gpg4win Signatur verifizieren

anon62758613 · June 11, 2018, 12:54pm

Hi,

ich habe versucht die Signatur des gpg4win-Installers zu verifizieren.

Leider bin ich daran gescheitert, da ich nirgendwo den öffentlichen Schlüssel mit der ID 2688DA1A finden konnte.

Auf der Webseite habe ich den Schlüssel nicht gefunden und auch Google findet auf www.gpg4win.de diese ID nicht.

Wo bekommt man also den öffentlichen Schlüssel her - und warum ist der Schlüssel so versteckt?

aheinecke · June 11, 2018, 1:05pm

Hi,

Der ist doch gar nicht versteckt. schmoll

Direkt gelinkt ist er auf https://www.gpg4win.org/package-integrity.html

Du kannst mit Kleopatra auch sagen “auf keyserver suchen” bei der Verfikation. Dann sollte er auch gefunden werden.

Oder:

gpg --search 42D876082688DA1A

https://ssl.intevation.de/ hat ihn auch. Ok ssl.intevation.de muss man nicht wissen

Btw. Bei der Suche nach Schlüsseln solltest du nie nur die kurze KeyID verwenden die ist leicht zu fälschen.

Ernsthaft als verbesserung für uns: Wie hast du die signatur prüfen wollen und wo hättest du den key am ehesten erwartet?

So super prominent wollen wir das auch nicht platzieren da für die meisten Nutzer die CodeSigning Signatur die von Windows geprüft wird ausreichend ist.

Gruß,
Andre

anon62758613 · June 11, 2018, 2:08pm

Danke die “Nachhilfe”

Ich war auf und habe den Installer und die Signatur heruntergeladen.
https://www.gpg4win.org/download.html

Den viel später folgenden link zum “verify” habe ich nicht gesehen.
Die GPG-Kommandozeile nutze ich normalerweise nicht, wenn es sich vermeiden lässt. Hatte in Enigmail versucht den Schlüssel zu finden, aber da muss man den Server angeben und die Server die verfügbar waren kannten den Schlüssel nicht.

Dass man die kurze ID nicht verwenden soll weiß ich, nur zeigen der “GNU Privacy Assistant” und GPG auf der Kommandozeile nur mal nur diese an - wahrscheinlich aus Gründen der Abwärtskompatibilität, was mal wieder zeigt wie schei*** es ist Kommandozeilen-Tools über Stdout/Stdin zu steuern.

Meine Empfehlung wäre die kurze und die lange Schlüssel-ID (neben dem Link zum Key) so auf www.gpg4win.org zu platzieren, dass sie von Google gefunden werden können, denn die simple Websuche kann jeder - mit GPG umgehen hingegen kann nicht jeder…

Außerdem hätte ich auf der Seite https://www.gpg4win.org/download.html den Abschnitt “More Gpg4win-3.1.1 downloads” in die rechte Spalte (oder weiter runter zu “All Downloads”) verschoben. Dieser Abschnitt ist denke ich mal nur für sehr wenige Nutzer von Interesse und bei allen anderen unterbricht er die Webseite, so dass vermutlich die Tendenz ist dort mit dem Lesen aufzuhören.

Außerdem würde ich einen Link auf die “Public keys” (bzw. effektiv auf die /package-integrity.html) in das Impressum reinpacken.