Versionen vergleichen
Verifizierung eines Thunderbird-Installationspakets
Version 289699:
Version 289699 von Artist am
Version 289705:
Version 289705 von Artist am
Schlüsselwörter:
thunderbird verifizierung download
thunderbird verifizierung download
Zusammenfassung für die Suchergebnisse:
So verifizieren Sie ein Thunderbird-Installationspaket, das von thunderbird.net oder archive.mozilla.org heruntergeladen wurde.
So verifizieren Sie ein Thunderbird-Installationspaket, das von thunderbird.net oder archive.mozilla.org heruntergeladen wurde.
Inhalt:
Nach dem [https://www.thunderbird.net/download/?downloaded=True&download_channel=esr Herunterladen eines Installationspakets] von der Website thunderbird.net oder direkt aus [https://archive.mozilla.org/pub/thunderbird/releases/ Thunderbirds Softwarearchiv] können Sie prüfen, ob der Download vollständig und korrekt erfolgte. Optional können Sie zusätzlich prüfen, ob es sich um ein authentisches Paket von Mozilla handelt.
Für jede Version existiert ein Wurzelverzeichnis mit Unterverzeichnissen für die verschiedenen Betriebssysteme, in denen die Installationspakete enthalten sind. Im Wurzelverzeichnis jeder Version finden Sie eine Textdatei mit dem Namen ''SHA256SUMS''.
=Prüfen, ob der Download des Installationspakets korrekt und authentisch erfolgte=
#Wählen Sie das Ihrem Betriebssystem und Ihrer Sprache entsprechende Installationspaket und laden Sie es herunter.
#Berechnen Sie mit einem Tool die ''SHA256''-hashsum (das ist eine Art Prüfsumme) der heruntergeladenen Datei und behalten Sie diese zum späteren Vergleich auf Ihrem Bildschirm.
#Gehen Sie zu Ihrem Browser zurück und sehen Sie sich die ''SHA256''-Datei für die heruntergeladene Version an.
#Suchen Sie die Zeile, die die Sprache und den Namen der von Ihnen heruntergeladenen Datei enthält. In derselben Zeile wird die erwartete hashsum (die Prüfsumme) für die Datei angezeigt. Vergewissern Sie sich, dass diese hashsum dem Ergebnis entspricht, die das Tool zur Berechnung der ''SHA256''-hashsum erzielte.
Wenn Sie die ''SHA256SUMS''-Datei mit einer aktuellen Firefox-Version ansehen, dabei die Datei auf der Website https://archive.mozilla.org verwenden und die hashsums übereinstimmen, ist die Wahrscheinlichkeit sehr hoch, dass Ihr Download korrekt und authentisch ist.
=Prüfen, ob es sich um ein authentisches Paket von Mozilla handelt (optional)=
Wenn Sie sich auch vergewissern möchten, dass Sie die richtige ''SHA256SUMS''-Datei ansehen, weil Sie z. B. die Dateien von einem [https://de.wikipedia.org/wiki/Spiegelserver Spiegelserver (mirror)] heruntergeladen haben, können Sie prüfen, ob die Datei die digitale Signatur des Software-Release-Teams von Mozilla trägt.
#Laden Sie dazu die beiden Dateien ''SHA256SUMS'' und ''SHA256SUMS.asc'' herunter.
#Um die Signatur zu überprüfen, können Sie die GnuPG-Software verwenden. Außerdem müssen Sie im Besitz des aktuellen und offiziellen öffentlichen Schlüssels von Mozilla sein, der zum Signieren dieser Datei verwendet wird.
#*Die GnuPG-Software ist normalerweise in den Linux-Distributionen bereits enthalten. Bei anderen Betriebssystemen finden Sie in deren HOWTO-Dokumenten Anleitungen zur Installation und Verwendung von '''GPG4WIN''' für Windows oder '''GPGTools''' für macOS.
#*Verwenden Sie GnuPG oder eine ähnliche Software, um Mozillas öffentlichen Schlüssel zu importieren, der üblicherweise in Mozillas englischsprachigem Security Blog angekündigt bzw. veröffentlicht wird. Zum Zeitpunkt der Erstellung dieses Dokuments ist das die aktuelle Version: [https://blog.mozilla.org/security/2023/05/11/updated-gpg-key-for-signing-firefox-releases|Updated GPG key for signing Firefox Releases].
#Geben Sie nun folgenden Befehl in GnuPG ein, um die Signatur in der Datei ''SHA256SUMS.asc'' mit den Daten der ''SHA256SUMS''-Datei zu vergleichen: <code>'''$ gpg --verify SHA256SUMS.asc'''</code><br>
#Danach erhalten Sie die Ergebnisse des Vergleichs. In diesem '''Beispiel''' sehen Sie als Ergebnis folgende 8 Zeilen:
;<code>gpg: assuming signed data in 'SHA256SUMS'</code><br>
;<code>gpg: Signature made Di 26 Sep 2023 20:49:02 CEST</code><br>
;<code>gpg: using RSA key ADD7079479700DCADFDD5337E36D3B13F3D93274</code><br>
;<code>gpg: Good signature from "Mozilla Software Releases <release@mozilla.com>" [unknown]</code><br>
;<code>gpg: WARNING: This key is not certified with a trusted signature!</code><br>
;<code>gpg: There is no indication that the signature belongs to the owner.</code><br>
;<code>Primary key fingerprint: 14F2 6682 D091 6CDD 81E3 7B6D 61B7 B526 D98F 0353</code><br>
;<code>Subkey fingerprint: ADD7 0794 7970 0DCA DFDD 5337 E36D 3B13 F3D9 3274</code><br>
;Die Zeilen 7 und 8 geben dabei an, welcher Schlüssel zur Erstellung der digitalen Signatur verwendet wurde. Sie können die Fingerabdrücke in diesen Zeilen mit dem Fingerabdruck im Beitrag des Mozilla Security Blogs vergleichen. Wenn sie übereinstimmen, haben Sie die ''SHA256SUMS''-Datei erfolgreich überprüft.
Nach dem [https://www.thunderbird.net/download/?downloaded=True&download_channel=esr Herunterladen eines Installationspakets] von der Website thunderbird.net oder direkt aus [https://archive.mozilla.org/pub/thunderbird/releases/ Thunderbirds Release-Archiv] können Sie prüfen, ob der Download vollständig und korrekt erfolgte. Optional können Sie zusätzlich prüfen, ob es sich um ein authentisches Paket von Mozilla handelt.
Für jede Version existiert ein Wurzelverzeichnis mit Unterverzeichnissen für die verschiedenen Betriebssysteme, in denen die Installationspakete enthalten sind. Im Wurzelverzeichnis jeder Version finden Sie eine Textdatei mit dem Namen ''SHA256SUMS''.
=Prüfen, ob der Download des Installationspakets korrekt und authentisch erfolgte=
#Wählen Sie das Ihrem Betriebssystem und Ihrer Sprache entsprechende Installationspaket und laden Sie es herunter.
#Berechnen Sie mit einem Tool die ''SHA256''-hashsum (das ist eine Art Prüfsumme) der heruntergeladenen Datei und behalten Sie diese zum späteren Vergleich auf Ihrem Bildschirm.
#Gehen Sie zu Ihrem Browser zurück, öffnen Sie dort das Wurzelverzeichnis (z. B. [https://archive.mozilla.org/pub/thunderbird/releases/128.5.0esr/]) und sehen Sie sich die ''SHA256''-Datei für die heruntergeladene Version an.
#Suchen Sie die Zeile, die die Sprache und den Namen der von Ihnen heruntergeladenen Datei enthält. In derselben Zeile wird die erwartete hashsum (die Prüfsumme) für die Datei angezeigt. Vergewissern Sie sich, dass diese hashsum dem Ergebnis entspricht, die das Tool zur Berechnung der ''SHA256''-hashsum erzielte.
Wenn Sie die ''SHA256SUMS''-Datei mit einer aktuellen Firefox-Version ansehen, dabei die Datei auf der Website https://archive.mozilla.org verwenden und die hashsums übereinstimmen, ist die Wahrscheinlichkeit sehr hoch, dass Ihr Download korrekt und authentisch ist.
=Prüfen, ob es sich um ein authentisches Paket von Mozilla handelt (optional)=
Wenn Sie sich auch vergewissern möchten, dass Sie die richtige ''SHA256SUMS''-Datei ansehen, weil Sie z. B. die Dateien von einem [https://de.wikipedia.org/wiki/Spiegelserver Spiegelserver (mirror)] heruntergeladen haben, können Sie prüfen, ob die Datei die digitale Signatur des Software-Release-Teams von Mozilla trägt.
#Laden Sie dazu die beiden Dateien ''SHA256SUMS'' und ''SHA256SUMS.asc'' herunter.
#Um die Signatur zu überprüfen, können Sie die GnuPG-Software verwenden. Außerdem müssen Sie im Besitz des aktuellen und offiziellen öffentlichen Schlüssels von Mozilla sein, der zum Signieren dieser Datei verwendet wird.
#*Die GnuPG-Software ist normalerweise in den Linux-Distributionen bereits enthalten. Bei anderen Betriebssystemen finden Sie in deren HOWTO-Dokumenten Anleitungen zur Installation und Verwendung von '''GPG4WIN''' für Windows oder '''GPGTools''' für macOS.
#*Verwenden Sie GnuPG oder eine ähnliche Software, um Mozillas öffentlichen Schlüssel zu importieren, der üblicherweise in Mozillas englischsprachigem Security Blog angekündigt bzw. veröffentlicht wird. Zum Zeitpunkt der Erstellung dieses Dokuments ist das die aktuelle Version: [https://blog.mozilla.org/security/2023/05/11/updated-gpg-key-for-signing-firefox-releases|Updated GPG key for signing Firefox Releases].
#Geben Sie nun folgenden Befehl in GnuPG ein, um die Signatur in der Datei ''SHA256SUMS.asc'' mit den Daten der ''SHA256SUMS''-Datei zu vergleichen: <code>'''$ gpg --verify SHA256SUMS.asc'''</code><br>
#Danach erhalten Sie die Ergebnisse des Vergleichs. In diesem '''Beispiel''' sehen Sie als Ergebnis folgende 8 Zeilen:
;<code>gpg: assuming signed data in 'SHA256SUMS'</code><br>
;<code>gpg: Signature made Di 26 Sep 2023 20:49:02 CEST</code><br>
;<code>gpg: using RSA key ADD7079479700DCADFDD5337E36D3B13F3D93274</code><br>
;<code>gpg: Good signature from "Mozilla Software Releases <release@mozilla.com>" [unknown]</code><br>
;<code>gpg: WARNING: This key is not certified with a trusted signature!</code><br>
;<code>gpg: There is no indication that the signature belongs to the owner.</code><br>
;<code>Primary key fingerprint: 14F2 6682 D091 6CDD 81E3 7B6D 61B7 B526 D98F 0353</code><br>
;<code>Subkey fingerprint: ADD7 0794 7970 0DCA DFDD 5337 E36D 3B13 F3D9 3274</code><br>
;Die Zeilen 7 und 8 geben dabei an, welcher Schlüssel zur Erstellung der digitalen Signatur verwendet wurde. Sie können die Fingerabdrücke in diesen Zeilen mit dem Fingerabdruck im Beitrag des Mozilla Security Blogs vergleichen. Wenn sie übereinstimmen, haben Sie die ''SHA256SUMS''-Datei erfolgreich überprüft.