Hallo
Ich habe gerade GraphenOS installiert.
Es ist mein erstes Android und ich würde es gerne sauber angehen.
Daher habe ich zwei Fragen zum Verständnis mit dem Umgang den Benutzern und Admin.
1.Sollte man die Apps unter dem (Besitzer) Admin installieren oder sollte man den Admin leer lassen und nur unter den neuen Benutzer Profilen installieren?
Danke
Nachdem du keine Antwort erhalten hast versuche ich mal mein Meinung zu geben.
Vor ab ich habe noch kein GrapheneOS möchte aber mit dem nächsten Pixel auch darauf umsteigen.
Was ich immer wieder gelsen habe ist, dass man mit verschiedenen Profilen Apps separieren kann.
Man erstellt sich also z.B. ein Arbeitsprofil und legt dort nur Apps rein die man für die Arbeit braucht.
Dann haben diese Apps kein zugriff auf dein Privat-Profil.
So könnte man z.B. ein Profil erstellen in dem man die Google Services laufen lassen kann mit beschränkten Rechten. Falls man auf die ein oder andere Bezahl-App angewiesen ist.
Da mich das Thema auch sehr interessiert bin ich gespannt was andere Benutzer von GrapheneOS dazu sagen.
Keinen Admin zu benutzen, macht je nach dem mal mehr Sinn mal weniger.
Allgemeiner Konsens ist, soweit mir bekannt, dass das auf Android keinerlei Rolle spielt (sofern du mit Admin den „Eigentümer“ meinst, und nicht Root o.Ä.).
Dabei kann Ich leider keine Quelle, außer „vertrau mir“, angeben.
Irgendwelche Apps können nicht einfach etwas umschalten, was du nur als „Eigentümer“ Benutzer umstellen kannst.
Dieser ist eigentlich auch nur ein ganz normaler Benutzer, es gibt keinen wirklichen Unterschied.
Nein. Andere Benutzer kannst du wirklich einfach nur zum Zweck nutzen, verschiedene Aktivitäten voneinander abzugrenzen, die du jederzeit vollständig beenden kannst, als auch dafür, verschiedene Dateien/Kontakte im Speicher zu haben (auf Dateien anderer Nutzer kannst du nicht zugreifen), andere Sprachen/Einstellungen zu nutzen, etc., oder für Ihren tatsächlichen Zweck: Das Gerät auch anderen Leuten zur Verfügung zu stellen, indem diese einen Nutzer darauf haben, und nicht deinen Nutzer, mit deinen Daten, mit nutzen müssen.
Nutzerprofile sind unter Android keine Sicherheitsfunktion (im eigentlichen Sinne), eher Managementoptionen - auch wenn sie ggf. je nach Nutzung Zwecke im Sinne der Sicherheit erfüllen könnten.
Besten Dank Leute
Dann geht es los jetzt. 
Kann man den F-Droid Store bedenklos runterladen?
Ich verstehe diese PGP Prüfung noch nicht so ganz,
Freue mich jetzt zu installieren
Persönlich würde Ich sagen: Ja.
Wobei Ich schon eine Weile lang den Neo Store aus ebenjenem Repository nutze.
Automatische Aktualisierungen funktionieren damit (wenn man sie aktiviert) meist ganz gut.
Im Kuketz-Blog gibt es dazu einen guten Beitrag:
Android: Kann man F-Droid vertrauen bzw. ist der App-Store sicher?
Bei F-Droid selbst, in den Allgemeinen FAQ, ist gerade der letzte Teil des verlinkten Abschnittes aber auch beachtenswert:
FAQ - Allgemein - Ist der Herstellungs- und Signiervorgang sicher?
Aus der Ecke um GrapheneOS (bzw. dessen Nutzerbasis) gibt es auch ein paar Stimmen, die F-Droid kritisieren. Einen Link habe Ich gerade aber leider nicht zur Hand.
Du kannst auf der Webseite von F-Droid neben den Download-Links für APKs (bei Anwendungen), und unter dem „F-Droid herunterladen“ Knopf auf der Hauptseite, eine PGP-Signatur herunterladen.
Diese kannst du mithilfe von beispielsweise GnuPG (kurz GPG) und den auf folgender Seite angegebenen Informationen über den „GPG-Signierschlüssel: „F-Droid <admin@f-droid.org>““, welchen du dir mit diesen Herunterladen musst, verifizieren.
Bezugsquellen und Signaturen: F-Droid-Client, App für Android: · offizielle binäre Veröffentlichungen
Ich denke aber nicht, dass das so sinnvoll ist, wenn du dir den Client nur einmal herunterlädst, und den Schlüssel gleichzeitig dazu - da sowohl der Fingerprint, mit dem du diesen Schlüssel verifizieren sollst, als auch die PGP Signaturen für die Programme vom selben Server stammen (bzw. von einen von Zwei, die ziemlich sicher gespiegelt sind).
Wenn du dir einfach nur den Client dort herunterlädst, musst du dem Server sowieso vertrauen - genauso, wenn du dir den Fingerprint für den PGP Schlüssel dort holst.
Das ergibt also nur nach dem „trust on first use“ (TOFU) Prinzip Sinn, nach diesem wüsstest du, wenn du irgendwann in Zukunft den Client dort erneut herunterlädst, ob dieser vom Schlüssel von Heute signiert wurde.
Wirkliche Gewissheit über die Authentizität hast du also nur, wenn du den Schlüssel von dem Betreiber persönlich erhältst, oder zumindest von jemandem den du vertrauen kannst (auf sichere Art und Weise).
Das ist auch nur für die Initiale Installation sinnvoll, oder wenn du keinen Client für F-Droid verwenden möchtest, und die APKs deswegen ständig von F-Droid.org herunterlädst - denn ansonsten wird die Authentizität der Apps auf andere Art und Weise sichergestellt.
Wenn du diese Signatur trotzdem verifizieren möchtest:
gpg --keyserver keyserver.ubuntu.com --recv-keys 0x37D2C98789D8311948394E3E41E7044E1DBA2E89 - hierbei den Teil nach 0x durch den Key-Fingerprint ohne Leerzeichen ersetzen.gpg --verify F-Droid.apk.ascgpg --verify F-Droid.apk.asc F-Droid.apk - dessen Ausgabe sollte folgende, oder eine ähnliche, sein:gpg: Signatur vom Fr 02 Dez 2022 19:17:16 CET
gpg: mittels RSA-Schlüssel 802A9799016112346E1FEFF47A029E54DD5DCE7A
gpg: Korrekte Signatur von "F-Droid <admin@f-droid.org>" [unbekannt]
gpg: WARNUNG: Dieser Schlüssel trägt keine vertrauenswürdige Signatur!
gpg: Es gibt keinen Hinweis, daß die Signatur wirklich dem vorgeblichen Besitzer gehört.
Haupt-Fingerabdruck = 37D2 C987 89D8 3119 4839 4E3E 41E7 044E 1DBA 2E89
Unter-Fingerabdruck = 802A 9799 0161 1234 6E1F EFF4 7A02 9E54 DD5D CE7A
Damit wurde dann verifiziert, dass der Schlüssel, mit dem entsprechenden Fingerprint, genutzt wurde, um die Signatur für die APK zu erstellen, und diese für die heruntergeladene APK korrekt ist.
Danke D299
Das hilft mir weiter und ich werde alles durch gehen und mir Zeit nehmen.