Fehler bei Dateisignatur: unbekanntes Zertifikat obwohl Subkey vorhanden ist!

Guten Tag,

seit GnuPG2.x habe ich häufig (nicht immer) diesen Fehler beim Überprüfen von Dateisignaturen:

GnuPG meldet, daß das genutze Zertifikat unbekannt ist. Dabei ist es regelmäßig sehr wohl in meinem Schlüsselbund, ist allerdings ein Subkey.

Aktuelles Beispiel:
http://dl.amnesia.boum.org/tails/stable/tails-i386-2.3/tails-i386-2.3.iso
https://tails.boum.org/torrents/files/tails-i386-2.3.iso.sig
Key: https://tails.boum.org/tails-signing.key

Anbei auch der Screenshot nach mißglückter Überprüfung.

Für Hinweise bin ich dankbar!

SigCheckScreen.jpg

UPDATE: schade, daß sich gar keiner bisher hierzu geäußert hat. Falles es an Infos mangelt, bitte ich um Hinweise, was fehlt.

Zwischenzeitig füge ich Screenshots zu zwei Beispielen bei, wo die Überprüfung KLAPPT. Zumindest erkennt Kleopatra, das die Schlüssel vorhanden sind.

Das erste Beispiel:
http://sourceforge.net/projects/keepass/files/KeePass%202.x/2.33/KeePass-2.33-Setup.exe/download
http://keepass.info/integrity/v2/KeePass-2.33-Setup.exe.asc

Was mir auffällt, ist, das die genutzten Schlüssel die jeweils ersten im jeweiligen Schlüssel sind. Ob sie RSA oder DAS sind spielt dabei keine Rolle.

Offenbar erkennt Kleopatra nicht, wenn mit einem zweiten Subkey im Schlüssel signiert wurde?

SigCheckOK1Screen.png

Das zweite Beispiel
http://mirror.klaus-uwe.me/tdf/libreoffice/stable/5.1.2/win/x86/LibreOffice_5.1.2_Win_x86.msi
http://download.documentfoundation.org/libreoffice/stable/5.1.2/win/x86/LibreOffice_5.1.2_Win_x86.msi.asc

SigCheckOK2Screen.png

Hallo Jochen,

nach https://wiki.gnupg.org/TroubleShooting könntest Du
(sofern Du ein wenig technische Erfahrung hast, die Anleitung ist für Service Techniker)
die Operation mal auf der Kommandozeile ausprobieren.
Da ist oft mehr zu sehen.

Dann gib bitte die genaue Version an der Software, welche Du nutzt. (z.B. Gpg4win 2.3.1).

Mein Versuch mal das OpenPGP Zertifikat anzusehen:
GNUPGHOME=~/tmp/dot.gnupg/ gpg2 -v --fetch https://tails.boum.org/tails-signing.key
gpg: pub 4096R/58ACD84F 2015-01-18 Tails developers (offline long-term identity key) tails@boum.org
gpg: Schlüssel 58ACD84F: Mehrfache Unterschlüssel-Anbindung entfernt
gpg: Schlüssel 58ACD84F: Mehrfache Unterschlüssel-Anbindung entfernt
gpg: Hinweis: Signaturschlüssel 56987A65 ist am Mo 11 Jan 2016 15:22:10 CET verfallen
gpg: Hinweis: Signaturschlüssel 56987A65 wurde widerrufen
gpg: Schlüssel 58ACD84F: “Tails developers (offline long-term identity key) tails@boum.org” nicht geändert
gpg: Anzahl insgesamt bearbeiteter Schlüssel: 1
gpg: unverändert: 1

Du solltest versuchen:
gpg2 -v --verify tails-i386-2.3.iso.sig

Gruß,
Bernhard
ps.: Gefällt Dir meine Antwort?
→ Wirf ein paar Cent für Gpg4win ein: https://flattr.com/thing/2053326
→ Hilf Anderen mehr über Gpg4win zu lernen.
Danke!

Hallo Bernhard,

danke für die Antwort und Hinweise! Hach, stimmt, auch gpg2 kann ich über die Kommandozeile prüfen. Das versetzt mich wieder in die 90er, als ich noch mit PGP 2.6.3i … bei Windows finde ich die Arbeit mit dem DOS-Terminal so mies, daß ich kaum darauf zurückgreife und tatsächlich zu einem GUI-Menschen degeneriert bin. Ich dachte schlicht nicht daran, es händisch nachzuvollziehen; lange nicht mehr gemacht… zumal ich bei GPG 1.x mit WinPT dieses Problem nie hatte.

Hier also mein Output:

V:\Images\TAILS>gpg2 -v --version
gpg (GnuPG) 2.0.30 (Gpg4win 2.3.1)
libgcrypt 1.6.5
Copyright (C) 2015 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later http://gnu.org/licenses/gpl.html
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Home: C:/Users/Jochen/AppData/Roaming/gnupg
Unterst³tzte Verfahren:
Íff. Schl³ssel: RSA, RSA, RSA, ELG, DSA
Verschl³.: IDEA (S1), 3DES (S2), CAST5 (S3), BLOWFISH (S4), AES (S7),
AES192 (S8), AES256 (S9), TWOFISH (S10), CAMELLIA128 (S11),
CAMELLIA192 (S12), CAMELLIA256 (S13)
Hash: MD5 (H1), SHA1 (H2), RIPEMD160 (H3), SHA256 (H8), SHA384 (H9),
SHA512 (H10), SHA224 (H11)
Komprimierung: nicht komprimiert (Z0), ZIP (Z1), ZLIB (Z2), BZIP2 (Z3)

V:\Images\TAILS>gpg2 --list-keys 58ACD84F
pub 4096R/0xDBB802B258ACD84F 2015-01-18 [verfõllt: 2017-01-11]
uid [ unbek.] Tails developers (offline long-term identity key)
tails@boum.org
uid [ unbek.] Tails developers tails@boum.org
sub 4096R/0x98FEC6BC752A3DB6 2015-01-18 [verfõllt: 2017-01-11]
sub 4096R/0x3C83DCB52F699C56 2015-01-18 [verfõllt: 2017-01-11]

V:\Images\TAILS>gpg2 -v --verify tails-i386-2.3.iso.sig
gpg: die unterzeichneten Daten sind wohl in ‘tails-i386-2.3.iso’
gpg: Signatur vom 04/25/16 19:02:56 Mitteleuropõische Sommerzeit
gpg: mittels RSA-Schl³ssel 0x98FEC6BC752A3DB6
gpg: Hinweis: Signaturschl³ssel 0xAA9E014656987A65 ist am 01/11/16 15:22:10 Mitteleuropõische Zeit verfallen
gpg: Hinweis: Signaturschl³ssel 0xAA9E014656987A65 wurde widerrufen
gpg: der Unterschl³ssel 0x98FEC6BC752A3DB6 wird anstelle des Hauptschl³ssels 0xDBB802B258ACD84F verwendet
gpg: Hinweis: Signaturschl³ssel 0xAA9E014656987A65 ist am 01/11/16 15:22:10 Mitteleuropõische Zeit verfallen
gpg: Hinweis: Signaturschl³ssel 0xAA9E014656987A65 wurde widerrufen
gpg: verwende Vertrauensmodell PGP
gpg: Korrekte Signatur von “Tails developers (offline long-term identity key) tails@boum.org” [unbekannt]
gpg: alias “Tails developers tails@boum.org” [unbekannt]
gpg: Hinweis: Signaturschl³ssel 0xAA9E014656987A65 ist am 01/11/16 15:22:10 Mitteleuropõische Zeit verfallen
gpg: Hinweis: Signaturschl³ssel 0xAA9E014656987A65 wurde widerrufen
gpg: WARNUNG: Dieser Schl³ssel trõgt keine vertrauensw³rdige Signatur!
gpg: Es gibt keinen Hinweis, da¯ die Signatur wirklich dem vorgeblichen Besitzer geh÷rt.
Haupt-Fingerabdruck = A490 D0F4 D311 A415 3E2B B7CA DBB8 02B2 58AC D84F
Unter-Fingerabdruck = BA2C 222F 44AC 00ED 9899 3893 98FE C6BC 752A 3DB6
gpg: Binõre Signatur, Hashmethode “SHA512”

V:\Images\TAILS>

Wie man sieht, erkennt er zwischendrin den Unterschlüssel 0x98FEC6BC752A3DB6, meldet dann aber wieder einmal, daß der Schlüssel 0xAA9E014656987A65 widerrufen wurde.

Vielleicht kann das jemand besser interpretieren?

Hallo Jochen,

die Kommandozeile hilft in diesem Fall dabei herauszubekommen, was das Problem ist.
(Um dann später die GUI Variante zu verbessern. Also Danke für Deine Mühen!)

Mit
gpg: WARNUNG: Dieser Schl³ssel trõgt keine vertrauensw³rdige Signatur!
gpg: Es gibt keinen Hinweis, da¯ die Signatur wirklich dem vorgeblichen Besitzer gehört.
hast Du ja gerechnet, da Du dem Zertifikat nicht vertraust.
(Sonst könntest Du es unterschreiben, z.B: lokal.)

gpg: Korrekte Signatur von “Tails developers (offline long-term identity key) tails@boum.org” [unbekannt]
gpg: alias “Tails developers tails@boum.org” [unbekannt]
zeigt eigentlich das richtige an. Es sieht also doch wie ein Defekt aus.

Nehmen wir mal an das der zurückgerufene Unterschlüssel stört.
Um das zu prüfen könntest Du den mal löschen, z.B.
gpg2 --edit 58ACD84F
key 3
(mal draufschauen ob es auch der richtige ist)
delkey
quit
(und speichern)

Wenn es dann besser aussieht, dann handelt es sich wohl um einen Defekt,
denn wir auf bugs.gnupg.org mal eintragen sollten.

Gruß,
Bernhard

Eine andere Idee wäre mal, dem Zertifikat lokal zu “vertrauen”, z.B. durch eine nicht exportierbare Unterschrift oder “trust”.

Hallo Berthold!

Ja klar, das mit dem Vertrauen und der lokalen Signatur ist mir bekannt. Ich würde ein Zertifikat nur signieren, wenn ich eine unabhängige Bestätigung habe, daß es koscher ist. Auch lokal halte ich es so, um nicht ein trügerisches Gefühl der Sicherheit zu haben, solange nicht mehr für das Zertifikat spricht. Ich sehe trotzdem einen Nutzen in den Signaturen: ich nutze sie zumindest als ersten Test, ob die Datei aus der gleichen Ecke kommt wie die vorhergehenden Releases.

In den anderen zwei positiven Fällen wird der Schlüssel auch bei fehlendem Vertrauen bzw. Signaturen erkannt. Beim Subkey sollte es deswegen auch nicht stören, wenn er nicht signiert ist.

Danke für die Anleitung zum Testen des delkey subkey.

Ich kann schon mal vermelden, daß es NICHT reicht. Im Folgenden der CLI output und Screenshot aus dem parallel getesteten Kleopatra.

Viele Grüße
Jochen

V:\Images\TAILS>gpg2 --edit 58ACD84F
gpg (GnuPG) 2.0.30; Copyright (C) 2015 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

pub 4096R/0xDBB802B258ACD84F erzeugt: 2015-01-18 verfõllt: 2017-01-11 Aufruf: C
Vertrauen: unbekannt G³ltigkeit: unbekannt
sub 4096R/0x98FEC6BC752A3DB6 erzeugt: 2015-01-18 verfõllt: 2017-01-11 Aufruf: S
sub 4096R/0x3C83DCB52F699C56 erzeugt: 2015-01-18 verfõllt: 2017-01-11 Aufruf: S
Der folgende Schl³ssel wurde am 2015-10-29 von RSA Schl³ssel 0xDBB802B258ACD84F
Tails developers (offline long-term identity key) tails@boum.org widerrufen
sub 4096R/0xAA9E014656987A65 erzeugt: 2015-01-18 widerrufen: 2015-10-29 Aufruf: S
[ unbek.] (1). Tails developers (offline long-term identity key) tails@boum.org
[ unbek.] (2) Tails developers tails@boum.org

gpg> key 3

pub 4096R/0xDBB802B258ACD84F erzeugt: 2015-01-18 verfõllt: 2017-01-11 Aufruf: C
Vertrauen: unbekannt G³ltigkeit: unbekannt
sub 4096R/0x98FEC6BC752A3DB6 erzeugt: 2015-01-18 verfõllt: 2017-01-11 Aufruf: S
sub 4096R/0x3C83DCB52F699C56 erzeugt: 2015-01-18 verfõllt: 2017-01-11 Aufruf: S
Der folgende Schl³ssel wurde am 2015-10-29 von RSA Schl³ssel 0xDBB802B258ACD84F Tails developers (offline long-term identity key) tails@boum.org widerrufen
sub* 4096R/0xAA9E014656987A65 erzeugt: 2015-01-18 widerrufen: 2015-10-29 Aufruf: S
[ unbek.] (1). Tails developers (offline long-term identity key) tails@boum.org
[ unbek.] (2) Tails developers tails@boum.org

gpg> delkey
M÷chten Sie diesen Schl³ssel wirklich entfernen? (j/N) j

pub 4096R/0xDBB802B258ACD84F erzeugt: 2015-01-18 verfõllt: 2017-01-11 Aufruf: C
Vertrauen: unbekannt G³ltigkeit: unbekannt
sub 4096R/0x98FEC6BC752A3DB6 erzeugt: 2015-01-18 verfõllt: 2017-01-11 Aufruf: S
sub 4096R/0x3C83DCB52F699C56 erzeugt: 2015-01-18 verfõllt: 2017-01-11 Aufruf: S
[ unbek.] (1). Tails developers (offline long-term identity key) tails@boum.org
[ unbek.] (2) Tails developers tails@boum.org

gpg> quit
-nderungen speichern? (j/N) j

V:\Images\TAILS>gpg2 -v --verify tails-i386-2.3.iso.sig
gpg: die unterzeichneten Daten sind wohl in ‘tails-i386-2.3.iso’
gpg: Signatur vom 04/25/16 19:02:56 Mitteleuropõische Sommerzeit
gpg: mittels RSA-Schl³ssel 0x98FEC6BC752A3DB6
gpg: der Unterschl³ssel 0x98FEC6BC752A3DB6 wird anstelle des Hauptschl³ssels 0xDBB802B258ACD84F verwendet
gpg: verwende Vertrauensmodell PGP
gpg: Korrekte Signatur von “Tails developers (offline long-term identity key) tails@boum.org” [unbekannt]
gpg: alias “Tails developers tails@boum.org” [unbekannt]
gpg: WARNUNG: Dieser Schl³ssel trõgt keine vertrauensw³rdige Signatur!
gpg: Es gibt keinen Hinweis, da¯ die Signatur wirklich dem vorgeblichen Besitzer geh÷rt.
Haupt-Fingerabdruck = A490 D0F4 D311 A415 3E2B B7CA DBB8 02B2 58AC D84F
Unter-Fingerabdruck = BA2C 222F 44AC 00ED 9899 3893 98FE C6BC 752A 3DB6
gpg: Binõre Signatur, Hashmethode “SHA512”

V:\Images\TAILS>

SigCheckERROR2Screen.png

Hallo nochmal,

so, der Vollständigkeit halber habe ich auch den anderen subkey, der zwar aktiv ist aber nichts mit der Signatur zu tun hat, herausgelöscht und nochmal getestet.

Als nächstes teste ich die (lokale) Signatur des Subkeys. Kann ich danach ja wieder löschen. Watch this space.

Viele Grüße
Jochen

V:\Images\TAILS>gpg2 --edit 58ACD84F
gpg (GnuPG) 2.0.30; Copyright (C) 2015 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

pub 4096R/0xDBB802B258ACD84F erzeugt: 2015-01-18 verfõllt: 2017-01-11 Aufruf: C
Vertrauen: unbekannt G³ltigkeit: unbekannt
sub 4096R/0x98FEC6BC752A3DB6 erzeugt: 2015-01-18 verfõllt: 2017-01-11 Aufruf: S
sub 4096R/0x3C83DCB52F699C56 erzeugt: 2015-01-18 verfõllt: 2017-01-11 Aufruf: S
[ unbek.] (1). Tails developers (offline long-term identity key) tails@boum.org
[ unbek.] (2) Tails developers tails@boum.org

gpg> key2

Ung³ltiger Befehl (versuchen Sie’s mal mit “help”)

gpg> key 2

pub 4096R/0xDBB802B258ACD84F erzeugt: 2015-01-18 verfõllt: 2017-01-11 Aufruf: C
Vertrauen: unbekannt G³ltigkeit: unbekannt
sub 4096R/0x98FEC6BC752A3DB6 erzeugt: 2015-01-18 verfõllt: 2017-01-11 Aufruf: S
sub* 4096R/0x3C83DCB52F699C56 erzeugt: 2015-01-18 verfõllt: 2017-01-11 Aufruf: S
[ unbek.] (1). Tails developers (offline long-term identity key) tails@boum.org
[ unbek.] (2) Tails developers tails@boum.org

gpg> delkey
M÷chten Sie diesen Schl³ssel wirklich entfernen? (j/N) j

pub 4096R/0xDBB802B258ACD84F erzeugt: 2015-01-18 verfõllt: 2017-01-11 Aufruf: C
Vertrauen: unbekannt G³ltigkeit: unbekannt
sub 4096R/0x98FEC6BC752A3DB6 erzeugt: 2015-01-18 verfõllt: 2017-01-11 Aufruf: S
[ unbek.] (1). Tails developers (offline long-term identity key) tails@boum.org
[ unbek.] (2) Tails developers tails@boum.org

gpg> quit
-nderungen speichern? (j/N) j

V:\Images\TAILS>gpg2 -v --verify tails-i386-2.3.iso.sig
gpg: die unterzeichneten Daten sind wohl in ‘tails-i386-2.3.iso’
gpg: Signatur vom 04/25/16 19:02:56 Mitteleuropõische Sommerzeit
gpg: mittels RSA-Schl³ssel 0x98FEC6BC752A3DB6
gpg: der Unterschl³ssel 0x98FEC6BC752A3DB6 wird anstelle des Hauptschl³ssels 0xDBB802B258ACD84F verwendet
gpg: verwende Vertrauensmodell PGP
gpg: Korrekte Signatur von “Tails developers (offline long-term identity key) tails@boum.org” [unbekannt]
gpg: alias “Tails developers tails@boum.org” [unbekannt]
gpg: WARNUNG: Dieser Schl³ssel trõgt keine vertrauensw³rdige Signatur!
gpg: Es gibt keinen Hinweis, da¯ die Signatur wirklich dem vorgeblichen Besitzer geh÷rt.
Haupt-Fingerabdruck = A490 D0F4 D311 A415 3E2B B7CA DBB8 02B2 58AC D84F
Unter-Fingerabdruck = BA2C 222F 44AC 00ED 9899 3893 98FE C6BC 752A 3DB6
gpg: Binõre Signatur, Hashmethode “SHA512”

V:\Images\TAILS>

SigCheckERROR3Screen.png

Hallo wieder einmal,

nicht ganz das Erwünschte. Dem Schlüssel wird nun erwartungsgemäß vertraut, sowohl in CLI wie auch in Kleopatra (grün), in der CLI wird der passende Schlüssel angezeigt aber das GUI Kleopatra behauptet noch immer, daß der Schlüssel unbekannt sei.

Daten und Screenshot im Folgenden.

Viele Grüße
Jochen

V:\Images\TAILS>gpg2 --lsign-key 58ACD84F

pub 4096R/0xDBB802B258ACD84F erzeugt: 2015-01-18 verfõllt: 2017-01-11 Aufruf: C
Vertrauen: unbekannt G³ltigkeit: unbekannt
sub 4096R/0x98FEC6BC752A3DB6 erzeugt: 2015-01-18 verfõllt: 2017-01-11 Aufruf: S
[ unbek.] (1). Tails developers (offline long-term identity key) tails@boum.org
[ unbek.] (2) Tails developers tails@boum.org

Wirklich alle User-IDs beglaubigen? (j/N) j

pub 4096R/0xDBB802B258ACD84F erzeugt: 2015-01-18 verfõllt: 2017-01-11 Aufruf: C
Vertrauen: unbekannt G³ltigkeit: unbekannt
Haupt-Fingerabdruck = A490 D0F4 D311 A415 3E2B B7CA DBB8 02B2 58AC D84F

 Tails developers (offline long-term identity key) <tails@boum.org>
 Tails developers <tails@boum.org>

Dieser Schl³ssel wird 2017-01-11 verfallen.
Sind Sie wirklich sicher, da¯ Sie vorstehenden Schl³ssel mit Ihrem
Schl³ssel “Jochen Bink jbink@versanet.de” (0xB0C8DC5EAA58C729) beglaubigen wollen

Die Signatur wird als nicht-exportfõhig markiert werden.

Wirklich signieren? (j/N) j

Sie ben÷tigen eine Passphrase, um den geheimen Schl³ssel zu entsperren.
Benutzer: “Jochen Bink jbink@versanet.de
3072-Bit RSA Schl³ssel, ID 0xB0C8DC5EAA58C729, erzeugt 2014-01-15

gpg> check
uid Tails developers (offline long-term identity key) tails@boum.org
sig! 0x1202821CBE2CD9C1 2015-01-19 Tails developers (signing key) <tail

sig!3 0xDBB802B258ACD84F 2015-01-18 [Eigenbeglaubigung]
sig!3 0xDBB802B258ACD84F 2015-09-27 [Eigenbeglaubigung]
sig!2 P 0xECE921DA863B95F7 2016-01-20 Moritz Bartl moritz@headstrong.de
sig! L 0xB0C8DC5EAA58C729 2016-05-09 Jochen Bink jbink@versanet.de
uid Tails developers tails@boum.org
sig!3 0xDBB802B258ACD84F 2015-09-27 [Eigenbeglaubigung]
sig!2 P 0xECE921DA863B95F7 2016-01-20 Moritz Bartl moritz@headstrong.de
sig! L 0xB0C8DC5EAA58C729 2016-05-09 Jochen Bink jbink@versanet.de
532 Beglaubigungen wegen fehlenden Schl³sseln nicht gepr³ft

gpg> quit
-nderungen speichern? (j/N) j

V:\Images\TAILS>gpg2 -v --verify tails-i386-2.3.iso.sig
gpg: die unterzeichneten Daten sind wohl in ‘tails-i386-2.3.iso’
gpg: Signatur vom 04/25/16 19:02:56 Mitteleuropõische Sommerzeit
gpg: mittels RSA-Schl³ssel 0x98FEC6BC752A3DB6
gpg: der Unterschl³ssel 0x98FEC6BC752A3DB6 wird anstelle des Hauptschl³ssels 0xD
BB802B258ACD84F verwendet
gpg: verwende Vertrauensmodell PGP
gpg: Korrekte Signatur von “Tails developers (offline long-term identity key) <t
ails@boum.org>” [vollstõndig]
gpg: alias “Tails developers tails@boum.org” [vollstõndig]

gpg: Binõre Signatur, Hashmethode “SHA512”

V:\Images\TAILS>

SigCheckERROR4Screen.png

Jochen,
danke für die Tests, das sieht mehr und mehr nach einem Software-Defekt aus.
Also habe ich bugs.kde.org angeworfen (ist der richtige Ort für Kleopatra)
und Deinen Bericht zu folgendem Bericht hinzugefügt:

https://bugs.kde.org/show_bug.cgi?id=287145

Irgendwie schön wäre es, wenn es einen kleineren Testfall gibt, also nicht 1.2 GiByte
heruntergeladen werden müssen. Haben die Tails Leute vielleicht mit dem Zert noch
was anderes unterschrieben, wo sich der gleiche Defekt zeigt?

Gruß,
Bernhard

Hallo Bernhard,

(war unterwegs, daher die Antwort etwas später)

alles klar, hier ein zweites Beispiel, bei dem das gleiche Phänomen auftritt, allerdings mit ganz anderem Schlüssel, aber auch da ist die Signatur mit dem Subkey gemacht und dieser wird von Kleopatra als unbekannt gemeldet.

Viele Grüße
Jochen

http://releases.mozilla.org/pub/firefox/releases/46.0.1/SHA512SUMS
http://releases.mozilla.org/pub/firefox/releases/46.0.1/SHA512SUMS.asc
http://releases.mozilla.org/pub/firefox/releases/46.0.1/KEY
(ich habe den Schlüssel 0x5E9905DB aber direkt vom Server abgerufen)

C:\Incoming>gpg2 -v --verify SHA512SUMS.asc
gpg: ASCII-H³lle: Version: GnuPG v2.0.14 (GNU/Linux)

gpg: die unterzeichneten Daten sind wohl in ‘SHA512SUMS’
gpg: Signatur vom 05/03/16 09:06:04 Mitteleuropõische Sommerzeit
gpg: mittels RSA-Schl³ssel 0x1C69C4E55E9905DB
gpg: der Unterschl³ssel 0x1C69C4E55E9905DB wird anstelle des Hauptschl³ssels 0x61B7B526D98F0353 verwendet
gpg: verwende Vertrauensmodell PGP
gpg: Korrekte Signatur von “Mozilla Software Releases release@mozilla.com” [unbekannt]
gpg: WARNUNG: Dieser Schl³ssel trõgt keine vertrauensw³rdige Signatur!
gpg: Es gibt keinen Hinweis, da¯ die Signatur wirklich dem vorgeblichen Besitzer geh÷rt.
Haupt-Fingerabdruck = 14F2 6682 D091 6CDD 81E3 7B6D 61B7 B526 D98F 0353
Unter-Fingerabdruck = F2EF 4E6E 6AE7 5B95 F11F 1EB5 1C69 C4E5 5E99 05DB
gpg: Binõre Signatur, Hashmethode “SHA1”

C:\Incoming>

SigCheckERROR5Screen.png

Jochen,
danke für das zweite Beispiel.
Unser Jochen (Saalfeld) wird sich das die Tage ansehen und in den KDE-Bericht einpflegen.

Gruß,
Bernhard