Ich weiß wie ich mit dem certutil befehl die sha checksum verifiziere, aber das kann doch nicht alles sein?
Zb: der tor browser bietet einen download für folgende datei: torbrowser-install-win64-12.0.4_ALL.exe.asc
Hier die befhle bezüglich des tor browsers:
gpg --auto-key-locate nodefault,wkd --locate-keys torbrowser@torproject.org
gpg --output ./tor.keyring --export 0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290
gpg --verify torbrowser-install-win64-11.0.4_en-US.exe.asc torbrowser-install-win64-11.0.4_en-US.exe
Laut QubesOS ist es nicht ausreichend nur die sha summe zu prüfen um sicherzustellen das die integrität gegeben ist.
https://www.qubes-os.org/security/verifying-signatures/
Kann mir jemand schritt für schritt erklären wie ich die integrität von gpg4win installer verifiziere?