Wie verifiziere ich die integrität von gpg4win.exe ?

Gpg4win help-de
1

Ich weiß wie ich mit dem certutil befehl die sha checksum verifiziere, aber das kann doch nicht alles sein?
Zb: der tor browser bietet einen download für folgende datei: torbrowser-install-win64-12.0.4_ALL.exe.asc

Hier die befhle bezüglich des tor browsers:
gpg --auto-key-locate nodefault,wkd --locate-keys torbrowser@torproject.org

gpg --output ./tor.keyring --export 0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290

gpg --verify torbrowser-install-win64-11.0.4_en-US.exe.asc torbrowser-install-win64-11.0.4_en-US.exe

Laut QubesOS ist es nicht ausreichend nur die sha summe zu prüfen um sicherzustellen das die integrität gegeben ist.
https://www.qubes-os.org/security/verifying-signatures/

Kann mir jemand schritt für schritt erklären wie ich die integrität von gpg4win installer verifiziere?

2

Hallo,
so, wie es hier steht:
https://gpg4win.org/package-integrity-de.html

“Nutzen Sie im Normalfall die Bordmittel von Microsoft, um zu überprüfen, dass die Installationsanwendung von einem der untenstehenden Codesigning-Zerts unterschrieben ist.”

Die genauere Erklärung ist von dort auch verlinkt:
https://wiki.gnupg.org/Gpg4win/CheckIntegrity

https://www.qubes-os.org/security/verifying-signatures/#how-to-verify-the-cryptographic-hash-values-of-qubes-isos
sagt auch:
Eine Methode ist ausreichend gut, also SHA-256 vergleichen oder eine OpenPGP Signatur.

Viele Grüße
Bernhard