Wenn ein Softwarepaket per Hand heruntergeladen wird, sollte immer überprüft werden, ob das Paket auch wirklich vom Entwickler stammt. Diese Vorgehensweise machen auch auch alle Paketmanager bei APT bzw. RPM Pakete oder wenn eine Linux-Distribution wie Ubuntu heruntergeladen wird. Ich habe als Beispiel Veracrypt auf Echtheit überprüft.
Pakete herunterladen
Auf folgender Seite können die Pakete heruntergeladen werden:
https://www.veracrypt.fr/en/Downloads.html
Am Besten ist es wenn alle Downloads in ein Verzeichnis abgespeichert werden. Ich habe am Beispiel von Ubuntu 24.04 die Dateien heruntergeladen mit den jeweiligen PGP Signaturen.
veracrypt-1.26.20-sha256sum.txt
veracrypt-1.26.20-sha256sum.txt.sig
veracrypt-1.26.20-Ubuntu-24.04-amd64.deb.sig
veracrypt-1.26.20-Ubuntu-24.04-amd64.deb
VeraCrypt_PGP_public_key.asc
PGP-Key importieren
Alle Dateien und Pakete werden mittels Public-Key von den Entwicklern signiert. Dazu müssen wir aber zuerst den Public-Key mit Hilfe von dem Programm Gnugp importieren:
gpg --import VeraCrypt_PGP_public_key.asc
Anschließend kann dieser mittels dem Befehl aufgelistet werden:
gpg --list-keys
Ausgabe:
pub rsa4096 2018-09-11 [SC]
5069A233D55A0EEB174A5FC3821ACD02680D16DE
uid [ unbekannt] VeraCrypt Team (2018 - Supersedes Key ID=0x54DDD393) <veracrypt@idrix.fr>
sub rsa4096 2018-09-11 [E]
sub rsa4096 2018-09-11 [A]
Signaturen überprüfen
Als nächster Schritt werden die heruntergeladene Dateien zusammen mit den Signaturen geprüft, ob diese auch wirklich mit dem Public-Key übereinstimmt.
gpg --verify veracrypt-1.26.20-sha256sum.txt.sig veracrypt-1.26.20-sha256sum.txt
Die Ausgabe sollte wie folgt aussehen:
gpg: Signatur vom Mi 05 Feb 2025 13:24:36 CET
gpg: mittels RSA-Schlüssel 5069A233D55A0EEB174A5FC3821ACD02680D16DE
gpg: Korrekte Signatur von "VeraCrypt Team (2018 - Supersedes Key ID=0x54DDD393) <veracrypt@idrix.fr>" [unbekannt]
gpg: WARNUNG: Dieser Schlüssel trägt keine vertrauenswürdige Signatur!
gpg: Es gibt keinen Hinweis, daß die Signatur wirklich dem vorgeblichen Besitzer gehört.
Haupt-Fingerabdruck = 5069 A233 D55A 0EEB 174A 5FC3 821A CD02 680D 16DE
Jetzt sollte “Korrekte Signatur von …” angezeigt werden. Anschließend wird das gleiche Prozedere mit dem .deb Paket durchgeführt.
gpg --verify veracrypt-1.26.20-Ubuntu-24.04-amd64.deb.sig veracrypt-1.26.20-Ubuntu-24.04-amd64.deb
Checksumme prüfen
Anschließend wird die Checksumme des .deb Pakets überprüft. Mithilfe der Textdatei veracrypt-1.26.20-sha256sum.txt
werden alle die darin befindlichen Einträge mit dem Paket abgeglichen, welches sich im gleichen Verzeichnis befindet. Wenn dies erfolgreich war, dann wurde das Paket ohne Fehler heruntergeladen:
sha256sum --check veracrypt-1.26.20-sha256sum.txt 2>&1 | grep OK
Es sollte ein OK als Ausgabe angezeigt werden. Wenn dies nicht der Fall ist, ist die Überprüfung fehlgeschlagen. Dann sollte erneut das Paket heruntergeladen werden.
veracrypt-1.26.20-Ubuntu-24.04-amd64.deb: OK
Wer das unter Windows versuchen möchte, der kann es mit folgendem Befehl und dem entsprechenden Windows Paket in der Powershell durchführen:
CertUtil -hashfile <Paketname> SHA256
Installation
Zum Abschluss hin kann dann unter Ubuntu das .deb Paket mit der Gewissheit installiert werden, dass die Software korrekt ist.
sudo apt install ./veracrypt-1.26.20-Ubuntu-24.04-amd64.deb