Sicherer Download

March 14, 2025

PGP Signatur Gnupg Checksumme SHA256

Wenn ein Softwarepaket per Hand heruntergeladen wird, sollte immer überprüft werden, ob das Paket auch wirklich vom Entwickler stammt. Diese Vorgehensweise machen auch auch alle Paketmanager bei APT bzw. RPM Pakete oder wenn eine Linux-Distribution wie Ubuntu heruntergeladen wird. Ich habe als Beispiel Veracrypt auf Echtheit überprüft.

Pakete herunterladen

Auf folgender Seite können die Pakete heruntergeladen werden:

https://www.veracrypt.fr/en/Downloads.html

Am Besten ist es wenn alle Downloads in ein Verzeichnis abgespeichert werden. Ich habe am Beispiel von Ubuntu 24.04 die Dateien heruntergeladen mit den jeweiligen PGP Signaturen.

veracrypt-1.26.20-sha256sum.txt
veracrypt-1.26.20-sha256sum.txt.sig
veracrypt-1.26.20-Ubuntu-24.04-amd64.deb.sig
veracrypt-1.26.20-Ubuntu-24.04-amd64.deb
VeraCrypt_PGP_public_key.asc

PGP-Key importieren

Alle Dateien und Pakete werden mittels Public-Key von den Entwicklern signiert. Dazu müssen wir aber zuerst den Public-Key mit Hilfe von dem Programm Gnugp importieren:

gpg --import VeraCrypt_PGP_public_key.asc

Anschließend kann dieser mittels dem Befehl aufgelistet werden:

gpg --list-keys

Ausgabe:

pub   rsa4096 2018-09-11 [SC]
      5069A233D55A0EEB174A5FC3821ACD02680D16DE
uid        [ unbekannt] VeraCrypt Team (2018 - Supersedes Key ID=0x54DDD393) <veracrypt@idrix.fr>
sub   rsa4096 2018-09-11 [E]
sub   rsa4096 2018-09-11 [A]

Signaturen überprüfen

Als nächster Schritt werden die heruntergeladene Dateien zusammen mit den Signaturen geprüft, ob diese auch wirklich mit dem Public-Key übereinstimmt.

gpg --verify veracrypt-1.26.20-sha256sum.txt.sig  veracrypt-1.26.20-sha256sum.txt

Die Ausgabe sollte wie folgt aussehen:

gpg: Signatur vom Mi 05 Feb 2025 13:24:36 CET
gpg:                mittels RSA-Schlüssel 5069A233D55A0EEB174A5FC3821ACD02680D16DE
gpg: Korrekte Signatur von "VeraCrypt Team (2018 - Supersedes Key ID=0x54DDD393) <veracrypt@idrix.fr>" [unbekannt]
gpg: WARNUNG: Dieser Schlüssel trägt keine vertrauenswürdige Signatur!
gpg:          Es gibt keinen Hinweis, daß die Signatur wirklich dem vorgeblichen Besitzer gehört.
Haupt-Fingerabdruck  = 5069 A233 D55A 0EEB 174A  5FC3 821A CD02 680D 16DE

Jetzt sollte “Korrekte Signatur von …” angezeigt werden. Anschließend wird das gleiche Prozedere mit dem .deb Paket durchgeführt.

gpg --verify veracrypt-1.26.20-Ubuntu-24.04-amd64.deb.sig  veracrypt-1.26.20-Ubuntu-24.04-amd64.deb

Checksumme prüfen

Anschließend wird die Checksumme des .deb Pakets überprüft. Mithilfe der Textdatei veracrypt-1.26.20-sha256sum.txt werden alle die darin befindlichen Einträge mit dem Paket abgeglichen, welches sich im gleichen Verzeichnis befindet. Wenn dies erfolgreich war, dann wurde das Paket ohne Fehler heruntergeladen:

sha256sum --check veracrypt-1.26.20-sha256sum.txt 2>&1 | grep OK

Es sollte ein OK als Ausgabe angezeigt werden. Wenn dies nicht der Fall ist, ist die Überprüfung fehlgeschlagen. Dann sollte erneut das Paket heruntergeladen werden.

veracrypt-1.26.20-Ubuntu-24.04-amd64.deb: OK

Wer das unter Windows versuchen möchte, der kann es mit folgendem Befehl und dem entsprechenden Windows Paket in der Powershell durchführen:

CertUtil -hashfile <Paketname> SHA256

Installation

Zum Abschluss hin kann dann unter Ubuntu das .deb Paket mit der Gewissheit installiert werden, dass die Software korrekt ist.

sudo apt install ./veracrypt-1.26.20-Ubuntu-24.04-amd64.deb