Hallo, ich habe eine Linux Manjaro iso heruntergeladen und die SHA1 ist OK. Ich möchte die .sig-Datei überprüfen. Ich habe hier nur Windows 10, ich habe gpg4win installiert (Kleopatra, Erweiterung für Kontextmenü …).
Ich habe das Handbuch von GNUPG und Foren gelesen.
Ich habe auch in Wikis gelesen, wie man ISO-Images verifiziert.
Nur eine Frage vorab.
Woher weiß ich, dass die importierten Schlüssel von den Keyservern (gitlab etc) gültig/vertrauenswürdig sind? In Wirklichkeit kann man sich nicht 100% sicher sein, oder? Ich möchte nur die Theorie dahinter lernen.
Irgendwelche guten Erklärungen (Website, YouTube?)
ISO-Datei und .sig-Datei befinden sich im selben Verzeichnis.
(übersetzt aus dem Deutschen)
Versuch 1:
Ich klicke mit der rechten Maustaste auf die .iso-Datei und “prüfe und verifiziere” das Ergebnis:
„Die Daten können nicht überprüft werden. Signatur erstellt am … mit dem unbekannten Zertifikat. Sie können das Zertifikat auf einem Schlüsselserver suchen …“
„Signatur kann nicht geprüft werden. Kein öffentlicher Schlüssel“
Versuch 2:
Ich habe die .gpg Datei (von gitlab) heruntergeladen und in Kleopatra importiert.
Ich bekomme immer noch eine Nachricht:
„Die Daten können nicht überprüft werden. Signatur erstellt am … mit dem Zertifikat Manjaro Build Server …. Sie können auf dem Schlüsselserver nach Zertifikaten suchen …
Der verwendete Schlüssel wurde weder von Ihnen, noch von … beglaubigt."
Was muss ich jetzt tun, um sicher zu sein? Ich möchte das ganze einfach mal lernen.
Danke schön.