// signaturprüfung

Signatur-Verifikation

Das Cryptography Bill of Materials (CBOM) wird ebenfalls mit ML-DSA-65 (NIST FIPS 204) nach jeder automatischen Aktualisierung signiert. Du kannst hier unabhängig prüfen, dass die CBOM, die du siehst, identisch mit der vom Scanner erzeugten ist — ohne dieser Website zu vertrauen.

Der Scanner schreibt cbom.json und signiert danach sofort deren exakten UTF-8-Inhalt mit demselben privaten Schlüssel, der auch für Artikel-Signaturen verwendet wird. Die Signatur wird in cbom.sig neben der CBOM gespeichert. Die Verifikation lädt beide Dateien direkt von diesem Server und führt ML-DSA-65 vollständig im Browser aus — keine externen Server, kein Vertrauen erforderlich.

Öffentlicher Schlüssel (ML-DSA-65)

48904116e9d8f6f65aa54c03c32b8a1f81519744…daadaaa4c456dfc1

Signiertes Nachrichtenformat

UTF-8 (cbom.json)

Die signierte Nachricht ist die exakte UTF-8-Bytefolge der cbom.json, wie sie der Scanner geschrieben hat (JSON.stringify mit 2-Leerzeichen-Einrückung). Es wird nichts hinzugefügt oder entfernt — was du verifizierst, ist genau das, was unter /cbom.json ausgeliefert wird.

Bereit zur Prüfung