GnuPG. Kennt jmd. Anleitung zur Überprüfung der Integrität der Datei?

#1 Liebe Board - User,
als relativer Netz-Neuling stellt sich mir die Frage, auf welche Weise ich die Integrität der gpg4win - Datei vor der Installation des Pakets prüfen kann, wenn ich ja bisher keine PGP/openPGP - Mittel dafür habe?
Im betreffenden Forum ist die Antwortneigung auf höfliche Anfragen eher dürftig.
Mir ist bekannt, dass es kleine Dateien geben soll, mit denen die Authentizität und Integrität o.g. Downloads geprüft werden kann.
Allerdings finde ich selbst bei ausführlichen How - Tos keinerlei Aufklärung zu dieser ( vermutlichen Anfänger- ) Frage.
Auf der gpg4win - Site gibt es offenbar signierte Dateien ( Endung: sig ), und solche endend auf "tar.bz". Ich nutze Windows und soweit ich zu wissen glaube
haben diese eher mit Linux zu tun?
Zweite Frage: Bevor ich mein - notgedrungen ungeprüftes! - gpg4win-Paket wieder de-installiert habe, warnte mich die Komponente GPA vor einem "fatal error", wonach das Protokoll nicht verfügbar sei und eine GPGME-Bibliothek fehle? Könnte ein Eingeweihter mir dazu anfängerfreundliche Starthilfe geben?

#2 http://www.gnupg.de/documentation/faqs.en.html#q4.19 beschreibt grundlegend, wie man mit GnuPG die Echtehit von Dateien/Signaturdateien überprüfen kann.

Du kannst aber auch die Angaben von http://www.gpg4win.org/package-integrity-de.html zu den SHA1 oder MD5 Prüfsummen verwenden und die Installationsdateien mittels einer kleinen Freeware-Software prüfen.
z.B http://www.irnis.net/free.shtml

Ist wahrscheinlich die einfachste Variante.

Zu deinem zweiten Problem: http://www.gnupg.de/download/ bietet eine Installationsdatei für Windows an. Installiere es mal zusätzlich.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#3 Lieber joschi,
herzlichen Dank für Deine sehr schnelle Antwort!
Auf der Doku - Seite von GnuPG bin ich bereits mehrmals gewesen, aber dort stellte sich mir überhaupt erst die Frage, wie ich - der dortigen Anleitung folgend! - die Integrität des Pakets prüfen soll, wenn ich darauf angewiesen bin, mit genau diesem Paket bzw. den Komponenten erst den Schlüssel der Organisation in meinen öffentlichen Key-Ring zu importieren.
Macht es irgendwie Sinn, Bestandteile eines Pakets dazu zu nutzen, um überhaupt die Echtheit des Pakets zu überprüfen? Scheint mir die verkehrte Reihenfolge zu sein... Ich nehme an, dass die farblich hinterlegte $ gpg -- verify... Zeile auf der von Dir verlinkten GnuPG-Seite unter "Ausführen" eingegeben werden muss, oder brauche ich zusätzliche Kommandos?
Wie gesagt, ich bin eher noch Anfänger, halte aber Verschlüsselung heute für sehr angebracht. Ich werde mir jetzt die Beschreibung auf irnis.net zu Gemüte führen, und hoffe mit der Handhabung zurecht zukommen... War sehr nett, Deine flotte Antwort! Bis dann Joschi!

#4 Die *.Sig-Datei ist, was das erzeugen und spätere verifizieren der digitalen Unterschrift betrifft, unterennbar von der eigentlichn Datei. (Kann ein Word-Dokument, Installationsdatei oder dergleichen sein.)
Unterschrieben wird mit dem privaten Schlüssel des Schlüsselpaars. Verifizieren tust Du später mit dem öffentlichen Schlüssel, der genau für diesen Zweck von dem Keyserver heruntergeladen wird.

Ja, über die Kommandozeile läuft da ganze mit gpg ab.
Zuvor, wie schpn erwähnt, wird der öffentliche Schlüssel benötigt.
http://www.gnupg.de/gph/de/manual/x193.html#AEN219
Kann aber auch sein, dass der Verify-Befehl diesen Download mit anstößt- versuch es einfach. Mehr als eine Fehlermeldung kann nicht passieren.

Lies das Handbuch mal von A-Z, aber bloß nicht auf einmal.
Es hilft auch mir, Dir hier ein paar Antowrten zu geben- bin auch nicht knietief in der Materie drin.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#5 Danke für Deine ergänzende Antwort, Joschi!
Hatte heute noch keine Zeit für PC und das "Studium" der Verschlüsselung.
Falls sich weitere Verständnisfragen ergeben, kann ich mich ja vertrauensvoll an das Forum oder an Dich wenden.
Hoffe, dass ich hier selbst mal jemandem Hilfestellung geben kann.