PGP: Die PGP-Signatur kann wie folgt geprüft werden: Öffne die Webseite eines PGP-Key-Servers (z.Bsp. gpg-keyserver.de), speichere den Schlüssel mit der ID »C0DB6C70« unter dem Dateinamen »info@willuhn.de.asc« und führe folgende Befehle für Import und Verifizierung in dem Verzeichnis aus, in dem sich »info@willuhn.de.asc«, »jameica-<version>.zip« und »jameica-<version>.zip.asc« befinden:

$ gpg --import info@willuhn.de.asc
$ gpg --verify jameica-<version>.zip.asc

Folgende Ausgaben müssen nun erscheinen:

gpg: Signature made <datum> using RSA key ID C0DB6C70
gpg: Good signature from "Olaf Willuhn "

Der folgende zusätzliche Warnhinweis wird ggf. angezeigt, falls Du dem PGP-Schlüssel noch nicht "vertraust".

gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.

Mit diesen beiden Befehlen kannst Du dir die "long Key ID" des Schlüssels anzeigen lassen und diesem das Vertrauen aussprechen.

$ gpg --with-colons --list-keys "info@willuhn.de"
$ gpg --trusted-key 5A8ED9CFC0DB6C70 --update-trustdb

QES: Die qualifizierte elektronische Signatur »jameica-<version>.zip.pkcs7« kann beispielsweise über das Online-Tool SecSigner geprüft werden.

SHA1: Die SHA1-Checksumme kann mit folgendem Befehl geprüft werden:

$ sha1sum -c jameica-<version>.zip.SHA