[libreoffice-users] Where do I find the LibreOffice signing key?

*Where do I find the LibreOffice signing key?*

There must a the gpg signing key which you use to make the detacheds 
signatures. *Users need the public part of that.*

Under the meaningless keyword “Info” and then “PGP signature available”, 
e.g. on 
https://download.documentfoundation.org/libreoffice/stable/25.8.2/deb/x86_64/LibreOffice_25.8.2_Linux_x86-64_deb.tar.gz.mirrorlist, 
you offer the detached signature of this particular debian package. This 
signature is useless without your public signing key. What you offer 
there would normally sign a file SHA256SUMS.txt and it would be called 
SHA256SUMS.gpg.

Usually one would provide the sha256sum of all debian or all rpm 
packages offered for download from one webpage listed together in one 
file SHA256SUMS.txt and the detached signature of SHA256SUMS.txt in a 
separate file SHA256SUMS.gpg. E.g., the Webpage 
https://dev-builds.libreoffice.org/daily/master/Linux-rpm_deb-x86_64@tb99-TDF/current/ 
should offer a file SHA256SUMS.txt plus a second one SHA256SUMS.gpg in 
the top lines, they both together can cover all files offered for 
download from this page.

To make it easier for users, *a Link to the SigningKey and its 
fingerprint plus a "how to validate and authenticate your Download" 
should also be shown* when visiting a download page!

In order to check the validity of the gpg file, one needs your _*public 
Signing key*_ and its*_fingerprint_*, e.g. something like 
LibreOfficeSigningKey.pub. plus a listing of the 10x4 Hex digigts of the 
fingerprint.  Both should be also be offered in a very prominent place 
using a secured (i.e. https or hkps)-connection.

Technically, the SHA256SUMS.* files could even be downloaded from a 
mirror server offering only insecure http or hkp. Are there still such 
servers out in the world?

Kind regards

Adalbert Hanßen

2018-07-08_Standard

*_____________________________*

Dipl.-Math. Adalbert Hanßen
Elsterweg 4
73434 Aalen

Tel: +49 7361 5280 947
Fax: +49 7361 9750 831

*P.S.:*


*1.*Wenn diese Mail nicht verschlüsselt ist, fehlt mir wahrscheinlich 
Ihr/_öffentlicher_/PGP/GnuPG-Schlüssel.
Wo möglich, schreibe ich normalerweise verschlüsselt. An mehrere 
gleichzeitig jedoch unverschlüsselt,
wenn einer dabei ist, dessen öffentlicher Schlüssel mir fehlt.

*2. *Wenn eineDatei OpenPGP_0x07C3FA21AE77B98E.ascangehängt ist, ist 
der"Buchstabensalat"
darin meinöffentlicher PGP-Schlüssel. Den bittefür verschlüsselte Mails 
an Adalbert.Hanssen@gmx.de <mailto:Adalbert.Hansasen@gmx.de>
verwenden. Ein entsprechendkonfiguriertes Emailprogramm hängt den 
eigenen öffentlichen PGP-Schlüs-
sel an jede ausgehende /_signierte_/Email, damit der Empfänger damit 
deren unverfälschte Übertragung
prüfen kann. Deshalb die Datei mit dem „Buchstabensalat“. Eine signierte 
Emailenthält einen verschlüs-
selten Hashwert=komplizierte Prüfsumme über die gesamte Nachricht. Das 
empfangende Emailpro-
gramm kann den auch berechnen und mit dem über meinen öffentlichen 
Schlüssel /ent/schlüsselten
Hashwert vergleichen. Wenn beide Hashwerte identisch sind, ist 
unvollständige Übertragung oder Verän-
derung dabei /nahezu/unmöglich.

*3.*Ende-zu-Endeverschlüsselte Email fürsich einzurichten, geht mit den 
üblichen Emailprogrammen
(z.B. Thunderbird oder MS-Outlook oder k9-Mail) kostenlos in maximal 
einer halben Stunde. Bei Thunder-
bird (unter Linux, MacOS oder Windows) ist muß man sogar nur sein 
eigenes Schlüsselpaar erzeugen, was
maximal 5 Minuten dauert. Bei Outlook unter Windows braucht man die 
(kostenlose) Software GPG4Win,
zusätzlich ist Kleopatra hilfreich. Für k9-Mail braucht man ergänzend 
die App OpenKeyChain.

*4. * Das Verschlüsseln und die Decodierung empfangener verschlüsselter 
Emails passiert in den Email-
programmen automatisch, wenn einmal der entsprechende Schalter gesetzt 
ist. Damit niemand bei
Abwesenheit vom eigenen Rechner verschlüsselte und signierte Mails 
versenden oder Schlüssel auslesen
oder manipulieren kann, sollte man sein Emailprogramm mit 
/_Paßwortschutz beim Start_/versehen.

*5. *Für Wißbegierige habe ich noch ein paar Seiten zu 
Emailverschlüsselung parat. Bei Interesse bitte nachfragen.



--
To unsubscribe e-mail to: users+unsubscribe@global.libreoffice.org
Problems? https://www.libreoffice.org/get-help/mailing-lists/how-to-unsubscribe/
Posting guidelines + more: https://wiki.documentfoundation.org/Netiquette
List archive: https://listarchives.libreoffice.org/global/users/
Privacy Policy: https://www.documentfoundation.org/privacy