Bei der Übertragung von Daten über eine unverschlüsselte und ungesicherte Verbindug besteht immer die Gefahr einer Manipulation. Zu einem Sicherheitsrisiko kann das zum Beispiel dann werden, wenn ein Program von einem vertrauten Anbieter heruntergeladen wird (zum Beispiel die neuste Firefox-Version). Wenn nun entweder der Server des Anbieters kompromittiert wurde oder beim Download eine Manipulation stattfindet, indem ein Trojaner oder ähnliche Malware eingebaut wird ist das oberflächlich nicht zu erkennen. In gutem Glauben an die Korrektheit des Anbieters wird nun die Anwendung installiert, doch im Hintergrund gräbt sich auch die Malware ins System ein.
Ein gutes Mittel solche Manipulationen zu unterbinden ist die Signierung von angebotenen Dateien. Dadurch wird - eine sichere Schlüsselübergabe vorausgesetzt - eine Manipulation sofort aufgedeckt. Ist der Schlüssel nicht sicher übergeben worden wird die Manipulation doch immerhin etwas erschwert.
Soviel zur Theorie, pratkisch funktioniert das ganze prima mit GnuPG:
$ # Datei signieren:
$ gpg --sign --detach-sign ich_bin_eine_datei
$ # oder kürzer:
$ gpg -sb ich_bin eine_datei
$ # Signatur prüfen:
$ gpg ich_bin_eine_datei.sigSchön wäre natürlich wenn die Browser das nun noch automatisiert implementieren würden ;-) Oder wenigstens eine Erweiterung im Windows-Kontext-Menü...