Wie kann man überprüfen, ob ein Download-CSV mit Confirmations abgeändert wurde?

Beim Export von Confirmations als signierte CSV erhält man ein ZIP-Verzeichnis, das einen Ordner mit Dateien namens „confirmations.csv.signature“, publickey.pem“ und „confirmation.csv“ enthält.

Bei der Datei „confirmations.csv.signature“ handelt es sich um die Signatur, die sich mit der „publickey.pem“-Datei überprüfen lässt. Dazu entpackt man im ersten Schritt das ZIP-Verzeichnis mit den Download-Dateien.

Zur Überprüfung der Signatur wird das Programm "openssl" benötigt. Beispielsweise kann dafür das Terminal "Git Bash" genutzt werden, in dem "openssl" bereits integriert ist. Alternativ kann über Windows "openssl" installiert und über die Windows "Eingabeaufforderung" (das Windows-Terminal) genutzt werden.

Innerhalb des Terminals navigiert man in das entpackte Export-Verzeichnis. Dies funktioniert dies über den folgenden Befehl: cd Pfadangabe (wie im jeweiligen Terminal üblich)

Sobald man sich in dem Verzeichnis befindet kann man die Signatur mit dem folgenden Befehl überprüfen: openssl dgst -sha256 -verify publickey.pem -signature confirmation.csv.signature confirmation.csv

Gibt das Terminal die Ausgabe „Verified OK“ zurück, ist die Datei unverändert. Lautet die Ausgabe „Verification Failure“, ist die Datei nach dem Export verändert worden.