Se Windows genera un errore, hai un problema di virus o vuoi discutere/segnalare l'uscita della nuova versione di un software per la piattaforma Microsoft, questa è la sezione giusta.
Carissimi voglio essere sicuro che i programmi che scarico da internet siano autentici e ho letto questo articolo che tratta di come verificare la firma di un programma, però non riesco a capire
al paragrafo
Nessun sito e` affidabile
si legge verso la fine:
Questo significa che e` importante controllare l'autenticita` del software anche quando lo si scarica da siti autorevoli e percio` considerati sicuri. Quasi sempre il software distribuito da questi siti e` dotato di firma digitale: bisogna controllarla usando gpg
non riesco a capire cos'è e come si usa gpg
se qualcuno mi può chiarire gliene sarei grato
Questo è l'articolo https://www2.pd.infn.it/~gravino/comput ... cksig.html
Grazie mille
Auguri a tutti i papà e a chi si chiama Giuseppe o Giuseppina
Buona giornata
Pp
Ultima modifica di Pulcepiccola il mar mar 19, 2019 1:37 pm, modificato 1 volta in totale.
Il problema della verifica dei file scaricati è un po' più complesso.
Per poterli verificare con GPG è necessario che lo sviluppatore del software abbia una chiave pubblica facilmente reperibile ed è essenziale che rilasci un checksum firmato con la sua chiave privata e sono pochissimi quelli che lo fanno, come, per esempio, gli sviluppatori di TorBrowser che, nella loro documentazione, hanno una pagina dedicata proprio per la verifica del pacchetto di TorBrowser.
Il problema della verifica dei file scaricati è un po' più complesso.
Per poterli verificare con GPG è necessario che lo sviluppatore del software abbia una chiave pubblica facilmente reperibile ed è essenziale che rilasci un checksum firmato con la sua chiave privata e sono pochissimi quelli che lo fanno, come, per esempio, gli sviluppatori di TorBrowser che, nella loro documentazione, hanno una pagina dedicata proprio per la verifica del pacchetto di TorBrowser.
CUB3 ha scritto: ↑mer mar 20, 2019 6:19 pm
GPG c'è anche per Windows.
Il problema della verifica dei file scaricati è un po' più complesso.
Per poterli verificare con GPG è necessario che lo sviluppatore del software abbia una chiave pubblica facilmente reperibile ed è essenziale che rilasci un checksum firmato con la sua chiave privata e sono pochissimi quelli che lo fanno, come, per esempio, gli sviluppatori di TorBrowser che, nella loro documentazione, hanno una pagina dedicata proprio per la verifica del pacchetto di TorBrowser.
Caro Cub3, ciao, innanzitutto grazie per queste cose che io non conoscevo.
Fino ad ora mi sono limitato a verificare il checksum (Md5) che mi dava solo l' informazione che il pacchetto scaricato da internet è arrivato integro sul mio computer, ma se qualcuno sul sito web e' riuscito a mettere un pacchetto manomesso(e quindi non così come lo ha concepito lo sviluppatore) io sul mio PC non avrò una copia fedele a quella originale creata dallo sviluppatore ma una copia contraffatta creata da un malintenzionato.
Esatto?
Ti scrivo per riassumere quello che ho capito e ti chiedo se poi sciogliermi dei dubbi.
Allora sto pensando di creare sul mio PC fisso con SO Wndows 10 pro (a 64 bit) un server VPN che mi servirà per accedere da remoto, dal telefono, alle mie ipcam inserite nella LAN di casa.Per questo obiettivo ho pensato di utilizzare OpenVPN scaricabile a partire da questa pagina https://swupdate.openvpn.org/community/ ... -I603.exe
Il primo step per verificare la firma dello sviluppatore che ha creato e firmato il pacchetto di installazione 2.4.7 e' scaricare il software Gnupg che usa la tecnologia di criptazione asimmetrica(doppia chiave pubblica e privata) Il link da dove scaricare Gnupg è https://www.gpg4win.org/
Poi bisogna importare la chiave pubblica dello sviluppatore che si trova su questa pagina https://openvpn.net/community-resources/sig/
Pero poi mi sono perso in quanto la chiave pubblica è strettamente legata alla chiave privata e non alla persona, come si fa a capire che quella chiave pubblica e di quello sviluppatore? Mi sono perso a cosa serve l'impronta della firma digitale?
Se puoi chiarirmi quali sono gli step che devo fare per accertarmi dell'originalita del pacchetto da scaricare.
Comunque se non ho capito male devo fare anche il controllo
di Md5 per verificare che il file di installazione
sia stato scaricato sul mio PC esente da errori durante il download come suggerito dall'articolo che mi hai postato controllare l'integrità del file scaricato... dalla fonte ufficiale!
Oppure il controllo con Gnupg è esaustivo ed esclude il controllo confrontando gli Md5?
Grazie per il tuo aiuto
Buona serata
Pp
Pulcepiccola ha scritto: ↑dom mar 31, 2019 10:12 pm
Pero poi mi sono perso in quanto la chiave pubblica è strettamente legata alla chiave privata e non alla persona, come si fa a capire che quella chiave pubblica e di quello sviluppatore? Mi sono perso a cosa serve l'impronta della firma digitale? ...
Oppure il controllo con Gnupg è esaustivo ed esclude il controllo confrontando gli Md5?
Per essere sicuro che la chiave pubblica sia proprio quella dello sviluppatore, devi controllare che il "fingerprint" della chiave che scarichi corrisponda a quello dichiarato. Per essere più sicuro, puoi provare a cercare la stessa chiave che scarichi dal sito sul un key server come, ad esempio, http://keys.gnupg.net/ (ma ce ne sono molti altri!!) e vedere (sempre tramite il fingerprint) se effettivamente corrisponde.
Il controllo con GPG è esaustivo, se va a buon fine conferma che il pacchetto è integro ed è effettivamente quello caricato dallo sviluppatore.
"Let me tell you a secret: when you hear that the machine is “smart”, what it actually means is that it’s exploitable." Mikko Hypponen
Caro Cub3 ciao,come va?
ti scrivo per chiederti un consiglio operativo.
Volevo scaricare Raspbian Buster Lite https://www.raspberrypi.org/downloads/raspbian/
per metterla sulla MicroSD e far funzionare il Raspberry PI.
E volevo controllare l'autenticità del programma con GnuPG, però ho visto che sul loro sito c'e solo il checksum
SHA-256: 9e5cf24ce483bb96e7736ea75ca422e3560e7b455eee63dd28f66fa1825db70e
ma non è firmato? la chiave pubblica (il file della firma)non c'é o sto prendendo una cantonata?
Grazie mille per il tuo aiuto
Buona pausa estiva
Pp
Pulcepiccola ha scritto: ↑lun ago 12, 2019 6:22 am
...
Volevo scaricare Raspbian Buster Lite
... ho visto che sul loro sito c'e solo il checksum
SHA-256: 9e5cf24ce483bb96e7736ea75ca422e3560e7b455eee63dd28f66fa1825db70e
...
Perdonate l'intromissione!
Un passaggio veloce soltanto per dire sottovoce la mia.
Il fatto che lo sviluppatore abbia messo sul sito l'impronta digitale di Raspbian Buster Lite prelevata con l'algoritmo SHA-256 dovrebbe costituire uno strumento di garanzia all'atto del download (sia in termini di integrità del file scaricato sia di correttezza del file stesso prelevato) e per la successiva installazione.
Ho fatto anche una prova: ho scaricato il file compresso di Raspbian Buster Lite, quindi realizzata l'impronta SHA-256 e confrontata con quella pubblicata, il tutto mediante un vecchio programmino gratuito e standalone dal nome DPASHA (versione 1.99 ... il confronto delle due hash l'ho fatto fare al programma!), sembra essere tutto regolare.
"Facesti come quei che va di notte, che porta il lume dietro e sé non giova, ma dopo sé fa le persone dotte"
Dante (Purgatorio, Canto XXII)
Pulcepiccola ha scritto: ↑lun ago 12, 2019 6:22 am
...
Volevo scaricare Raspbian Buster Lite
... ho visto che sul loro sito c'e solo il checksum
SHA-256: 9e5cf24ce483bb96e7736ea75ca422e3560e7b455eee63dd28f66fa1825db70e
...
Perdonate l'intromissione!
Un passaggio veloce soltanto per dire sottovoce la mia.
Il fatto che lo sviluppatore abbia messo sul sito l'impronta digitale di Raspbian Buster Lite prelevata con l'algoritmo SHA-256 dovrebbe costituire uno strumento di garanzia all'atto del download (sia in termini di integrità del file scaricato sia di correttezza del file stesso prelevato) e per la successiva installazione.
Ho fatto anche una prova: ho scaricato il file compresso di Raspbian Buster Lite, quindi realizzata l'impronta SHA-256 e confrontata con quella pubblicata, il tutto mediante un vecchio programmino gratuito e standalone dal nome DPASHA (versione 1.99 ... il confronto delle due hash l'ho fatto fare al programma!), sembra essere tutto regolare.
Cara Matilda non basta leggi sopra il post di Cub3
Ciao
CUB3 ha scritto: ↑mar apr 02, 2019 11:30 pm
... conferma che il pacchetto è integro ed è effettivamente quello caricato dallo sviluppatore.
per cui ho ritenuto che l'obiettivo semplice fosse quello di essere certi dell'integrità del file scaricato e della sua effettiva corrispondenza rispetto a quello pubblicato dallo sviluppatore, circostanze che con un controllo incrociato delle impronte digitali come sopra detto possono ritenersi - credo - pienamente soddisfatte.
Buon proseguimento!
"Facesti come quei che va di notte, che porta il lume dietro e sé non giova, ma dopo sé fa le persone dotte"
Dante (Purgatorio, Canto XXII)
Pulcepiccola ha scritto: ↑lun ago 12, 2019 6:22 am
@CUB3
Caro Cub3 ciao,come va?
ti scrivo per chiederti un consiglio operativo.
Volevo scaricare Raspbian Buster Lite https://www.raspberrypi.org/downloads/raspbian/
per metterla sulla MicroSD e far funzionare il Raspberry PI.
E volevo controllare l'autenticità del programma con GnuPG, però ho visto che sul loro sito c'e solo il checksum
SHA-256: 9e5cf24ce483bb96e7736ea75ca422e3560e7b455eee63dd28f66fa1825db70e
ma non è firmato? la chiave pubblica (il file della firma)non c'é o sto prendendo una cantonata?
Grazie mille per il tuo aiuto
Buona pausa estiva
Pp
Ciao Pulcepiccola!
Ho controllato velocemente ma non sembra che gli svillupatori offrano la possibilità di verifica tramite GPG purtroppo
Ho visto però che ci sono due possibilità di download: una tramite download diretto dal sito e uno tramite torrent. In questi casi, si può preferire il download tramite torrent perché scaricando il file da più fonti contemporaneamente è più difficile da "compromettere" rispetto ad un file che risiede su un server ma, attenzione: non si può comunque considerare una sicurezza aggiuntiva in quanto il torrent potrebbe anche essere stato compromesso all'origine.
"Let me tell you a secret: when you hear that the machine is “smart”, what it actually means is that it’s exploitable." Mikko Hypponen
Pulcepiccola ha scritto: ↑lun ago 12, 2019 6:22 am
@CUB3
Caro Cub3 ciao,come va?
ti scrivo per chiederti un consiglio operativo.
Volevo scaricare Raspbian Buster Lite https://www.raspberrypi.org/downloads/raspbian/
per metterla sulla MicroSD e far funzionare il Raspberry PI.
E volevo controllare l'autenticità del programma con GnuPG, però ho visto che sul loro sito c'e solo il checksum
SHA-256: 9e5cf24ce483bb96e7736ea75ca422e3560e7b455eee63dd28f66fa1825db70e
ma non è firmato? la chiave pubblica (il file della firma)non c'é o sto prendendo una cantonata?
Grazie mille per il tuo aiuto
Buona pausa estiva
Pp
Ciao Pulcepiccola!
Ho controllato velocemente ma non sembra che gli svillupatori offrano la possibilità di verifica tramite GPG purtroppo
Ho visto però che ci sono due possibilità di download: una tramite download diretto dal sito e uno tramite torrent. In questi casi, si può preferire il download tramite torrent perché scaricando il file da più fonti contemporaneamente è più difficile da "compromettere" rispetto ad un file che risiede su un server ma, attenzione: non si può comunque considerare una sicurezza aggiuntiva in quanto il torrent potrebbe anche essere stato compromesso all'origine.
Ok grazie Cub3,mi sta venendo un flash forse i file delle firme sono nel pacchetto zip di Raspbbian Lite Quando lo scarico vedro. Grazie un caro saluto
CUB3 ha scritto: ↑mar apr 02, 2019 11:30 pm
... conferma che il pacchetto è integro ed è effettivamente quello caricato dallo sviluppatore.
per cui ho ritenuto che l'obiettivo semplice fosse quello di essere certi dell'integrità del file scaricato e della sua effettiva corrispondenza rispetto a quello pubblicato dallo sviluppatore, circostanze che con un controllo incrociato delle impronte digitali come sopra detto possono ritenersi - credo - pienamente soddisfatte.
Buon proseguimento!
Ciao Matilda, non ti devi scusare non si finisce mai di imparare :)ringrazio tutto lo staff di Turbolab.
Un caro saluto
Pp
Pulcepiccola ha scritto: ↑lun ago 12, 2019 4:41 pm
mi sta venendo un flash forse i file delle firme sono nel pacchetto zip di Raspbbian Lite
Se fosse così, dov'è la chiave pubblica degli sviluppatori?? Per un corretto utilizzo, il fingerprint della loro chiave dovrebbe essere ben visibile sul loro sito!!
"Let me tell you a secret: when you hear that the machine is “smart”, what it actually means is that it’s exploitable." Mikko Hypponen
Pulcepiccola ha scritto: ↑lun ago 12, 2019 4:41 pm
mi sta venendo un flash forse i file delle firme sono nel pacchetto zip di Raspbbian Lite
Se fosse così, dov'è la chiave pubblica degli sviluppatori?? Per un corretto utilizzo, il fingerprint della loro chiave dovrebbe essere ben visibile sul loro sito!!
Infatti alquanto strano che un sistema operativo che deriva da Debian non ha questi accorginenti. Mentre c'e una guida
/index.php/Controllare_l%27integrit%C3%A0_delle_immagini_Debian[/URL]
che tratta di questo argomento per Debian.
Può essere usata su RasPI?
Grazie mille Cub3 buona notte
Inserendo un messaggio, dichiari di aver letto e accettato il regolamento di partecipazione.
Nello specifico, sei consapevole che ti stai assumendo personalmente la totale responsabilità delle tue affermazioni, anche in sede civile e/o penale,
manlevando i gestori di questo sito da ogni coinvolgimento e/o pretesa di rivalsa.
Dichiari inoltre di essere consapevole che il messaggio sarà visibile pubblicamente, accetti di diffonderlo con licenza
CC BY-NC-SA 3.0 (con attribuzione a "TurboLab.it") e rinunci ad ogni forma di compensazione (economica o altro).
Rinunci inoltre esplicitamente a qualsiasi pretesa di cancellazione del messaggio.