Schlagwort: linux

🔐 Open-Source verstehen – Teil 2: Wie man Software richtig prüft

(Digitale Signaturen, Checksums & Vertrauen – einfach erklärt)

Wer Open-Source nutzt – egal ob Debian, Ubuntu, postmarketOS, Fedora, Arch oder andere – arbeitet immer auch mit Paketen, also kleinen Software-Bausteinen.
Damit diese Pakete sicher sind und nicht manipuliert wurden, besitzt jedes seriöse Linux-System eingebaute Sicherheitsmechanismen, die wir in diesem Teil einfach erklären.

🧠 Warum muss man Pakete überhaupt prüfen?

Jedes Linux-Paket wird in der Regel digital signiert:
mit GPG / OpenPGP, einem kryptografischen Verfahren.

Die digitale Signatur stellt sicher, dass:

das Paket vom echten Entwickler stammt

es unterwegs nicht verändert wurde

die Quelle (Repository) authentisch ist

keine Schadsoftware eingeschleust wurde

Damit hat Linux von Haus aus einen höheren Sicherheitsstandard als Windows oder macOS – wenn man die Signaturhinweise beachtet.

🧩 Wie prüft man die Echtheit?
(Beispiele für Debian, Ubuntu & postmarketOS)

Es gibt viele Wege – aber alle basieren auf dem gleichen Prinzip:
Wurde die digitale Signatur erfolgreich geprüft oder nicht?

🔹 1. Paketlisten aktualisieren (und Warnungen ernst nehmen)

Beim Aktualisieren zeigt Debian/Ubuntu die Signaturen automatisch an:

sudo apt update

Wenn alles korrekt ist → läuft ohne Warnungen durch.

Wenn etwas nicht stimmt, erscheint:

W: GPG error: … The following signatures couldn’t be verified…

Das bedeutet:

❌ Die Echtheit des Repositorys kann nicht bestätigt werden
❌ Pakete könnten manipuliert sein
❌ Keine Updates installieren!

Solche Warnungen niemals ignorieren.

🔹 2. Wo speichert Debian die vertrauenswürdigen Schlüssel?

Die Schlüssel für alle Paketquellen liegen hier:

ls /etc/apt/trusted.gpg.d/

Dort befindet sich jeder Schlüssel, dem dein System vertraut.
Fehlt ein Schlüssel → kann APT Updates nicht verifizieren

🔹 3. Manuelle Prüfung bei Downloads (ISO, .deb, tar.xz)

Wenn du Software außerhalb eines Repos herunterlädst (z. B. GitHub, Gnome.org, KDE.org), findest du oft diese Dateien:

software.tar.xz (die Datei selbst)

software.tar.xz.asc (digitale Signatur)

software.tar.xz.sha256 (Hash-Prüfsumme)

Hash prüfen: sha256sum DATEI.iso

Ausgabe vergleichen → muss exakt übereinstimmen.

Signatur prüfen: gpg –verify DATEI.asc DATEI

Wenn korrekt signiert:

✔ „Good signature from …“

Wenn nicht:

❌ „BAD signature“ → Datei löschen, nicht benutzen.

🔹 4. postmarketOS / Alpine Linux (apk)

postmarketOS nutzt apk, ein extrem strenges und modernes Paket-System.
Die Schlüssel liegen hier: ls /etc/apk/keys/

Wenn bei dir apk update fehlschlägt, liegt es fast immer an:

fehlenden Schlüsseln

veralteten Schlüsseln

defekter Zeiteinstellung (sehr häufig!)

defekten Repository-Servern

🛡️ Warum diese Prüfungen so wichtig sind

Linux ist ein offenes System – und genau deshalb ist Transparenz so zentral.
Man ist nicht auf „Blindes Vertrauen in eine Firma“ angewiesen, sondern auf:

Kryptografie

Signaturen

Öffentliche Schlüssel

Offene Verfahren

Die größte Gefahr entsteht, wenn man Warnungen ignoriert wie:

„Signature could not be verified“

Darum gilt:

✔ Warnungen ernst nehmen
✔ Schlüssel prüfen
✔ Repositories im Blick behalten

So bleibt das System sicher – ganz egal ob Laptop, Server oder Smartphone.

💬 Fazit

Linux bietet eines der sichersten Paket-Systeme der Welt – aber es funktioniert nur richtig, wenn man ihm aufmerksam folgt.

Du musst kein Experte sein.
Du musst nur wissen, worauf du achten solltest:

Stimmen die Signaturen?

Gibt es Warnungen?

Kommt das Paket aus einer offiziellen Quelle?

Dann bist du auf der sicheren Seite.

🧠 Warum man Pakete prüfen sollte

🧠 Warum man Pakete prüfen sollte

(Und wie du dich vor manipulierten Updates schützt)

Wenn du Linux nutzt – egal ob Debian, Ubuntu, postmarketOS, Fedora oder andere Distributionen – installierst du Software immer als sogenannte Pakete:

.deb (Debian / Ubuntu)

.apk (postmarketOS / Alpine Linux)

.rpm (Fedora, Red Hat)

.tar.xz (Quellpakete, Releases auf GitHub usw.)

Damit du sicher sein kannst, dass diese Pakete echt sind, werden sie vom Entwickler oder vom Maintainer kryptografisch signiert – meistens mit GPG / OpenPGP.

Diese Signaturen stellen sicher, dass:

✔ das Paket vom richtigen Entwickler stammt
✔ es nicht manipuliert wurde (z. B. durch Malware)
✔ die Übertragung nicht abgefangen wurde

Das Prüfen von Signaturen gehört zu den wichtigsten Sicherheitsmechanismen im Linux-Universum.

🔍 Wie man die Echtheit prüft

(Beispiele für Debian, Ubuntu & postmarketOS)

Jede Linux-Distribution hat eigene Werkzeuge – aber die Prinzipien sind überall gleich.

🔹 1. Paketlisten aktualisieren (und Warnungen ernst nehmen)

Wenn du bei Debian/Ubuntu eingibst: sudo apt update

und du bekommst eine Warnung wie: W: GPG error: … The following signatures couldn’t be verified
dann heißt das:

❌ Die Signatur konnte nicht überprüft werden
❌ Das Paket ist möglicherweise unsicher
❌ Du solltest KEINE Updates installieren, bevor der Fehler behoben ist

Diese Warnungen NIE ignorieren – sie schützen dich vor manipulierten Repositories.

🔹 2. Vertrauenswürdige Schlüssel anzeigen

APT (Debian/Ubuntu) speichert alle Signaturen der Paketquellen hier: ls /etc/apt/trusted.gpg.d/

Jede Datei dort steht für einen Schlüssel, der für Updates vertraut wird.

Wenn hier ein Schlüssel fehlt → kann APT Updates nicht verifizieren.

🔹 3. Signatur manuell prüfen (z. B. bei Downloads von GitHub)

Wenn du ein .tar.xz oder .iso herunterlädst, findest du oft daneben:

eine Datei .asc (Signatur)

eine Datei .sha256 (Checksummen)

Du kannst damit prüfen:

🔸 Hash prüfen
sha256sum DATEI.iso

→ ergibt eine lange Zeichenkette
→ muss mit der Hersteller-SHA256 übereinstimmen

🔸 Signatur prüfen

gpg –verify DATEI.asc DATEI Wenn alles korrekt ist, erscheint:

✔ Good signature from “NAME DES ENTWICKLERS”

🔹 4. postmarketOS / Alpine Linux (apk-tools)

postmarketOS nutzt apk, nicht apt.

Du prüfst die Repository-Signaturen so:

Repository-Schlüssel anzeigen sudo apk policy
oder:
ls /etc/apk/keys/
Dort liegen die öffentlichen Schlüssel der Maintainer.

Wenn apk update bei dir sofort abbricht, kommt das meistens durch:

fehlende Schlüssel

beschädigte Schlüssel

falsche Zeitzone

falsches Datum des Systems

defekte Repository-Server

Das könnte gefixt werden, sobald du so weit bist.
Doch das würde in einem separaten Blogbeitrag erörtert werden.

🛡️ Warum das Prüfen so wichtig ist

In der Linux-Welt ist das Paket-System eines der sichersten der Welt.
Aber es hängt von dir ab, Warnungen ernst zu nehmen.

Wenn die Signatur nicht stimmt:

🚫 Kein Update installieren
🚫 Kein Paket anfassen
🚫 Repository überprüfen
🚫 Schlüssel aktualisieren

Nur so bleibt dein System wirklich sicher.

Und vor allem:

✔ Dein Server bei Hetzner oder sonstigen Hostern
✔ Dein Laptop
✔ Dein postmarketOS-Smartphone

sind dadurch besser geschützt als jedes Windows-System.

💡 Fazit
Das Prüfen von Paketen ist kein kompliziertes Hacker-Werkzeug, sondern ein eingebauter Schutzmechanismus in jeder Linux-Distribution.
Du brauchst nur:

die Warnungen zu verstehen

und angewöhnen, auf Signaturen zu achten

Dann kann dir fast nichts passieren.

XPhone? Nur wenn Freiheit mitgeliefert wird.

XPhone – Wenn die Freiheit nicht von Google kommt, sondern vom Himmel

Einleitung: und meine Gedanken

Tucker Carlson stellte die Frage, ob wir unser aktuelles Smartphone gegen ein neues XPhone eintauschen würden, wenn es dafür weltweite Starlink-Verbindung gäbe.

Für viele mag das wie eine Spielerei wirken – für mich ist es ein Gedanke, der in eine ganz neue Richtung zeigt. Doch mit einem einfachen Ja oder Nein ist das nicht getan. Es geht um mehr. Es geht um Unabhängigkeit. Es geht um digitale Souveränität. Und es geht darum, wer hier eigentlich wem dient: Der Mensch der Technik, oder die Technik dem Menschen?

Mein Kommentar dazu:

Würde ich mein aktuelles Handy eintauschen gegen ein XPhone?

Meine klare Antwort: Nur wenn …

… es modular wie ein Fairphone ist – mit austauschbarem Akku, Display, Speicher.

… es open-source läuft – kein Android, kein Apple-Lock-In.

… ich root-Zugriff habe – volle Kontrolle.

… es nicht zur digitalen Fußfessel wird, sondern Freiheit bietet – ohne DSA-Zensur, Meldeportale, und übergriffige Tracking-APIs.

… Starlink nicht zur Einbahnstraße wird, sondern mit anderen Netzen kombinierbar ist – weil Vielfalt unser Rückgrat ist, auch im Digitalen.

… und es bezahlbar bleibt – nicht nur für Tech-Eliten.

Was Europa daraus machen würde?

In Europa würden sich sofort Politiker mit Meldeportalen, Zensurstellen und DSGVO-Paragraphen aufstellen. Statt technischer Freiheit gäbe es neue Gängelungen. Statt Innovation gäbe es Regulierung.

Und genau deshalb wäre das XPhone in seiner Vision eine Kampfansage:
Nicht nur an Apple oder Google. Sondern an das gesamte Denken, das unsere digitale Zukunft einschränken will, bevor sie begonnen hat.

💻 Der Weg von Windows zu Linux – Sicherheit, Freiheit und neue Möglichkeiten

Immer mehr Menschen stehen vor einem technischen Umbruch: Windows 10 wird bald nicht mehr unterstützt, aber Windows 11 läuft nicht auf ihrer vorhandenen Hardware. Eine neue Chance tut sich auf – komplett auf Linux umsteigen.

So auch Karsten, der mir eine E-Mail schrieb. Er sucht nach einem sicheren, freien System – ohne auf Komfort verzichten zu wollen. Das Ziel: Debian Linux mit verschlüsseltem /home-Verzeichnis, am liebsten sogar zusätzlich gesichert durch einen Hardware-Token wie Yubikey oder Nitrokey.
🧩 Linux ist nicht gleich Linux – Vielfalt ist Stärke

Wie ich bereits in diesem Beitrag ausführlich dargestellt habe, ist Linux nicht „ein“ System – sondern eine ganze Welt von Distributionen:

Debian – stabil, neutral, perfekt für Lernende

Linux Mint – besonders für Einsteiger gedacht, einfache Bedienung

Ubuntu LTS – langfristige Unterstützung, riesige Community

MX Linux, Fedora, Arch – je nach Wunsch von benutzerfreundlich bis hochflexibel

Für Karsten und alle, die ohne Terminalkenntnisse starten wollen: Mint oder Ubuntu sind super geeignet.
🔐 Sicherheit für unterwegs – Brauche ich eine Festplattenverschlüsselung?

Wenn dein Laptop:

… mit dir auf Reisen geht,

… unbeaufsichtigt im Hotel bleibt,

… sensible Daten enthält,

… dann solltest du dein /home-Verzeichnis verschlüsseln.

Tools wie LUKS2 bieten dafür bewährten Schutz – und lassen sich inzwischen auch mit einem Yubikey oder Nitrokey kombinieren.
🔑 Yubikey vs. Nitrokey – Welche Hardware ist besser?
Merkmal Yubikey Nitrokey
Herkunft USA Deutschland
Open Source Teilweise Vollständig
Formfaktor Sehr kompakt Etwas größer
Kompatibilität Sehr gut dokumentiert Gute Linux-Unterstützung

Empfehlung: Wenn du maximale Transparenz willst → Nitrokey.
Wenn du einen robusten, gut integrierten Token suchst → Yubikey.

🛠️ Praktische Umsetzung unter Debian

Mit dem Paket yubikey-luks lässt sich ein zusätzlicher Schutz beim Booten einbauen. Dann fragt Debian nach deinem Yubikey und einem Passwort. Vorteil: Selbst wenn jemand dein Passwort kennt, kann er dein System ohne Token nicht starten.
📦 Installations-Tipp:

sudo apt install yubikey-luks

Hinweis: /boot bleibt weiterhin unverschlüsselt – der sogenannte Evil Maid Angriff ist damit theoretisch möglich, aber in der Praxis sehr selten.
👨‍👩‍👧‍👦 Für wen lohnt sich Verschlüsselung?
Nutzerprofil Empfehlung
Nur zu Hause, keine sensiblen Daten Nicht zwingend notwendig
Laptop auf Reisen, persönliche Dokumente Ja, /home verschlüsseln
IT-Profis, Aktivisten, Entwickler Ja, vollständige LUKS2-Verschlüsselung empfohlen
Ältere Nutzer mit wenig Technikkenntnis Nur wenn es wirklich nötig ist – und mit Hilfe eingerichtet
📬 Fazit – Deine Freiheit, dein System, dein Schutz

Karstens Anfrage steht für viele, die aktuell nach einer echten Alternative zu Windows suchen. Linux ist längst nicht mehr nur für Experten. Es gibt einfache, grafische Systeme – und du musst das Terminal nicht beherrschen, um sicher unterwegs zu sein.

Ob du dich für Debian, Ubuntu oder Linux Mint entscheidest: Die Entscheidung, dein Gerät mit freier Software und deinem eigenen Sicherheitskonzept zu betreiben, ist ein mutiger Schritt in Richtung digitale Souveränität.

💬 Was denkst du? Nutzt du bereits Hardware-Token? Planst du den Umstieg?
Hinterlasse gerne einen Kommentar – oder teile diesen Beitrag im Fediverse.

Weitere Artikel von mir dazu:

Reblog of MK: Microsoft macht WSL zu Open Source

🎯 Schlagzeile:

Microsoft macht WSL Open Source – Demokratisierung oder Trojanisches Pferd?

🌝 Vorspann:

Mit der Veröffentlichung des Windows Subsystem for Linux (WSL) als Open-Source-Projekt präsentiert sich Microsoft als Freund freier Software. Doch steckt dahinter eine strategische Umarmung – oder ein Versuch, Open Source langfristig zu kontrollieren?

📌 Hintergrund:

Microsoft hat den Quellcode von WSL offiziell auf GitHub veröffentlicht. In mehrere Komponenten gegliedert, umfasst das Projekt Werkzeuge wie wsl.exe, den GUI-Support (wslg) sowie systemnahe Prozesse für Netzwerk und Dateisysteme.

Offiziell will Microsoft so Transparenz fördern und Entwickler stärker einbinden. In der Praxis wird damit ein Kernstück moderner Linux-Nutzung unter Windows in das Open-Source-Ökosystem eingebettet.

❗ Kritische Perspektive:

1. Open Source ≠ freie Machtverhältnisse

Microsoft kontrolliert weiterhin:

das Projekt-Repo (inkl. Pull-Requests),

die technische Ausrichtung,

und die Verteilung über Windows Update.

Faktisch bleibt Microsoft Gatekeeper der Linux-Integration in Windows.

2. Digitale Abhängigkeit statt digitale Souveränität

Gerade in Europa fordern viele Stimmen, sich von US-zentrierten Systemen wie Windows zu lösen. Linux bietet dafür die Grundlage – frei, dezentral, kontrollierbar. WSL hingegen macht Linux abhängig von der Windows-Infrastruktur.

3. „Einschließen durch Umarmen“

Microsofts Geschichte ist geprägt von der Strategie „Embrace, Extend, Extinguish“. Mit WSL kann man Entwickler:innen an Windows binden – viele nutzen Linux-Tools, bleiben aber im Microsoft-Ökosystem.

🌍 Der europäische Kontext:

Immer mehr Behörden in der EU setzen auf Linux (z. B. Frankreichs Gendarmerie, Münchens LiMux-Versuch, Estland).

Digitale Souveränität ist erklärtes Ziel der EU-Kommission.

WSL wirkt da wie ein Versuch, Linux unter Kontrolle zu halten, statt es als freie Alternative zu fördern.

🤝 Haltung statt Hype:

Microsofts Schritt ist nicht per se schlecht. Aber:

„Open Source ist kein Freifahrtschein – es geht um Macht, Kontrolle und gesellschaftliche Abhängigkeiten.“

💬 Schlussabsatz (Rubrik „Haltung statt Hormon“):

Die Entscheidung liegt bei uns Nutzer:innen. Wollen wir echte Offenheit – oder nur das Gefühl davon in einem goldenen Käfig? Wer Linux will, sollte es direkt nutzen – ohne Windows-Zwischenschicht. Wer digitale Freiheit ernst meint, muss sich von der Komfortzone des proprietären Denkens lösen.

Reblog via MK

Microsoft hat das Windows Subsystem for Linux (WSL) offiziell als Open-Source-Projekt veröffentlicht. Der Quellcode steht ab sofort auf GitHub unter Microsoft/WSL bereit. Die Entwickler haben das Projekt dabei in mehrere eigenständige Komponenten unterteilt. Dazu zählen Tools wie wsl.exe, wslg.exe und der zentrale WSL-Dienst. Auch Prozesse für Netzwerkfunktionen und Dateizugriffe gehören nun zur öffentlich einsehbaren Struktur. […]

Der Beitrag Microsoft macht WSL zu Open Source erschien zuerst auf fosstopia.