stimmt auch mit der errechneten Prüfsumme vom entsprechendem Archiv überein. Nun ist das ja aber nur die halbe Miete. Wenn jemand Zugriff auf den github Account bekommt, kann er ja asc-Datei und Archiv fälschen. Am Ende der asc Datei ist noch eine PGP Signatur. Anscheinend kann man mit gpg --verify das release mit der asc-Datei überprüfen. Das ging bei mir nicht, wahrscheinlich fehlt mir der öffentliche Schlüssel des signierenden Entwicklers.
Ist das soweit korrekt?
Wo bekomme ich diesen öffentlichen Schlüssel her?
Vielen Dank für eure Hilfe
mir geht es darum, Dateien auf github auf ihre Echtheit zu überprüfen. Im Folgenden, was ich bisher rausfinden konnte, damit niemand auf die Idee kommt, einen google-mich Link zu posten.
Auf github wird teilweise eine SHA256SUMS.asc mitgeliefert, mit welcher die binaries verifiziert werden können. Wenn ich die Datei mit dem Editor öffne steht die Prüfsumme in ASCII da und stimmt auch mit der errechneten Prüfsumme vom entsprechendem Archiv überein. Nun ist das ja aber nur die halbe Miete. Wenn jemand Zugriff auf den github Account bekommt, kann er ja asc-Datei und Archiv fälschen. Am Ende der asc Datei ist noch eine PGP Signatur. Anscheinend kann man mit gpg --verify das release mit der asc-Datei überprüfen. Das ging bei mir nicht, wahrscheinlich fehlt mir der öffentliche Schlüssel des signierenden Entwicklers.
Ist das soweit korrekt?
Wo bekomme ich diesen öffentlichen Schlüssel her?
Vielen Dank für eure Hilfe
