Hallo liebes Forum,
habe von der LibreOffice 3,3-Datei die Signatur gespeichert und den öffentlichen Schlüssel der Document-Foundation importiert, um die Integrität der Datei zu prüfen.
Ist das mit dem Enigma-Plugin überhaupt noch möglich? Wenn ja, wie?
Schöne Grüße
Finest
Hallo Finest,
und willkommen im Forum!
Sehr löblich, dass du die Integrität prüfen willst.
Ich, Linuxnutzer, muss mir darum keine Gedanken machen, denn das passiert bei uns automatisch. Deswegen weiß ich jetzt auch nicht, welcher Hashwert auf der Downloadseite veröffentlicht wird. Leider weiß ich auch noch nicht einmal, welches Betriebssystem du verwendest.
Es werden grundsätzlich drei Verfahren zur Prüfung der Dateiintegrität genutzt:
- SHA1
- MD5 und
- GnuPG
Welches Verfahren genutzt wird, ist auf alle Fälle angegeben => du musst dann natürlich das entsprechende Programm zum Prüfen nutzen. Nur nebenbei: es gibt noch weitere Verfahren, aber die genannten sind die üblichen.
Wenn du der Nutzer einer WinDOSe bist, dann empfehle ich dir das Programm "dpasha.exe". Das ist ein sehr universeller Hashwertgenerator, welcher bis auf GnuPG so ziemlich alle Verfahren beherrscht. Einfach die .exe starten. Selbsterklärend!
Unter Linux macht man das selbstverständlich auf der Konsole, zum Bsp. mit "md5sum" usw.
Das Add-on Enigmail macht selbstverständlich auch eine Hashwertprüfung, aber nur im Zusammenhang von E-Mails. Es versieht Mails mit einer Signatur und prüft eine empfangene Signatur über einer Mail. Um reine Dateien zu signieren bzw. zu prüfen ist das Add-on nicht geeignet (oder zumindest sehr umständlich, wenn es denn gehen sollte).
Wenn die Datei also mit GnuPG signiert wurde, dann kannst du das auch mit dem sicherlich vorhandenen GnuPG machen. Dafür gibt es grafische Oberflächen oder du machst es auf der Konsole. Auch zu GnuPG gibt es eine Anleitung ... .
MfG Peter
Hallo Peter,
die einschlägigen Prüfsummen wurden vom Distributor nicht veröffentlicht, sondern lediglich die GnuPG Sig-Datei.
>> Um reine Dateien zu signieren bzw. zu prüfen ist das Add-on nicht geeignet (oder zumindest sehr umständlich, wenn es denn gehen sollte).
Okay, das wollte ich wissen. Unter PGP 6,5x und 8,1x war das ja alles kein Thema. Ach ja, die guten alten Zeiten ;-).
Schöne Grüße
PS: XP nutze ich (noch). Wieso muß sich ein Linuxer über die Integrität keine Gedanken machen? Macht das etwa auch die Paketverwaltung - unglaublich.
Hallo,
die einschlägigen Prüfsummen wurden vom Distributor nicht veröffentlicht, sondern lediglich die GnuPG Sig-Datei.
diese kannst Du unter Windows - abgesehen von der GnuPG-Kommandozeile - mit dem GnuPG-GUI WinPT bequem prüfen.
Gruss
Hallo Jesus,
mit WinPT hat es tatsächlich geklappt - danke.
Wieso muß sich ein Linuxer über die Integrität keine Gedanken machen? Macht das etwa auch die Paketverwaltung - unglaublich.
Aber selbstverständlich doch 
Alle mir bekannten seriösen Repositories verteilen automatisch die Prüfsummen aller heruntergeladenen Dateien und es erfolgt auch automatisch eine Integritätsprüfung. Und bei neu installierten Repositories erfolgt auch immer eine Anzeige der entsprechenden Signaturschlüssel, welche der Nutzer akzeptieren kann. Und es gibt sogar Nutzer, die dann wirklich einen Vergleich des Hashwertes mit den veröffentlichten Werten durchführen.
Alles Hash oder was?
(Eine Erklärung für die Windowsnutzer:)
Wir Freunde des Pinguins ziehen unsere freie Software aus so genannten "Repositories". Das sind riesige Sammlungen, wo bis auf wenige Ausnahmen alle Programme und natürlich auch die Bestandteile des Betriebssystems zentral bereitgestellt werden. Aus diesem riesigen Fundus kann ich auswählen ... .
Und um mein System immer aktuell zu halten gebe ich auf der Konsole den Befehl "zypper up" ein => und es werden auf einem Rutsch nicht dur das Betriebssystem, sondern auch alle installierten Programme auf Aktualität überprüft und bei Vorhandensein einer neueren Version nach entsprechender Rückfrage auch aktualisiert.
(Ich wollte jetzt niemand neidisch machen, dafür gibt es bei uns sehr wenig für Spielefreaks ... .)
MfG Peter
