Verificare la firma di un software

Se Windows genera un errore, hai un problema di virus o vuoi discutere/segnalare l'uscita della nuova versione di un software per la piattaforma Microsoft, questa è la sezione giusta.
Regole del forum
Rispondi
Avatar utente
Pulcepiccola
Livello: Disco fisso (9/15)
Livello: Disco fisso (9/15)
Messaggi: 880
Iscritto il: mar set 30, 2014 4:37 pm

Verificare la firma di un software

Messaggio da Pulcepiccola » mar mar 19, 2019 1:37 pm

Carissimi voglio essere sicuro che i programmi che scarico da internet siano autentici e ho letto questo articolo che tratta di come verificare la firma di un programma, però non riesco a capire
al paragrafo
Nessun sito e` affidabile

si legge verso la fine:

Questo significa che e` importante controllare l'autenticita` del software anche quando lo si scarica da siti autorevoli e percio` considerati sicuri. Quasi sempre il software distribuito da questi siti e` dotato di firma digitale: bisogna controllarla usando gpg

non riesco a capire cos'è e come si usa gpg
se qualcuno mi può chiarire gliene sarei grato
Questo è l'articolo
https://www2.pd.infn.it/~gravino/comput ... cksig.html
Grazie mille
Auguri a tutti i papà e a chi si chiama Giuseppe o Giuseppina
Buona giornata
Pp
Ultima modifica di Pulcepiccola il mar mar 19, 2019 1:37 pm, modificato 1 volta in totale.

System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: Verificare la firma di un software

Messaggio da System » mar mar 19, 2019 1:37 pm


Avatar utente
crazy.cat
Amministratore
Amministratore
Messaggi: 7313
Iscritto il: mer mag 01, 2013 4:02 pm
Località: Noventa Padovana

Re: Verificare la firma di un software

Messaggio da crazy.cat » mer mar 20, 2019 6:10 am

gpg mi sembra però che riguardi linux e non windows.
Non ho comunque idea di come funzioni gpg.
Comportati con il tuo inferiore come vorresti che il tuo superiore si comportasse con te.

Avatar utente
Pulcepiccola
Livello: Disco fisso (9/15)
Livello: Disco fisso (9/15)
Messaggi: 880
Iscritto il: mar set 30, 2014 4:37 pm

Re: Verificare la firma di un software

Messaggio da Pulcepiccola » mer mar 20, 2019 8:44 am

Grazie Crazy cat, che strada mi consigli di seguire per accertarmi dell'autenticità di un software preso dal web? Grazie mille buona giornata
Pp

Avatar utente
CUB3
Moderatore
Moderatore
Messaggi: 1510
Iscritto il: lun gen 26, 2015 10:13 am

Re: Verificare la firma di un software

Messaggio da CUB3 » mer mar 20, 2019 6:19 pm

GPG c'è anche per Windows.

Il problema della verifica dei file scaricati è un po' più complesso.
Per poterli verificare con GPG è necessario che lo sviluppatore del software abbia una chiave pubblica facilmente reperibile ed è essenziale che rilasci un checksum firmato con la sua chiave privata e sono pochissimi quelli che lo fanno, come, per esempio, gli sviluppatori di TorBrowser che, nella loro documentazione, hanno una pagina dedicata proprio per la verifica del pacchetto di TorBrowser.

Molto spesso ci si "accontenta" di controllare l'integrità del file scaricato... dalla fonte ufficiale!
"Let me tell you a secret: when you hear that the machine is “smart”, what it actually means is that it’s exploitable." Mikko Hypponen

Avatar utente
Pulcepiccola
Livello: Disco fisso (9/15)
Livello: Disco fisso (9/15)
Messaggi: 880
Iscritto il: mar set 30, 2014 4:37 pm

Re: Verificare la firma di un software

Messaggio da Pulcepiccola » mer mar 20, 2019 8:03 pm

CUB3 ha scritto:GPG c'è anche per Windows.

Il problema della verifica dei file scaricati è un po' più complesso.
Per poterli verificare con GPG è necessario che lo sviluppatore del software abbia una chiave pubblica facilmente reperibile ed è essenziale che rilasci un checksum firmato con la sua chiave privata e sono pochissimi quelli che lo fanno, come, per esempio, gli sviluppatori di TorBrowser che, nella loro documentazione, hanno una pagina dedicata proprio per la verifica del pacchetto di TorBrowser.

Molto spesso ci si "accontenta" di controllare l'integrità del file scaricato... dalla fonte ufficiale!
Grazie mille Cub3 per il tuo prezioso chiarimento
Un caro saluto
Pp

Avatar utente
Pulcepiccola
Livello: Disco fisso (9/15)
Livello: Disco fisso (9/15)
Messaggi: 880
Iscritto il: mar set 30, 2014 4:37 pm

Re: Verificare la firma di un software

Messaggio da Pulcepiccola » dom mar 31, 2019 10:12 pm

CUB3 ha scritto:
mer mar 20, 2019 6:19 pm
GPG c'è anche per Windows.

Il problema della verifica dei file scaricati è un po' più complesso.
Per poterli verificare con GPG è necessario che lo sviluppatore del software abbia una chiave pubblica facilmente reperibile ed è essenziale che rilasci un checksum firmato con la sua chiave privata e sono pochissimi quelli che lo fanno, come, per esempio, gli sviluppatori di TorBrowser che, nella loro documentazione, hanno una pagina dedicata proprio per la verifica del pacchetto di TorBrowser.

Molto spesso ci si "accontenta" di controllare l'integrità del file scaricato... dalla fonte ufficiale!
Caro Cub3, ciao, innanzitutto grazie per queste cose che io non conoscevo.
Fino ad ora mi sono limitato a verificare il checksum (Md5) che mi dava solo l' informazione che il pacchetto scaricato da internet è arrivato integro sul mio computer, ma se qualcuno sul sito web e' riuscito a mettere un pacchetto manomesso(e quindi non così come lo ha concepito lo sviluppatore) io sul mio PC non avrò una copia fedele a quella originale creata dallo sviluppatore ma una copia contraffatta creata da un malintenzionato.
Esatto?
Ti scrivo per riassumere quello che ho capito e ti chiedo se poi sciogliermi dei dubbi.
Allora sto pensando di creare sul mio PC fisso con SO Wndows 10 pro (a 64 bit) un server VPN che mi servirà per accedere da remoto, dal telefono, alle mie ipcam inserite nella LAN di casa.Per questo obiettivo ho pensato di utilizzare OpenVPN scaricabile a partire da questa pagina https://swupdate.openvpn.org/community/ ... -I603.exe
Il primo step per verificare la firma dello sviluppatore che ha creato e firmato il pacchetto di installazione 2.4.7 e' scaricare il software Gnupg che usa la tecnologia di criptazione asimmetrica(doppia chiave pubblica e privata) Il link da dove scaricare Gnupg è
https://www.gpg4win.org/

Poi bisogna importare la chiave pubblica dello sviluppatore che si trova su questa pagina
https://openvpn.net/community-resources/sig/
Pero poi mi sono perso in quanto la chiave pubblica è strettamente legata alla chiave privata e non alla persona, come si fa a capire che quella chiave pubblica e di quello sviluppatore? Mi sono perso a cosa serve l'impronta della firma digitale?
Se puoi chiarirmi quali sono gli step che devo fare per accertarmi dell'originalita del pacchetto da scaricare.
Comunque se non ho capito male devo fare anche il controllo
di Md5 per verificare che il file di installazione
sia stato scaricato sul mio PC esente da errori durante il download come suggerito dall'articolo che mi hai postato controllare l'integrità del file scaricato... dalla fonte ufficiale!
Oppure il controllo con Gnupg è esaustivo ed esclude il controllo confrontando gli Md5?
Grazie per il tuo aiuto
Buona serata
Pp

Avatar utente
CUB3
Moderatore
Moderatore
Messaggi: 1510
Iscritto il: lun gen 26, 2015 10:13 am

Re: Verificare la firma di un software

Messaggio da CUB3 » mar apr 02, 2019 11:30 pm

Pulcepiccola ha scritto:
dom mar 31, 2019 10:12 pm
Pero poi mi sono perso in quanto la chiave pubblica è strettamente legata alla chiave privata e non alla persona, come si fa a capire che quella chiave pubblica e di quello sviluppatore? Mi sono perso a cosa serve l'impronta della firma digitale? ...
Oppure il controllo con Gnupg è esaustivo ed esclude il controllo confrontando gli Md5?
Per essere sicuro che la chiave pubblica sia proprio quella dello sviluppatore, devi controllare che il "fingerprint" della chiave che scarichi corrisponda a quello dichiarato. Per essere più sicuro, puoi provare a cercare la stessa chiave che scarichi dal sito sul un key server come, ad esempio, http://keys.gnupg.net/ (ma ce ne sono molti altri!!) e vedere (sempre tramite il fingerprint) se effettivamente corrisponde.

Il controllo con GPG è esaustivo, se va a buon fine conferma che il pacchetto è integro ed è effettivamente quello caricato dallo sviluppatore.
"Let me tell you a secret: when you hear that the machine is “smart”, what it actually means is that it’s exploitable." Mikko Hypponen

Avatar utente
Pulcepiccola
Livello: Disco fisso (9/15)
Livello: Disco fisso (9/15)
Messaggi: 880
Iscritto il: mar set 30, 2014 4:37 pm

Re: Verificare la firma di un software

Messaggio da Pulcepiccola » mer apr 03, 2019 12:12 am

Ok grazie mille Cub3
Buona notte
Pp

System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: Re: Verificare la firma di un software

Messaggio da System » mer apr 03, 2019 12:12 am


Rispondi
  • Argomenti simili
    Risposte
    Visite
    Ultimo messaggio