Anleitung zum Überprüfen der Signatur

Die vom JAP-Team erzeugten ausführbaren Dateien sowie die Selbstverpflichtungen der Mix-Betreiber sind digital signiert worden. Dadurch soll der Benutzer die Möglichkeit haben, zu überprüfen, ob es sich bei den Dateien, die er sich heruntergeladen hat, wirklich um die Dateien vom JAP-Team (bzw. vom Mix-Betreiber) handelt. Der Benutzer kann mit Hilfe der digitalen Signatur feststellen, ob die Dateien evtl. bei der Übertragung beschädigt wurden oder sogar durch Dritte manipuliert worden sind.
Im folgenden wird das Vorgehen für zwei der gebräuchlichsten Programme beschrieben. Es handelt sich dabei zum einen um die Software "Pretty Good Privacy" (PGP) und zum anderen um den "Gnu Privacy Guard" (GPG). Nachfolgend wird davon ausgegangen, dass Sie die jeweilige Software bereits installiert haben. Wie Sie dazu vorgehen, lesen Sie hier (PGP, GPG).

• Anleitung für GPG
• Anleitung für PGP

Anleitung für GPG:

Wenn Sie GPG erfolgreich heruntergeladen und installiert haben, importieren Sie den PGP-Schlüssel des JAP-Teams. Geben Sie dazu folgendes an der Eingabeaufforderung ein:
gpg --import jappgp.asc
Jetzt können Sie die Korrektheit dieses Schlüssels überprüfen, indem Sie den Fingerprint des importierten Schlüssels mit dem folgenden vergleichen. Der Fingerprint lautet: B965 99E4 05EB 4202 895C 27DC D022 60C9 73EE 1DD1

Den Fingerprint Ihres importierten Schlüssels können Sie ermitteln, indem Sie
gpg --edit-key jap
an der Eingabeaufforderung eingeben und nach dem nun angeziegten "Command >"
fpr
eintippen. Jetzt wird Ihnen der Fingerprint Ihres heruntergeladenen JAP-Schlüssels angezeigt. Diesen können Sie mit dem weiter oben angegebenen Fingerprint vergleichen und im Falle der Übereinstimmung den JAP-Schlüssel signieren. Auf Ihrem Bildschirm sollte weiterhin ein "Command >" angezeigt sein. In diesem Fall geben Sie einfach
sign
ein. Sollte bei Ihnen auf dem Bildschirm kein "Command >" mehr stehen, geben sie noch einmal
gpg --edit-key jap
und anschliessend beim "Command >" dann
sign
ein. Um zur normalen Eigabeaufforderung wieder zurück zu gelangen, geben Sie jetzt nach dem "Command >"
save
ein. Um jetzt die Überprüfung der Authentizität der jeweiligen Datei vorzunehmen, müssen sich, der Einfachheit halber, die Signatur und die signierte Datei im selben Verzeichniss befinden. Die nachfolgende Befehlszeile überprüft die Authentizität der Datei "JAP.jar" mit der Signatur "JAP.jar.sig":
gpg --verify JAP.jar.sig JAP.jar
Im anschliessenden Statusbericht sollte dann das Erzeugungsdatum der Signatur und der Text "...Good signature from...JAP-Team..." stehen. Damit ist die geprüfte Datei als authentisch befunden worden.

Anleitung für PGP:

Wenn Sie PGP erfolgreich heruntergeladen und installiert haben, importieren Sie den PGP-Schlüssel des JAP-Teams. Klicken Sie dazu einfach doppelt auf die von Ihnen heruntergeladene .asc-Datei und wählen im darauf angezeigten Fenster "importieren". Jetzt können Sie die Korrektheit dieses Schlüssels überprüfen, indem Sie den Fingerprint des importierten Schlüssels mit dem folgenden vergleichen. Der Fingerprint lautet: B965 99E4 05EB 4202 895C 27DC D022 60C9 73EE 1DD1

Den Fingerprint Ihres importierten Schlüssels können Sie ermitteln, indem Sie PGPkeys aufrufen, mit der rechten Maustaste auf den Schlüssel des JAP-Teams klicken und "Key Properties" wählen.
Im Abschnitt "Fingerprint" muss das Kontrollkästchen "Hexadecimal" noch aktiviert werden. Es sollte bei Ihnen dann wie in oben dargestellter Grafik aussehen.
Wenn Sie Sich davon überzeugt haben, dass der Fingerprint des von Ihnen heruntergeladenen JAP-Schlüssels mit dem auf unserer Website veröffentlichten übereinstimmt, können Sie den JAP-Schlüssel signieren. Klicken Sie dazu mit der rechten Maustaste auf den JAP-Schlüssel und wählen Sie "signieren". Anschliessend wählen Sie wieder den Eigenschaften-Dialog des JAP-Schlüssels und bewegen den Schieberegler im Bereich "Trust Model" von "Untrusted" in die Stellung "Trusted".

Jetzt kann mit der eigentlichen Prüfung der Authentizität der jeweiligen Datei begonnen werden. Dazu laden Sie sich bitte die der Datei entsprechende Signatur herunter. Achten Sie darauf, dass sich die Signaturdatei im selben Verzeichnis wie die zu überprüfende Datei befindet. Nun können Sie die Signatur der entsprechenden Datei überprüfen, indem Sie einfach doppelt auf die Signaturdatei klicken. Auf Ihrem Bildschirm sollte sich ein neues Fenster geöffnet haben, das wie im nachfolgenden dargestellt oder so ähnlich aussieht. Es ist wichtig, dass in der Spalte, die mit "Validity" bezeichnet ist, ein grüner Punkt oder ein ausgefüllter Balken zu sehen ist. Ausserdem darf in der "Signed" Spalte nicht "Bad Signature" stehen.