Skip to content

GnuPG für Windows sicher herunterladen

Letzte Woche hielten Roger und Jake vom Tor-Projekt einen Vortrag an der TU München. Die Veranstaltung war eher ein Marathon aus Fragen und Antworten. Dabei erwähnten die beiden auch, dass es unter Windows keine Möglichkeit gäbe, die Software GnuPG sicher herunterzuladen. Ein Versuch bestätigte das. Doch wie kann man als Windows-Nutzer auf sichere Weise zu der Software gelangen?

Verschlüsslung von Mails und Dateien unter Windows erfolgt mit gpg4win. Es gibt eine Downloadseite mit verschiedenen Versionen. Ein digitale Unterschrift zu jeder Datei wird ebenso geboten. Wo liegt also das Problem. Der Download der Dateien erfolgt über HTTP. Das kann beliebig manipuliert werden, ohne das der Anwender etwas merkt. In Ländern wie Syrien, die Bluecoat-Rechner einsetzen, ist die Manipulation der Verbindung bereits jetzt Realität.

Ich fragte bei Intevation, dem Betreiber der Server, nach einer Lösung. Mir schwebte eine SSL/TLS-Verbindung für die Webseite vor. Nach der Antwort ist der komplette Betrieb einer HTTPS-Seite zu aufwändig. Allerdings gibt es für den Fileserver ein selbst-signiertes Zertifikat. Das kann über eine spezielle Seite heruntergeladen werden.

Damit sind alle Komponenten zusammen, um zumindest dem erfahrenen Benutzer einen sicheren Download zu ermöglichen. Ihr solltet dabei folgendermaßen vorgehen:

  1. Besucht die SSL-Seite von Intevation. Mit Stand von August 2013 ist diese Seite durch ein von Geotrust unterschriebenes Zertifikat gesichert. Die aktuellen Browser akzeptieren das Zertifikat bedenkenlos.
  2. Klickt auf das Intevation Root CA 2010. Euer Browser wird fragen, was er mit dem Zertifikat machen soll. Ihr könnt ankreuzen, dass dieses zur Identifizierung von Webseiten dient.
  3. Nun könnt ihr zum Fileserver von gpg4win gehen. Die SSL-Verbindung wird nun ebenfalls akzeptiert.
  4. Auf dem Fileserver wählt ihr die korrekte Datei und ladet die herunter. Daneben könnt ihr auch die Signatur laden und später vergleichen.

Auf dem Wege hat zumindest ein erfahrener Nutzer die Chance, sicher an die ausführbare Datei zu kommen. Viel Spass beim Verschlüsseln! :-)

Trackbacks

No Trackbacks

Comments

Display comments as Linear | Threaded

Kris on :

Hi Jens, ist das nicht von hinten durch die Brust ins Auge geschossen? Die Dateien haben ja einen Hash-Wert, der die Unversehrtheit mit ziemlicher, wenn auch nicht vollständiger, Sicherheit garantiert. Ich vermute, es ist einfacher, ein Zertifikat zu fälschen als einen Hash-Wert - vorausgesetzt, die Webseitenbetreiber behalten den Hash im Auge. Grüße, Kris

Jens Kubieziel on :

Du lädst die Dateien über HTTP herunter. Das heißt, ein Angreifer kann die beliebig manipulieren. Im speziellen Fall kann er Informationen auf der Webseite ändern. Das heißt, er zeigt einfach einen falschen Hashwert auf der Seite an. Der Wert entspricht aber der Datei, die er dir unterjubelt.

GnuPG geht aber noch einen Schritt weiter. Sie bieten eine elektronische Unterschrift an. Jemand lädt GnuPG für Windows runter und kann mit dem Programm dann die Unterschrift prüfen. Doch was würde passieren, wenn bereits die Datei manipuliert ist? Dann lässt sich auch die Ausgabe manipulieren.

Daher braucht man den Umweg, den ich oben beschrieben habe.

Add Comment

Enclosing asterisks marks text as bold (*word*), underscore are made via _word_.
Standard emoticons like :-) and ;-) are converted to images.
BBCode format allowed
E-Mail addresses will not be displayed and will only be used for E-Mail notifications.

To prevent automated Bots from commentspamming, please enter the string you see in the image below in the appropriate input box. Your comment will only be submitted if the strings match. Please ensure that your browser supports and accepts cookies, or your comment cannot be verified correctly.
CAPTCHA

You can use [geshi lang=lang_name [,ln={y|n}]][/geshi] tags to embed source code snippets.
Form options
cronjob