PGP

Die PGP-Signatur kann wie folgt geprüft werden:

1a) Mit diesem Befehl wird der Schlüssel direkt vom PGP-Key-Server heruntergeladen und importiert (alles in einer Zeile):

$ gpg --receive-keys
"7314 FBDE 7D38 EE56 10D2  91B6 5A8E D9CF C0DB 6C70"

1b) Alternativ kann der Schlüssel auch manuell heruntergeladen werden. Öffne hierzu die Webseite eines PGP-Key-Servers (z.Bsp. keys.openpgp.org) und speichere den Schlüssel unter dem Dateinamen »info@willuhn.de.asc« ab. Importiere die Datei anschließend mit diesem Befehl in dem Verzeichnis, in dem sich »info@willuhn.de.asc« befindet:

$ gpg --import info@willuhn.de.asc

2) Führe nun folgende Befehle für die Verifizierung in dem Verzeichnis aus, in dem sich »hibiscus.zip« und »hibiscus.zip.asc« befinden:

$ gpg --verify hibiscus.zip.asc

Folgende Ausgaben müssen nun erscheinen:

gpg: Signature made <datum> using RSA key ID C0DB6C70
gpg: Good signature from "Olaf Willuhn "

Der folgende zusätzliche Warnhinweis wird ggf. angezeigt, falls Du dem PGP-Schlüssel noch nicht "vertraust".

gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.

Mit diesen beiden Befehlen kannst Du dir die "long Key ID" des Schlüssels anzeigen lassen und diesem das Vertrauen aussprechen.

$ gpg --with-colons --list-keys "info@willuhn.de"
$ gpg --trusted-key 5A8ED9CFC0DB6C70 --update-trustdb

SHA

Die SHA-Checksumme kann mit folgendem Befehl geprüft werden:

$ sha1sum -c hibiscus.zip.SHA