Verificare la firma di un software

Se Windows genera un errore, hai un problema di virus o vuoi discutere/segnalare l'uscita della nuova versione di un software per la piattaforma Microsoft, questa è la sezione giusta.
Regole del forum
Rispondi
Avatar utente
Pulcepiccola
Livello: Workstation (10/15)
Livello: Workstation (10/15)
Messaggi: 1343
Iscritto il: mar set 30, 2014 4:37 pm

Verificare la firma di un software

Messaggio da Pulcepiccola »

Carissimi voglio essere sicuro che i programmi che scarico da internet siano autentici e ho letto questo articolo che tratta di come verificare la firma di un programma, però non riesco a capire
al paragrafo
Nessun sito e` affidabile

si legge verso la fine:

Questo significa che e` importante controllare l'autenticita` del software anche quando lo si scarica da siti autorevoli e percio` considerati sicuri. Quasi sempre il software distribuito da questi siti e` dotato di firma digitale: bisogna controllarla usando gpg

non riesco a capire cos'è e come si usa gpg
se qualcuno mi può chiarire gliene sarei grato
Questo è l'articolo
https://www2.pd.infn.it/~gravino/comput ... cksig.html
Grazie mille
Auguri a tutti i papà e a chi si chiama Giuseppe o Giuseppina
Buona giornata
Pp
Ultima modifica di Pulcepiccola il mar mar 19, 2019 1:37 pm, modificato 1 volta in totale.
System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: Verificare la firma di un software

Messaggio da System » mar mar 19, 2019 1:37 pm


Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 12418
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana
Contatta:

Re: Verificare la firma di un software

Messaggio da crazy.cat »

gpg mi sembra però che riguardi linux e non windows.
Non ho comunque idea di come funzioni gpg.
“Se tutti i documenti raccontavano la stessa favola, ecco che la menzogna diventava un fatto storico, quindi vera.”
Avatar utente
Pulcepiccola
Livello: Workstation (10/15)
Livello: Workstation (10/15)
Messaggi: 1343
Iscritto il: mar set 30, 2014 4:37 pm

Re: Verificare la firma di un software

Messaggio da Pulcepiccola »

Grazie Crazy cat, che strada mi consigli di seguire per accertarmi dell'autenticità di un software preso dal web? Grazie mille buona giornata
Pp
Avatar utente
CUB3
Moderatore
Moderatore
Messaggi: 3922
Iscritto il: lun gen 26, 2015 10:13 am

Re: Verificare la firma di un software

Messaggio da CUB3 »

GPG c'è anche per Windows.

Il problema della verifica dei file scaricati è un po' più complesso.
Per poterli verificare con GPG è necessario che lo sviluppatore del software abbia una chiave pubblica facilmente reperibile ed è essenziale che rilasci un checksum firmato con la sua chiave privata e sono pochissimi quelli che lo fanno, come, per esempio, gli sviluppatori di TorBrowser che, nella loro documentazione, hanno una pagina dedicata proprio per la verifica del pacchetto di TorBrowser.

Molto spesso ci si "accontenta" di controllare l'integrità del file scaricato... dalla fonte ufficiale!
"Let me tell you a secret: when you hear that the machine is “smart”, what it actually means is that it’s exploitable." Mikko Hypponen
Avatar utente
Pulcepiccola
Livello: Workstation (10/15)
Livello: Workstation (10/15)
Messaggi: 1343
Iscritto il: mar set 30, 2014 4:37 pm

Re: Verificare la firma di un software

Messaggio da Pulcepiccola »

CUB3 ha scritto:GPG c'è anche per Windows.

Il problema della verifica dei file scaricati è un po' più complesso.
Per poterli verificare con GPG è necessario che lo sviluppatore del software abbia una chiave pubblica facilmente reperibile ed è essenziale che rilasci un checksum firmato con la sua chiave privata e sono pochissimi quelli che lo fanno, come, per esempio, gli sviluppatori di TorBrowser che, nella loro documentazione, hanno una pagina dedicata proprio per la verifica del pacchetto di TorBrowser.

Molto spesso ci si "accontenta" di controllare l'integrità del file scaricato... dalla fonte ufficiale!
Grazie mille Cub3 per il tuo prezioso chiarimento
Un caro saluto
Pp
Avatar utente
Pulcepiccola
Livello: Workstation (10/15)
Livello: Workstation (10/15)
Messaggi: 1343
Iscritto il: mar set 30, 2014 4:37 pm

Re: Verificare la firma di un software

Messaggio da Pulcepiccola »

CUB3 ha scritto: mer mar 20, 2019 6:19 pm GPG c'è anche per Windows.

Il problema della verifica dei file scaricati è un po' più complesso.
Per poterli verificare con GPG è necessario che lo sviluppatore del software abbia una chiave pubblica facilmente reperibile ed è essenziale che rilasci un checksum firmato con la sua chiave privata e sono pochissimi quelli che lo fanno, come, per esempio, gli sviluppatori di TorBrowser che, nella loro documentazione, hanno una pagina dedicata proprio per la verifica del pacchetto di TorBrowser.

Molto spesso ci si "accontenta" di controllare l'integrità del file scaricato... dalla fonte ufficiale!
Caro Cub3, ciao, innanzitutto grazie per queste cose che io non conoscevo.
Fino ad ora mi sono limitato a verificare il checksum (Md5) che mi dava solo l' informazione che il pacchetto scaricato da internet è arrivato integro sul mio computer, ma se qualcuno sul sito web e' riuscito a mettere un pacchetto manomesso(e quindi non così come lo ha concepito lo sviluppatore) io sul mio PC non avrò una copia fedele a quella originale creata dallo sviluppatore ma una copia contraffatta creata da un malintenzionato.
Esatto?
Ti scrivo per riassumere quello che ho capito e ti chiedo se poi sciogliermi dei dubbi.
Allora sto pensando di creare sul mio PC fisso con SO Wndows 10 pro (a 64 bit) un server VPN che mi servirà per accedere da remoto, dal telefono, alle mie ipcam inserite nella LAN di casa.Per questo obiettivo ho pensato di utilizzare OpenVPN scaricabile a partire da questa pagina https://swupdate.openvpn.org/community/ ... -I603.exe
Il primo step per verificare la firma dello sviluppatore che ha creato e firmato il pacchetto di installazione 2.4.7 e' scaricare il software Gnupg che usa la tecnologia di criptazione asimmetrica(doppia chiave pubblica e privata) Il link da dove scaricare Gnupg è
https://www.gpg4win.org/

Poi bisogna importare la chiave pubblica dello sviluppatore che si trova su questa pagina
https://openvpn.net/community-resources/sig/
Pero poi mi sono perso in quanto la chiave pubblica è strettamente legata alla chiave privata e non alla persona, come si fa a capire che quella chiave pubblica e di quello sviluppatore? Mi sono perso a cosa serve l'impronta della firma digitale?
Se puoi chiarirmi quali sono gli step che devo fare per accertarmi dell'originalita del pacchetto da scaricare.
Comunque se non ho capito male devo fare anche il controllo
di Md5 per verificare che il file di installazione
sia stato scaricato sul mio PC esente da errori durante il download come suggerito dall'articolo che mi hai postato controllare l'integrità del file scaricato... dalla fonte ufficiale!
Oppure il controllo con Gnupg è esaustivo ed esclude il controllo confrontando gli Md5?
Grazie per il tuo aiuto
Buona serata
Pp
Avatar utente
CUB3
Moderatore
Moderatore
Messaggi: 3922
Iscritto il: lun gen 26, 2015 10:13 am

Re: Verificare la firma di un software

Messaggio da CUB3 »

Pulcepiccola ha scritto: dom mar 31, 2019 10:12 pm Pero poi mi sono perso in quanto la chiave pubblica è strettamente legata alla chiave privata e non alla persona, come si fa a capire che quella chiave pubblica e di quello sviluppatore? Mi sono perso a cosa serve l'impronta della firma digitale? ...
Oppure il controllo con Gnupg è esaustivo ed esclude il controllo confrontando gli Md5?
Per essere sicuro che la chiave pubblica sia proprio quella dello sviluppatore, devi controllare che il "fingerprint" della chiave che scarichi corrisponda a quello dichiarato. Per essere più sicuro, puoi provare a cercare la stessa chiave che scarichi dal sito sul un key server come, ad esempio, http://keys.gnupg.net/ (ma ce ne sono molti altri!!) e vedere (sempre tramite il fingerprint) se effettivamente corrisponde.

Il controllo con GPG è esaustivo, se va a buon fine conferma che il pacchetto è integro ed è effettivamente quello caricato dallo sviluppatore.
"Let me tell you a secret: when you hear that the machine is “smart”, what it actually means is that it’s exploitable." Mikko Hypponen
Avatar utente
Pulcepiccola
Livello: Workstation (10/15)
Livello: Workstation (10/15)
Messaggi: 1343
Iscritto il: mar set 30, 2014 4:37 pm

Re: Verificare la firma di un software

Messaggio da Pulcepiccola »

Ok grazie mille Cub3
Buona notte
Pp
Avatar utente
Pulcepiccola
Livello: Workstation (10/15)
Livello: Workstation (10/15)
Messaggi: 1343
Iscritto il: mar set 30, 2014 4:37 pm

Re: Verificare la firma di un software

Messaggio da Pulcepiccola »

@CUB3

Caro Cub3 ciao,come va?
ti scrivo per chiederti un consiglio operativo.

Volevo scaricare Raspbian Buster Lite
https://www.raspberrypi.org/downloads/raspbian/
per metterla sulla MicroSD e far funzionare il Raspberry PI.
E volevo controllare l'autenticità del programma con GnuPG, però ho visto che sul loro sito c'e solo il checksum
SHA-256: 9e5cf24ce483bb96e7736ea75ca422e3560e7b455eee63dd28f66fa1825db70e


ma non è firmato? la chiave pubblica (il file della firma)non c'é o sto prendendo una cantonata?
Grazie mille per il tuo aiuto
Buona pausa estiva
Pp
Avatar utente
Matilda12
Livello: Workstation (10/15)
Livello: Workstation (10/15)
Messaggi: 1258
Iscritto il: ven ott 18, 2013 2:18 pm
Località: Marche
Contatta:

Re: Verificare la firma di un software

Messaggio da Matilda12 »

Pulcepiccola ha scritto: lun ago 12, 2019 6:22 am ...
Volevo scaricare Raspbian Buster Lite
... ho visto che sul loro sito c'e solo il checksum
SHA-256: 9e5cf24ce483bb96e7736ea75ca422e3560e7b455eee63dd28f66fa1825db70e
...
Perdonate l'intromissione! :imbarazzo:
Un passaggio veloce soltanto per dire sottovoce la mia.
Il fatto che lo sviluppatore abbia messo sul sito l'impronta digitale di Raspbian Buster Lite prelevata con l'algoritmo SHA-256 dovrebbe costituire uno strumento di garanzia all'atto del download (sia in termini di integrità del file scaricato sia di correttezza del file stesso prelevato) e per la successiva installazione.

Ho fatto anche una prova: ho scaricato il file compresso di Raspbian Buster Lite, quindi realizzata l'impronta SHA-256 e confrontata con quella pubblicata, il tutto mediante un vecchio programmino gratuito e standalone dal nome DPASHA (versione 1.99 ... il confronto delle due hash l'ho fatto fare al programma!), sembra essere tutto regolare.

:ciao
"Facesti come quei che va di notte, che porta il lume dietro e sé non giova, ma dopo sé fa le persone dotte"
Dante (Purgatorio, Canto XXII)
Avatar utente
Pulcepiccola
Livello: Workstation (10/15)
Livello: Workstation (10/15)
Messaggi: 1343
Iscritto il: mar set 30, 2014 4:37 pm

Re: Verificare la firma di un software

Messaggio da Pulcepiccola »

Matilda12 ha scritto:
Pulcepiccola ha scritto: lun ago 12, 2019 6:22 am ...
Volevo scaricare Raspbian Buster Lite
... ho visto che sul loro sito c'e solo il checksum
SHA-256: 9e5cf24ce483bb96e7736ea75ca422e3560e7b455eee63dd28f66fa1825db70e
...
Perdonate l'intromissione! :imbarazzo:
Un passaggio veloce soltanto per dire sottovoce la mia.
Il fatto che lo sviluppatore abbia messo sul sito l'impronta digitale di Raspbian Buster Lite prelevata con l'algoritmo SHA-256 dovrebbe costituire uno strumento di garanzia all'atto del download (sia in termini di integrità del file scaricato sia di correttezza del file stesso prelevato) e per la successiva installazione.

Ho fatto anche una prova: ho scaricato il file compresso di Raspbian Buster Lite, quindi realizzata l'impronta SHA-256 e confrontata con quella pubblicata, il tutto mediante un vecchio programmino gratuito e standalone dal nome DPASHA (versione 1.99 ... il confronto delle due hash l'ho fatto fare al programma!), sembra essere tutto regolare.

:ciao
Cara Matilda non basta leggi sopra il post di Cub3
Ciao
Avatar utente
Matilda12
Livello: Workstation (10/15)
Livello: Workstation (10/15)
Messaggi: 1258
Iscritto il: ven ott 18, 2013 2:18 pm
Località: Marche
Contatta:

Re: Verificare la firma di un software

Messaggio da Matilda12 »

Pulcepiccola ha scritto: lun ago 12, 2019 12:53 pm Cara Matilda non basta leggi sopra il post di Cub3
Ciao
Hai ragione: scusami! :imbarazzo:
Dovevo scorrere con maggiore attenzione e calma il thread. :evil:

Leggendo evidentemente un po' troppo in fretta, sono stato più che altro attirato da questi passaggi:

(1)
CUB3 ha scritto: mer mar 20, 2019 6:19 pm Molto spesso ci si "accontenta" di controllare l'integrità del file scaricato... dalla fonte ufficiale!
e

(2)
CUB3 ha scritto: mar apr 02, 2019 11:30 pm ... conferma che il pacchetto è integro ed è effettivamente quello caricato dallo sviluppatore.
per cui ho ritenuto che l'obiettivo semplice fosse quello di essere certi dell'integrità del file scaricato e della sua effettiva corrispondenza rispetto a quello pubblicato dallo sviluppatore, circostanze che con un controllo incrociato delle impronte digitali come sopra detto possono ritenersi - credo - pienamente soddisfatte.

Buon proseguimento! ;)
:ciao
"Facesti come quei che va di notte, che porta il lume dietro e sé non giova, ma dopo sé fa le persone dotte"
Dante (Purgatorio, Canto XXII)
Avatar utente
CUB3
Moderatore
Moderatore
Messaggi: 3922
Iscritto il: lun gen 26, 2015 10:13 am

Re: Verificare la firma di un software

Messaggio da CUB3 »

Pulcepiccola ha scritto: lun ago 12, 2019 6:22 am @CUB3

Caro Cub3 ciao,come va?
ti scrivo per chiederti un consiglio operativo.

Volevo scaricare Raspbian Buster Lite
https://www.raspberrypi.org/downloads/raspbian/
per metterla sulla MicroSD e far funzionare il Raspberry PI.
E volevo controllare l'autenticità del programma con GnuPG, però ho visto che sul loro sito c'e solo il checksum
SHA-256: 9e5cf24ce483bb96e7736ea75ca422e3560e7b455eee63dd28f66fa1825db70e


ma non è firmato? la chiave pubblica (il file della firma)non c'é o sto prendendo una cantonata?
Grazie mille per il tuo aiuto
Buona pausa estiva
Pp
Ciao Pulcepiccola!
Ho controllato velocemente ma non sembra che gli svillupatori offrano la possibilità di verifica tramite GPG purtroppo :(
Ho visto però che ci sono due possibilità di download: una tramite download diretto dal sito e uno tramite torrent. In questi casi, si può preferire il download tramite torrent perché scaricando il file da più fonti contemporaneamente è più difficile da "compromettere" rispetto ad un file che risiede su un server ma, attenzione: non si può comunque considerare una sicurezza aggiuntiva in quanto il torrent potrebbe anche essere stato compromesso all'origine.
"Let me tell you a secret: when you hear that the machine is “smart”, what it actually means is that it’s exploitable." Mikko Hypponen
Avatar utente
Pulcepiccola
Livello: Workstation (10/15)
Livello: Workstation (10/15)
Messaggi: 1343
Iscritto il: mar set 30, 2014 4:37 pm

Re: Verificare la firma di un software

Messaggio da Pulcepiccola »

CUB3 ha scritto:
Pulcepiccola ha scritto: lun ago 12, 2019 6:22 am @CUB3

Caro Cub3 ciao,come va?
ti scrivo per chiederti un consiglio operativo.

Volevo scaricare Raspbian Buster Lite
https://www.raspberrypi.org/downloads/raspbian/
per metterla sulla MicroSD e far funzionare il Raspberry PI.
E volevo controllare l'autenticità del programma con GnuPG, però ho visto che sul loro sito c'e solo il checksum
SHA-256: 9e5cf24ce483bb96e7736ea75ca422e3560e7b455eee63dd28f66fa1825db70e


ma non è firmato? la chiave pubblica (il file della firma)non c'é o sto prendendo una cantonata?
Grazie mille per il tuo aiuto
Buona pausa estiva
Pp
Ciao Pulcepiccola!
Ho controllato velocemente ma non sembra che gli svillupatori offrano la possibilità di verifica tramite GPG purtroppo :(
Ho visto però che ci sono due possibilità di download: una tramite download diretto dal sito e uno tramite torrent. In questi casi, si può preferire il download tramite torrent perché scaricando il file da più fonti contemporaneamente è più difficile da "compromettere" rispetto ad un file che risiede su un server ma, attenzione: non si può comunque considerare una sicurezza aggiuntiva in quanto il torrent potrebbe anche essere stato compromesso all'origine.
Ok grazie Cub3,mi sta venendo un flash forse i file delle firme sono nel pacchetto zip di Raspbbian Lite Quando lo scarico vedro. Grazie un caro saluto
Avatar utente
Pulcepiccola
Livello: Workstation (10/15)
Livello: Workstation (10/15)
Messaggi: 1343
Iscritto il: mar set 30, 2014 4:37 pm

Re: Verificare la firma di un software

Messaggio da Pulcepiccola »

Matilda12 ha scritto:
Pulcepiccola ha scritto: lun ago 12, 2019 12:53 pm Cara Matilda non basta leggi sopra il post di Cub3
Ciao
Hai ragione: scusami! :imbarazzo:
Dovevo scorrere con maggiore attenzione e calma il thread. :evil:

Leggendo evidentemente un po' troppo in fretta, sono stato più che altro attirato da questi passaggi:

(1)
CUB3 ha scritto: mer mar 20, 2019 6:19 pm Molto spesso ci si "accontenta" di controllare l'integrità del file scaricato... dalla fonte ufficiale!
e

(2)
CUB3 ha scritto: mar apr 02, 2019 11:30 pm ... conferma che il pacchetto è integro ed è effettivamente quello caricato dallo sviluppatore.
per cui ho ritenuto che l'obiettivo semplice fosse quello di essere certi dell'integrità del file scaricato e della sua effettiva corrispondenza rispetto a quello pubblicato dallo sviluppatore, circostanze che con un controllo incrociato delle impronte digitali come sopra detto possono ritenersi - credo - pienamente soddisfatte.

Buon proseguimento! ;)
:ciao
Ciao Matilda, non ti devi scusare :) non si finisce mai di imparare :)ringrazio tutto lo staff di Turbolab.
Un caro saluto
Pp
Avatar utente
CUB3
Moderatore
Moderatore
Messaggi: 3922
Iscritto il: lun gen 26, 2015 10:13 am

Re: Verificare la firma di un software

Messaggio da CUB3 »

Pulcepiccola ha scritto: lun ago 12, 2019 4:41 pm mi sta venendo un flash forse i file delle firme sono nel pacchetto zip di Raspbbian Lite
Se fosse così, dov'è la chiave pubblica degli sviluppatori?? Per un corretto utilizzo, il fingerprint della loro chiave dovrebbe essere ben visibile sul loro sito!!
"Let me tell you a secret: when you hear that the machine is “smart”, what it actually means is that it’s exploitable." Mikko Hypponen
Avatar utente
Pulcepiccola
Livello: Workstation (10/15)
Livello: Workstation (10/15)
Messaggi: 1343
Iscritto il: mar set 30, 2014 4:37 pm

Re: Verificare la firma di un software

Messaggio da Pulcepiccola »

CUB3 ha scritto:
Pulcepiccola ha scritto: lun ago 12, 2019 4:41 pm mi sta venendo un flash forse i file delle firme sono nel pacchetto zip di Raspbbian Lite
Se fosse così, dov'è la chiave pubblica degli sviluppatori?? Per un corretto utilizzo, il fingerprint della loro chiave dovrebbe essere ben visibile sul loro sito!!
Infatti alquanto strano che un sistema operativo che deriva da Debian non ha questi accorginenti. Mentre c'e una guida
/index.php/Controllare_l%27integrit%C3%A0_delle_immagini_Debian[/URL]
che tratta di questo argomento per Debian.
Può essere usata su RasPI?
Grazie mille Cub3 buona notte
System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: Re: Verificare la firma di un software

Messaggio da System » mar ago 13, 2019 2:06 am


Rispondi
  • Argomenti simili
    Risposte
    Visite
    Ultimo messaggio