Posts Tagged “gnupg”

Authentizität von Downloads sicherstellen

Bei der Übertragung von Daten über eine unverschlüsselte und ungesicherte Verbindug besteht immer die Gefahr einer Manipulation. Zu einem Sicherheitsrisiko kann das zum Beispiel dann werden, wenn ein Program von einem vertrauten Anbieter heruntergeladen wird (zum Beispiel die neuste Firefox-Version). Wenn nun entweder der Server des Anbieters kompromittiert wurde oder beim Download eine Manipulation stattfindet, indem ein Trojaner oder ähnliche Malware eingebaut wird ist das oberflächlich nicht zu erkennen. In gutem Glauben an die Korrektheit des Anbieters wird nun die Anwendung installiert, doch im Hintergrund gräbt sich auch die Malware ins System ein.

Ein gutes Mittel solche Manipulationen zu unterbinden ist die Signierung von angebotenen Dateien. Dadurch wird - eine sichere Schlüsselübergabe vorausgesetzt - eine Manipulation sofort aufgedeckt. Ist der Schlüssel nicht sicher übergeben worden wird die Manipulation doch immerhin etwas erschwert.

Soviel zur Theorie, pratkisch funktioniert das ganze prima mit GnuPG:

$ # Datei signieren:
$ gpg --sign --detach-sign ich_bin_eine_datei
$ # oder kürzer:
$ gpg -sb ich_bin eine_datei

$ # Signatur prüfen:
$ gpg ich_bin_eine_datei.sig

Schön wäre natürlich wenn die Browser das nun noch automatisiert implementieren würden ;-) Oder wenigstens eine Erweiterung im Windows-Kontext-Menü...

Mehr Informationen zu GnuPG und digitalen Signaturen

Read More

Verschlüsselte E-Mails

Ab sofort können mir verschlüsselte E-Mails geschickt werden! Dank Mozilla Thunderbird und Enigmail ist das sowohl unter Linux als auch unter Windows kein Problem!

Mein Public-Key ist über den Keyserver pgpkeys.pca.dfn.de verfügbar (ID: 0xE644EAB2) oder kann natürlich auch von davidfuhr.de heruntergeladen werden (Rechtsklick, “Ziel speichern unter…”).

Fingerprint: F242 78FA A91E A55B FD97 C7BB FBC5 DEFE E644 EAB2

Weiterführende Links:

Read More