🔐 Open-Source verstehen – Teil 2: Wie man Software richtig prüft

(Digitale Signaturen, Checksums & Vertrauen – einfach erklärt)

Wer Open-Source nutzt – egal ob Debian, Ubuntu, postmarketOS, Fedora, Arch oder andere – arbeitet immer auch mit Paketen, also kleinen Software-Bausteinen.
Damit diese Pakete sicher sind und nicht manipuliert wurden, besitzt jedes seriöse Linux-System eingebaute Sicherheitsmechanismen, die wir in diesem Teil einfach erklären.

🧠 Warum muss man Pakete überhaupt prüfen?

Jedes Linux-Paket wird in der Regel digital signiert:
mit GPG / OpenPGP, einem kryptografischen Verfahren.

Die digitale Signatur stellt sicher, dass:

das Paket vom echten Entwickler stammt

es unterwegs nicht verändert wurde

die Quelle (Repository) authentisch ist

keine Schadsoftware eingeschleust wurde

Damit hat Linux von Haus aus einen höheren Sicherheitsstandard als Windows oder macOS – wenn man die Signaturhinweise beachtet.

🧩 Wie prüft man die Echtheit?
(Beispiele für Debian, Ubuntu & postmarketOS)

Es gibt viele Wege – aber alle basieren auf dem gleichen Prinzip:
Wurde die digitale Signatur erfolgreich geprüft oder nicht?

🔹 1. Paketlisten aktualisieren (und Warnungen ernst nehmen)

Beim Aktualisieren zeigt Debian/Ubuntu die Signaturen automatisch an:

sudo apt update

Wenn alles korrekt ist → läuft ohne Warnungen durch.

Wenn etwas nicht stimmt, erscheint:

W: GPG error: … The following signatures couldn’t be verified…

Das bedeutet:

❌ Die Echtheit des Repositorys kann nicht bestätigt werden
❌ Pakete könnten manipuliert sein
❌ Keine Updates installieren!

Solche Warnungen niemals ignorieren.

🔹 2. Wo speichert Debian die vertrauenswürdigen Schlüssel?

Die Schlüssel für alle Paketquellen liegen hier:

ls /etc/apt/trusted.gpg.d/

Dort befindet sich jeder Schlüssel, dem dein System vertraut.
Fehlt ein Schlüssel → kann APT Updates nicht verifizieren

🔹 3. Manuelle Prüfung bei Downloads (ISO, .deb, tar.xz)

Wenn du Software außerhalb eines Repos herunterlädst (z. B. GitHub, Gnome.org, KDE.org), findest du oft diese Dateien:

software.tar.xz (die Datei selbst)

software.tar.xz.asc (digitale Signatur)

software.tar.xz.sha256 (Hash-Prüfsumme)

Hash prüfen: sha256sum DATEI.iso

Ausgabe vergleichen → muss exakt übereinstimmen.

Signatur prüfen: gpg –verify DATEI.asc DATEI

Wenn korrekt signiert:

✔ „Good signature from …“

Wenn nicht:

❌ „BAD signature“ → Datei löschen, nicht benutzen.

🔹 4. postmarketOS / Alpine Linux (apk)

postmarketOS nutzt apk, ein extrem strenges und modernes Paket-System.
Die Schlüssel liegen hier: ls /etc/apk/keys/

Wenn bei dir apk update fehlschlägt, liegt es fast immer an:

fehlenden Schlüsseln

veralteten Schlüsseln

defekter Zeiteinstellung (sehr häufig!)

defekten Repository-Servern

🛡️ Warum diese Prüfungen so wichtig sind

Linux ist ein offenes System – und genau deshalb ist Transparenz so zentral.
Man ist nicht auf „Blindes Vertrauen in eine Firma“ angewiesen, sondern auf:

Kryptografie

Signaturen

Öffentliche Schlüssel

Offene Verfahren

Die größte Gefahr entsteht, wenn man Warnungen ignoriert wie:

„Signature could not be verified“

Darum gilt:

✔ Warnungen ernst nehmen
✔ Schlüssel prüfen
✔ Repositories im Blick behalten

So bleibt das System sicher – ganz egal ob Laptop, Server oder Smartphone.

💬 Fazit

Linux bietet eines der sichersten Paket-Systeme der Welt – aber es funktioniert nur richtig, wenn man ihm aufmerksam folgt.

Du musst kein Experte sein.
Du musst nur wissen, worauf du achten solltest:

Stimmen die Signaturen?

Gibt es Warnungen?

Kommt das Paket aus einer offiziellen Quelle?

Dann bist du auf der sicheren Seite.

🧠 Warum man Pakete prüfen sollte