GnuPG für Windows sicher herunterladen
Letzte Woche hielten Roger und Jake vom Tor-Projekt einen Vortrag an der TU München. Die Veranstaltung war eher ein Marathon aus Fragen und Antworten. Dabei erwähnten die beiden auch, dass es unter Windows keine Möglichkeit gäbe, die Software GnuPG sicher herunterzuladen. Ein Versuch bestätigte das. Doch wie kann man als Windows-Nutzer auf sichere Weise zu der Software gelangen?
Verschlüsslung von Mails und Dateien unter Windows erfolgt mit gpg4win. Es gibt eine Downloadseite mit verschiedenen Versionen. Ein digitale Unterschrift zu jeder Datei wird ebenso geboten. Wo liegt also das Problem. Der Download der Dateien erfolgt über HTTP. Das kann beliebig manipuliert werden, ohne das der Anwender etwas merkt. In Ländern wie Syrien, die Bluecoat-Rechner einsetzen, ist die Manipulation der Verbindung bereits jetzt Realität.
Ich fragte bei Intevation, dem Betreiber der Server, nach einer Lösung. Mir schwebte eine SSL/TLS-Verbindung für die Webseite vor. Nach der Antwort ist der komplette Betrieb einer HTTPS-Seite zu aufwändig. Allerdings gibt es für den Fileserver ein selbst-signiertes Zertifikat. Das kann über eine spezielle Seite heruntergeladen werden.
Damit sind alle Komponenten zusammen, um zumindest dem erfahrenen Benutzer einen sicheren Download zu ermöglichen. Ihr solltet dabei folgendermaßen vorgehen:
- Besucht die SSL-Seite von Intevation. Mit Stand von August 2013 ist diese Seite durch ein von Geotrust unterschriebenes Zertifikat gesichert. Die aktuellen Browser akzeptieren das Zertifikat bedenkenlos.
- Klickt auf das Intevation Root CA 2010. Euer Browser wird fragen, was er mit dem Zertifikat machen soll. Ihr könnt ankreuzen, dass dieses zur Identifizierung von Webseiten dient.
- Nun könnt ihr zum Fileserver von gpg4win gehen. Die SSL-Verbindung wird nun ebenfalls akzeptiert.
- Auf dem Fileserver wählt ihr die korrekte Datei und ladet die herunter. Daneben könnt ihr auch die Signatur laden und später vergleichen.
Auf dem Wege hat zumindest ein erfahrener Nutzer die Chance, sicher an die ausführbare Datei zu kommen. Viel Spass beim Verschlüsseln!
Comments
Display comments as Linear | Threaded
Kris on :
Jens Kubieziel on :
GnuPG geht aber noch einen Schritt weiter. Sie bieten eine elektronische Unterschrift an. Jemand lädt GnuPG für Windows runter und kann mit dem Programm dann die Unterschrift prüfen. Doch was würde passieren, wenn bereits die Datei manipuliert ist? Dann lässt sich auch die Ausgabe manipulieren.
Daher braucht man den Umweg, den ich oben beschrieben habe.