Installationshinweise

Integrität der erhaltenen Software prüfen

Wir verteilen GnuPG VS-Desktop® und GnuPG Desktop® in der Regel über einen Downloadlink. Vor der Installation sollten Sie die Sicherheit und Vertrauenswürdigkeit der heruntergeladenen Software überprüfen. So stellen Sie sicher, dass keine durch Dritte manipulierte Software auf Ihrem System landet.

Hierfür bieten wir Ihnen drei abgestufte Verfahren an:

  • Überprüfung der Authenticode-Signatur: Der Windows-Installer (MSI-Paket) trägt eine Authenticode-Signatur der g10 Code GmbH, welche die Authentizität sichert. Windows überprüft diese Signatur automatisch während der Installation. Sollte ein Fehler auftreten, fordert das System weitere Sicherheitsbestätigungen, bevor es die Installation zulässt.
  • SHA-256-Prüfsumme zur manuellen Überprüfung: Zusammen mit dem Downloadlink erhalten Sie eine SHA-256-Prüfsumme (64 hexadezimale Zeichen) für den Installer (Windows) oder das AppImage (Linux). Wenn Sie die Mail als vertrauenswürdig einstufen, nutzen Sie diese Prüfsumme zur Überprüfung. Sie können auch die qualifizierte Signatur des Prüfsummendokuments (Versionen 3.1.26, 3.2.0, 3.2.1, 3.2.2, 3.2.3, 3.2.4) heranziehen und diese mit den angegebenen Prüfsummen abgleichen.
  • OpenPGP-Signatur für höchste Sicherheit: Von uns bereitgestellte Software liefern wir mit einer OpenPGP-Signatur aus, die wir in einem abgesicherten Prozess erstellen. Für die Überprüfung benötigen Sie eine OpenPGP-kompatible Software. Das kann eine bereits installierte ältere Version von GnuPG (VS)-Desktop®, die Community-Version Gpg4win oder das Kommandozeilentool gpg unter Linux sein.

Überprüfung mit der OpenPGP-Signatur

Falls Sie bereits eine ältere Version von GnuPG (VS)-Desktop® installiert haben, können und sollten Sie diese zur Prüfung benutzen. Dazu laden Sie die aktuellen öffentlichen Schlüssel des GnuPG-Projekts herunter:

Speichern Sie die Datei ab und importieren Sie sie mit Kleopatra (Datei / Importieren). Anschließend taucht in der Liste der importierten Zertifikate ein neuer Eintrag auf:

Als Nächstes beglaubigen Sie die Schlüssel. Wie das geht, ist unter anderem in der Kleopatra-Hilfe („Verschlüsseln und Signieren mit GnuPG VS-Desktop“) beschrieben. Die nötigen Fingerprints der Schlüssel finden Sie unter https://gnupg.org/signature_key.html. Die Finterprints veröffentlichen wir außerdem mit allen Release-Ankündigungen des GnuPG-Projekts auf unserer Mailingliste GnuPG-Announce. Zudem steht Ihnen ein signiertes Dokument zur Verfügung: https://gnupg.org/signature-key.pdf

In der Regel reicht es, wenn Sie den GnuPG.com-Schlüssel beglaubigen, da dieser normalerweise für die Signatur verwendet wird. Jedoch kann aus betrieblichen Gründen gelegentlich ein anderer Schlüssel zum Einsatz kommen – keine Sorge, alle diese Schlüssel besitzen dieselbe Gültigkeit. Nach der Beglaubigung sollte die Liste der importierten Zertifikate in Kleopatra so aussehen:

Einige der Schlüssel sind als VS-NfD-konform markiert. Doch selbst diejenigen, die nicht als konform gekennzeichnet sind, sind für diesen speziellen Einsatzbereich ebenso geeignet. Entscheidend ist, dass sie als beglaubigt markiert sind.

Das Ergebnis der Prüfung mit einer bereits installierten Version von GnuPG (VS)-Desktopp® oder Gpg4win sollte so aussehen:

Jetzt können Sie GnuPG (VS)-Desktop® installieren bzw. aktualisieren.

Überprüfung mit der SHA-256-Prüfsumme

Wenn Sie GnuPG (VS)-Desktop® zum ersten Mal installieren oder falls Sie keine Möglichkeit haben, die OpenPGP-Signatur zu überprüfen, gibt es eine Alternative: Sie können die mitgelieferte SHA-256-Prüfsumme verwenden, um die Authentizität der heruntergeladenen Datei zu überprüfen.

Unter Windows öffnen Sie dazu die Eingabeaufforderung, wechseln in den Ordner, der den MSI Installer enthält, und rufen das Programm certutil auf:

C:\Users\user\Downloads>certutil -hashfile GnuPG-VS-Desktop-3.1.20.7-Standard.msi sha256
SHA256-Hash von GnuPG-VS-Desktop-3.1.20.7-Standard.msi:
d3a032d85e289aff0d8e945a9eb18823538607f47cd5c6dd2b6c44829d2587f0
CertUtil: -hashfile-Befehl wurde erfolgreich ausgeführt.

Sie können diese Prüfung auch unter Linux durchführen; dazu verwenden Sie das Programm sha256sum:

user@example:~/Downloads$ sha256sum GnuPG-VS-Desktop-3.1.20.7-Standard.msi
d3a032d85e289aff0d8e945a9eb18823538607f47cd5c6dd2b6c44829d2587f0  GnuPG-VS-Desktop-3.1.20.7-Standard.msi

Vergleichen Sie die Ausgabe mit der Prüfsumme, die Sie entweder per Mail oder aus der Prüfsummendatei (wie oben erwähnt) erhalten haben. Achten Sie darauf, dass die 64 hexadezimalen Zeichen der berechneten Prüfsumme exakt mit der bereitgestellten übereinstimmen.

Ist das nicht der Fall, kontrollieren Sie zunächst, ob Sie den korrekten Downloadlink verwendet haben und dass der Download vollständig abgeschlossen ist. Sollten die Prüfsummen nicht übereinstimmen, installieren Sie die Software auf keinen Fall! In einem solchen Fall bitten wir Sie, uns umgehend über das Problem zu informieren, damit wir entsprechende Maßnahmen ergreifen und die Sicherheit für alle Anwender:innen gewährleisten können. Ihre Aufmerksamkeit und Sorgfalt tragen entscheidend zur Sicherheit unserer Software bei.

Installation unter Windows

Um die Software unter Windows zu installieren, rufen Sie die MSI-Datei auf. Dazu benötigen Sie Adminstratorrechte. Führen Sie lediglich die Installation mit Administratorrechten aus, starten Sie das Programm selbst als normaler Benutzer.

Der MSI-Installer unterstützt einige Parameter, welche die Installation beeinflussen. Um diese zu verwenden, starten Sie die Installation über die Windows-Eingabeaufforderung im Administratormodus, zum Beispiel so:

msiexec /quiet /i GnuPG-VS-Desktop-3.2.x.n-Standard.msi INST_GPGOL=false ALLUSERS=1

Der Parameter INST_GPGOL=false verhindert die Installation der GpgOL-Outlook-Erweiterung. Weitere mögliche Parameter sind:

INST_GPGOL=inactive

GpgOL wird installiert, muss aber manuell über die Outlook-Add-in-Optionen aktiviert werden. Der dazu gehörige Registry-Schlüssel zur Aktivierung ist:

(HKCU/HKLM)\Software\Microsoft\Office\Outlook\Addins\GNU.GpgOL LoadBehavior (REG_DWORD) 3
INST_GPGEX=false

Im Kontextmenü des Explorers werden keine Einträge für GnuPG (VS)-Desktop® hinzugefügt.

INST_BROWSER=true

Die Erweiterung zur Unterstützung von Webbrowsern wird installiert. Beachten Sie, dass diese Erweiterung möglicherweise nicht mit VS-NfD-Daten zulässig ist.

INST_Okular=true

Der PDF-Viewer Okular wird in der GnuPG-Edition installiert.

HOMEDIR=h:\gnupg

Passt die Speicherung der benutzerspezifischen Daten an; diese liegen dann nicht mehr in %APPDATA%, (Standard) sondern im angegebenen Unterordner des Laufwerks h:.

Beachten Sie: Dieser Ordner muss bereits existieren, wenn Sie die Anwendung starten!

Um Umgebungsvariablen in diesem Pfad zu verwenden, starten Sie die Installation mit dem Schalter /v, zum Beispiel so:

cmd /v /c msiexec /quiet /i GnuPG-VS-Desktop-3.2.x.n-Standard.msi HOMEDIR="%USERPROFILE%\gnupg"

In einer Batchdatei verwenden Sie doppelte Prozentzeichen (%%) anstelle des einfachen Prozentzeichens (%).

AUTOSTART=true

Startet Kleopatra automatisch beim Login, was vor allem den ersten Aufruf zum Verschlüsseln und Signieren von Dateien stark beschleunigt. Sie finden das Programm dann als Symbol (Icon) im Systemtray.

INST_DESKTOP=true

Installiert eine Startverknüpfung für Kleopatra auf dem Desktop.

DEFAULT_ALL_SMIME=true

Verknüpft Kleopatra zusätzlich mit den von Windows verwendeten S/MIME-Dateitypen.
(.p10, .p12, .pfx, p7c, .cer, .der, .crt) [seit 3.1.24.0]

Installation unter Linux

Kopieren Sie das heruntergeladene AppImage in ein bin-Verzeichnis, das in Ihrem System-Pfad (PATH) enthalten ist. Machen Sie die Datei ausführbar:

chmod +x gnupg-vs-desktop-3.2.m.n-x86_64.AppImage

Anschließend starten Sie das Programm einmalig als Benutzer root mit der Option -c. Dies dient dazu, die erforderlichen Konfigurationsdateien zu installieren.

GnuPG (VS)-Desktop® verwendet unter Linux zwei verschiedene Verzeichnisse zum Speichern: das systemweite Verzeichnis /etc/gnupg-vsd und das Verzeichnis ~/.gnupg-vsd im Home-Verzeichnis des jeweiligen Benutzers. Diese Trennung sorgt dafür, dass keine Konflikte mit einer bereits im System vorhandenen Version von GnuPG entstehen.