Wie funktioniert das mit der Signatur auf www.gpgmail.org ?

Dieses Thema im Forum "Software" wurde erstellt von Client, 5. Oktober 2010.

  1. Client

    Client New Member

    Ich will mir auf www.gpgmail.org "GPGMail" für OSX 10.4 runterladen. Aus Sicherheitsgründen natürlich mit der dazugehörigen Signatur. Leider sind meine Englischkenntnisse schlecht, und Übersetzungshilfen im Internet oder Übersetzungssoftware liefern ja auch eher lustige als hilfreiche Übersetzungen. Darum hab ich zwei Fragen. Frage 1: Auf der erwähnten Seite steht im Downloadbereich in der Mitte das entsprechende Betriebssystem (in meinem Fall OSX 10.4), links davon der Download selbst, und rechts davon die dazugehörige Signatur, richtig ? Frage 2: Wie funktioniert das mit der Signatur? Ich habe bisher nur Erfahrung mit der md5 Prüfsumme. Für konstruktive und hilfreiche Antworten die meinen Horizont erweitern, bedanke ich mich hiermit schon einmal im Voraus !
     
  2. TomPo

    TomPo Active Member

    Zu Frage 1: Ja

    Frage 2: Mit der digitalen Signature (digitale oder kryptische Unterschrift; auch Private oder Public Key genannt) kannst Du als Anwender idR gar nichts anfangen. Sie dient m.W. nur dazu, um zu prüfen, ob die Datei auch tatsächlich dem angeforderten (echten) Download entspricht.
    Mit der MD5 Prüfsumme hat der Anwender dann im Nachhinein die Möglichkeit, die heruntergeladene Datei auf Echtheit zu prüfen. Weicht der (selbst ermittelte) MD5-Wert vom angegebenen Parameter ab, lässt sich eine Manipulation nicht ausschließen.

    digitale oder kryptische Signaturen sind in aller Regel etwa so aus, was aber allgemein bekannt sein dürfte

    iF4EABEIAAYFAkyNHmgACgkQdtePBQDQJsSKjQD9EsiRhUQPZ+JjL4lfwAhLCym3
    FqSy51JH5X7C+t9SHGgBAL2CkYO089ffH2t78CMn42wztZxqFIxR9srG+V3jWFqA
    =kehW

    oder so

    à^Lm&/
    v◊è–&ƒµáæOÔ2´‚∞∞¡ö≤˝¥?flÁÒoAú≤flYƒ3î˙3qR^ˇVs/ضÇUjy3+
    ìõÙ†_:ûı¡˘œ1◊0èÑ
     
  3. Client

    Client New Member

    Bei der md5 Prüfsumme ziehe ich den Download einfach ins Terminal, und das Terminal rechnet mir dann in Sekundenbruchteilen die md5 Prüfsumme aus, die ich dann mit der bekanntgegebenen, offiziellen Prüfsumme vergleichen kann. Aber bei "GPGMail" ist doch eine Signatur angegeben, weil das angeblich noch sicherer sein soll als die md5 Prüfsumme oder? Und beim Thema Signatur endet wie gesagt mein Kenntnisstand. Ziehe ich da den Download auch ins Terminal, und das Terminal zeigt mir dann statt der md5 Prüfsumme die Signatur an, oder wie muss ich mir das vorstellen?
     

Diese Seite empfehlen