failXontour
Lieutenant
- Registriert
- Mai 2018
- Beiträge
- 651
Hallo,
verstehe das irgendwie nicht. Um eine GPG-Signatur zu überprüfen benötige ich ja zum einen den Public-Key und zum anderen einen Private Key. Bei einer Software-Installation um also das ganze zu überprüfen, egal ob jetzt qBittorrent, diverse Linux ISO, Programme aus dem Internet suche ich also den öffentlichen Schlüssel Importiere diesen, vergleiche den mit dem entsprechenden Private Key, für das enstprechende Programm/Betriebssystem um die Signatur des/der Entwickler*innen zu überprüfen.
Wieso zeigt, dann aber Kleopatra folgendes an sobald man den (Private)key Entschlüsst/Überprüft an, das die Daten entsprechend nicht überprüft werden konnten.
Warum sagen jetzt einige Tutorials Online, dass sobald man jetzt den entsprechenden Dateinamen hier gesehen hat von einer verifizierten Datei reden kann? Liegt jetzt hier Kleopatra mit der Meldung falsch, ich, oder das Tutorial was ich mir angeschaut habe, oder ist die Meldung tatsächlich korrekt? Hilft mir das ganze hier weiter? Finde das etwas verwirrend.
Kann ich einfach nicht 2 und 2 zusammenzählen, oder habe ich das Prinzip nicht verstanden. Redet man hier, so oder so nicht eigentlich von keiner richtigen Überprüfung? Da man schließlich das ganze nicht wirklich von einer echten Person hat beglaubigen ließ (Edit: Also die Authenzität nicht gewährleistet ist). Jedenfalls ich nicht habe ja nur zwei Schlüssel miteinander vergleichen lassen.
Hoffe mir kann das jemand verständlich erklären? Ist das ganze den jetzt richtig Zertifiziert, schließlich steht ja auch es wurde durch den von mir eingefügten Public Key beglaubigt.
Edit: Ich lese mir mal nebenbei das Kompendium durch, dachte das funktioniert nicht da ich auf v2.02 des Kompendiums gegangen bin.
Wenn ich also mittels jetzt gpg in cmd dieses versuche zu Verfiziere kriege ich auch eine Warnung zurück. Das der Schlüssel keine Vertrauenswürdige Signatur enthält. Wie kann ich diese überprüfen?
Mit freundlichen Grüßen
Klosteinmann
verstehe das irgendwie nicht. Um eine GPG-Signatur zu überprüfen benötige ich ja zum einen den Public-Key und zum anderen einen Private Key. Bei einer Software-Installation um also das ganze zu überprüfen, egal ob jetzt qBittorrent, diverse Linux ISO, Programme aus dem Internet suche ich also den öffentlichen Schlüssel Importiere diesen, vergleiche den mit dem entsprechenden Private Key, für das enstprechende Programm/Betriebssystem um die Signatur des/der Entwickler*innen zu überprüfen.
Wieso zeigt, dann aber Kleopatra folgendes an sobald man den (Private)key Entschlüsst/Überprüft an, das die Daten entsprechend nicht überprüft werden konnten.
Warum sagen jetzt einige Tutorials Online, dass sobald man jetzt den entsprechenden Dateinamen hier gesehen hat von einer verifizierten Datei reden kann? Liegt jetzt hier Kleopatra mit der Meldung falsch, ich, oder das Tutorial was ich mir angeschaut habe, oder ist die Meldung tatsächlich korrekt? Hilft mir das ganze hier weiter? Finde das etwas verwirrend.
Kann ich einfach nicht 2 und 2 zusammenzählen, oder habe ich das Prinzip nicht verstanden. Redet man hier, so oder so nicht eigentlich von keiner richtigen Überprüfung? Da man schließlich das ganze nicht wirklich von einer echten Person hat beglaubigen ließ (Edit: Also die Authenzität nicht gewährleistet ist). Jedenfalls ich nicht habe ja nur zwei Schlüssel miteinander vergleichen lassen.
Hoffe mir kann das jemand verständlich erklären? Ist das ganze den jetzt richtig Zertifiziert, schließlich steht ja auch es wurde durch den von mir eingefügten Public Key beglaubigt.
Edit: Ich lese mir mal nebenbei das Kompendium durch, dachte das funktioniert nicht da ich auf v2.02 des Kompendiums gegangen bin.
Wenn ich also mittels jetzt gpg in cmd dieses versuche zu Verfiziere kriege ich auch eine Warnung zurück. Das der Schlüssel keine Vertrauenswürdige Signatur enthält. Wie kann ich diese überprüfen?
Bash:
C:\Users\Klosteinmann\Downloads>gpg --verify .\qbittorrent_4.3.9_x64_setup.exe.asc
gpg: die unterzeichneten Daten sind wohl in '.\qbittorrent_4.3.9_x64_setup.exe'
gpg: Signatur vom 31.10.2021 12:19:27 Mitteleuropische Zeit
gpg: mittels RSA-Schlüssel D8F3DA77AAC6741053599C136E4A2D025B7CC9A2
gpg: Korrekte Signatur von "sledgehammer_999 (Used for signing git commits/tags/etc) <hammered999@gmail.com>" [unbekannt]
gpg: alias "sledgehammer999 (Used for signing qBittorrent source tarballs and binaries v2.) <sledgehammer999@qbittorrent.org>" [unbekannt]
gpg: WARNUNG: Dieser Schlüssel trägt keine vertrauenswürdige Signatur!
gpg: Es gibt keinen Hinweis, daß die Signatur wirklich dem vorgeblichen Besitzer gehört.
Haupt-Fingerabdruck = D8F3 DA77 AAC6 7410 5359 9C13 6E4A 2D02 5B7C C9A2Mit freundlichen Grüßen
Klosteinmann
Zuletzt bearbeitet:
