Wie kann ich eine Signatur in Gpg4win erstellen und überprüfen?
Einführung in Gpg4win
Gpg4win ist eine Windows-Distribution von GnuPG, die es ermöglicht, Dateien und Nachrichten digital zu signieren, zu verschlüsseln und zu überprüfen. Eine digitale Signatur garantiert die Echtheit und Unverändertheit einer Datei oder Nachricht, indem sie zeigt, dass sie tatsächlich vom angegebenen Absender stammt.
Signatur erstellen
Um eine Signatur mit Gpg4win zu erstellen, benötigen Sie zunächst ein Schlüsselpaar, bestehend aus einem privaten und einem öffentlichen Schlüssel. Wenn Sie noch keinen Schlüssel erstellt haben, können Sie dies über das Programm Kleopatra tun, das mit Gpg4win ausgeliefert wird. Nach der Erstellung oder Import Ihres Schlüssels verwenden Sie die Benutzeroberfläche oder die Kommandozeile, um eine Datei zu signieren.
In Kleopatra wählen Sie die Datei aus, die Sie signieren möchten. Klicken Sie mit der rechten Maustaste auf die Datei und wählen Sie Signieren aus dem Kontextmenü. Es erscheint ein Dialogfenster, in dem Sie Ihren privaten Schlüssel auswählen und ggf. eine Passphrase eingeben müssen. Sie können zwischen einer eingebetteten Signatur (signierte Datei enthält sowohl Inhalt als auch Signatur) oder einer separaten Signaturdatei wählen. Nach Bestätigung wird die Datei signiert und die Signatur erzeugt.
Alternativ können Sie die Kommandozeile verwenden. Öffnen Sie die Windows-Eingabeaufforderung oder PowerShell und verwenden Sie den Befehl:
gpg --sign dateiname.txtDieser Befehl erstellt eine signierte Datei im binären Format. Wenn Sie eine separate Signaturdatei erzeugen möchten, die die Originaldatei unangetastet lässt, verwenden Sie:
gpg --detach-sign dateiname.txtDadurch entsteht eine Datei dateiname.txt.sig, die die Signatur enthält.
Signatur überprüfen
Zur Überprüfung der Signatur wird die Datei beziehungsweise die separate Signaturdatei mit dem öffentlichen Schlüssel des Absenders validiert. In Kleopatra können Sie eine Datei einfach per Datei öffnen öffnen oder im Kontextmenü Überprüfen verwenden. Kleopatra zeigt an, ob die Signatur gültig ist und welcher Schlüssel zur Signatur verwendet wurde.
Auf der Kommandozeile verwenden Sie den Befehl:
gpg --verify dateiname.txt.sig dateiname.txtWenn die Signatur in die Datei eingebettet ist, genügt:
gpg --verify dateiname.txtGpg gibt eine Meldung aus, ob die Signatur gültig ist und mit welchem Schlüssel sie erzeugt wurde. Voraussetzung ist, dass der öffentliche Schlüssel des Absenders im Schlüsselbund vorhanden ist. Ansonsten müssen Sie diesen zuerst importieren, beispielsweise mit:
gpg --import öffentlicher_schlüssel.ascZusammenfassung
Mit Gpg4win erstellen Sie digitale Signaturen über Kleopatra oder die Kommandozeile. Dazu verwenden Sie Ihren privaten Schlüssel zur Signaturerstellung und den öffentlichen Schlüssel zur Verifizierung. Die digitale Signatur stellt sicher, dass ein Dokument authentisch ist und seit der Signierung nicht verändert wurde.