GPG Software prüfen

[Zaiga]

Hallo zusammen,

ich verstehe nicht ganz, wie das ganze mit der Prüfung funktioniert:
Ich habe:
1.) Public Key vom Ersteller der Software
2.) Die Software
3.) Signatur der Software???

Was prüfe ich den nun, ich prüfe ja nicht die Software sondern nur ein zweites File ob es vom Ersteller signiert wurde oder nicht?
Inwiefern ist es dann sicher ob die Software "echt" ist oder nicht?

Danke!

 

[madmax2010]

Hier ist eine relativ gute, allgemeine erklaerung: https://linuxhint.com/verify-pgp-signature/
falls du das verstehen willst

Hier eine Anleitung, in der gaengige Betriebssysteme bedacht werden: https://www.wikihow.com/Verify-a-PGP-Signature

 

[mibbio]

Inwiefern ist es dann sicher ob die Software "echt" ist oder nicht?

Indem beide Sachen (Public Key und Signatur) kombiniert werden bei der Prüfung. Zum einen wird also geprüft, ob die Signatur auch von der richtigen Person stammt und dann ob die Software auch damit signiert wurde.

 

[Zaiga]

Danke für die Antworten!
Aber was ich nicht verstehe, die Signatur wird ja unabhängig vom installationsfile der Software geladen. Deshalb prüfe ich doch einfach die Signatur welche ich geladen habe und nicht die Software selber?
Wenn ich die Signatur selber aus dem Installationsfile erstellt hätte würde ich’s verstehen. Aber so ergibt es für mich keinen Sinn.

Danke Gruß))

 

[Bitopium]

die Signatur wird ja unabhängig vom installationsfile der Software geladen

Richtig, aber sie macht nur zusammen mit der Software Sinn und bei einer GPG Verifizierung wird dann auch beides angegeben:

gpg --verify file.sig file

Damit das ganze fliegt ist natürlich relevant dass der Public Key aus einer Vertrauenswürdigen Quelle stammt wofür gpg Key Server wie z.B. keys.openpgb.org benutzt werden. Denn der muss davor in deinen lokalen GPG-Ring importiert werden.