Pagina 1 di 1
Verificare la firma di un software
Inviato: mar mar 19, 2019 1:37 pm
da Pulcepiccola
Carissimi voglio essere sicuro che i programmi che scarico da internet siano autentici e ho letto questo articolo che tratta di come verificare la firma di un programma, però non riesco a capire
al paragrafo
Nessun sito e` affidabile
si legge verso la fine:
Questo significa che e` importante controllare l'autenticita` del software anche quando lo si scarica da siti autorevoli e percio` considerati sicuri. Quasi sempre il software distribuito da questi siti e` dotato di firma digitale: bisogna controllarla usando gpg
non riesco a capire cos'è e come si usa gpg
se qualcuno mi può chiarire gliene sarei grato
Questo è l'articolo
https://www2.pd.infn.it/~gravino/comput ... cksig.html
Grazie mille
Auguri a tutti i papà e a chi si chiama Giuseppe o Giuseppina
Buona giornata
Pp
Re: Verificare la firma di un software
Inviato: mer mar 20, 2019 6:10 am
da crazy.cat
gpg mi sembra però che riguardi linux e non windows.
Non ho comunque idea di come funzioni gpg.
Re: Verificare la firma di un software
Inviato: mer mar 20, 2019 8:44 am
da Pulcepiccola
Grazie Crazy cat, che strada mi consigli di seguire per accertarmi dell'autenticità di un software preso dal web? Grazie mille buona giornata
Pp
Re: Verificare la firma di un software
Inviato: mer mar 20, 2019 6:19 pm
da CUB3
GPG c'è anche per Windows.
Il problema della verifica dei file scaricati è un po' più complesso.
Per poterli verificare con GPG è necessario che lo sviluppatore del software abbia una chiave pubblica facilmente reperibile ed è essenziale che rilasci un checksum firmato con la sua chiave privata e sono pochissimi quelli che lo fanno, come, per esempio, gli sviluppatori di TorBrowser che, nella loro documentazione, hanno una pagina dedicata proprio per la verifica del pacchetto di TorBrowser.
Molto spesso ci si "accontenta" di controllare l'integrità del file scaricato... dalla fonte ufficiale!
Re: Verificare la firma di un software
Inviato: mer mar 20, 2019 8:03 pm
da Pulcepiccola
Grazie mille Cub3 per il tuo prezioso chiarimento
Un caro saluto
Pp
Re: Verificare la firma di un software
Inviato: dom mar 31, 2019 10:12 pm
da Pulcepiccola
Caro Cub3, ciao, innanzitutto grazie per queste cose che io non conoscevo.
Fino ad ora mi sono limitato a verificare il checksum (Md5) che mi dava solo l' informazione che il pacchetto scaricato da internet è arrivato integro sul mio computer, ma se qualcuno sul sito web e' riuscito a mettere un pacchetto manomesso(e quindi non così come lo ha concepito lo sviluppatore) io sul mio PC non avrò una copia fedele a quella originale creata dallo sviluppatore ma una copia contraffatta creata da un malintenzionato.
Esatto?
Ti scrivo per riassumere quello che ho capito e ti chiedo se poi sciogliermi dei dubbi.
Allora sto pensando di creare sul mio PC fisso con SO Wndows 10 pro (a 64 bit) un server VPN che mi servirà per accedere da remoto, dal telefono, alle mie ipcam inserite nella LAN di casa.Per questo obiettivo ho pensato di utilizzare OpenVPN scaricabile a partire da questa pagina https://swupdate.openvpn.org/community/ ... -I603.exe
Il primo step per verificare la firma dello sviluppatore che ha creato e firmato il pacchetto di installazione 2.4.7 e' scaricare il software Gnupg che usa la tecnologia di criptazione asimmetrica(doppia chiave pubblica e privata) Il link da dove scaricare Gnupg è
https://www.gpg4win.org/
Poi bisogna importare la chiave pubblica dello sviluppatore che si trova su questa pagina
https://openvpn.net/community-resources/sig/
Pero poi mi sono perso in quanto la chiave pubblica è strettamente legata alla chiave privata e non alla persona, come si fa a capire che quella chiave pubblica e di quello sviluppatore? Mi sono perso a cosa serve l'impronta della firma digitale?
Se puoi chiarirmi quali sono gli step che devo fare per accertarmi dell'originalita del pacchetto da scaricare.
Comunque se non ho capito male devo fare anche il controllo
di Md5 per verificare che il file di installazione
sia stato scaricato sul mio PC esente da errori durante il download come suggerito dall'articolo che mi hai postato controllare l'integrità del file scaricato... dalla fonte ufficiale!
Oppure il controllo con Gnupg è esaustivo ed esclude il controllo confrontando gli Md5?
Grazie per il tuo aiuto
Buona serata
Pp
Re: Verificare la firma di un software
Inviato: mar apr 02, 2019 11:30 pm
da CUB3
Pulcepiccola ha scritto: dom mar 31, 2019 10:12 pm
Pero poi mi sono perso in quanto la chiave pubblica è strettamente legata alla chiave privata e non alla persona, come si fa a capire che quella chiave pubblica e di quello sviluppatore? Mi sono perso a cosa serve l'impronta della firma digitale? ...
Oppure il controllo con Gnupg è esaustivo ed esclude il controllo confrontando gli Md5?
Per essere sicuro che la chiave pubblica sia proprio quella dello sviluppatore, devi controllare che il "fingerprint" della chiave che scarichi corrisponda a quello dichiarato. Per essere più sicuro, puoi provare a cercare la stessa chiave che scarichi dal sito sul un key server come, ad esempio, http://keys.gnupg.net/ (ma ce ne sono molti altri!!) e vedere (sempre tramite il fingerprint) se effettivamente corrisponde.
Il controllo con GPG è esaustivo, se va a buon fine conferma che il pacchetto è integro ed è effettivamente quello caricato dallo sviluppatore.
Re: Verificare la firma di un software
Inviato: mer apr 03, 2019 12:12 am
da Pulcepiccola
Ok grazie mille Cub3
Buona notte
Pp
Re: Verificare la firma di un software
Inviato: lun ago 12, 2019 6:22 am
da Pulcepiccola
@CUB3
Caro Cub3 ciao,come va?
ti scrivo per chiederti un consiglio operativo.
Volevo scaricare Raspbian Buster Lite
https://www.raspberrypi.org/downloads/raspbian/
per metterla sulla MicroSD e far funzionare il Raspberry PI.
E volevo controllare l'autenticità del programma con GnuPG, però ho visto che sul loro sito c'e solo il checksum
SHA-256: 9e5cf24ce483bb96e7736ea75ca422e3560e7b455eee63dd28f66fa1825db70e
ma non è firmato? la chiave pubblica (il file della firma)non c'é o sto prendendo una cantonata?
Grazie mille per il tuo aiuto
Buona pausa estiva
Pp
Re: Verificare la firma di un software
Inviato: lun ago 12, 2019 12:23 pm
da Matilda12
Pulcepiccola ha scritto: lun ago 12, 2019 6:22 am
...
Volevo scaricare Raspbian Buster Lite
... ho visto che sul loro sito c'e solo il checksum
SHA-256: 9e5cf24ce483bb96e7736ea75ca422e3560e7b455eee63dd28f66fa1825db70e
...
Perdonate l'intromissione! 
Un passaggio veloce soltanto per dire sottovoce la mia.
Il fatto che lo sviluppatore abbia messo sul sito l'impronta digitale di Raspbian Buster Lite prelevata con l'algoritmo SHA-256 dovrebbe costituire uno strumento di garanzia all'atto del download (sia in termini di integrità del file scaricato sia di correttezza del file stesso prelevato) e per la successiva installazione.
Ho fatto anche una prova: ho scaricato il file compresso di Raspbian Buster Lite, quindi realizzata l'impronta SHA-256 e confrontata con quella pubblicata, il tutto mediante un vecchio programmino gratuito e standalone dal nome DPASHA (versione 1.99 ... il confronto delle due hash l'ho fatto fare al programma!), sembra essere tutto regolare.
Re: Verificare la firma di un software
Inviato: lun ago 12, 2019 12:53 pm
da Pulcepiccola
Matilda12 ha scritto:Pulcepiccola ha scritto: lun ago 12, 2019 6:22 am
...
Volevo scaricare Raspbian Buster Lite
... ho visto che sul loro sito c'e solo il checksum
SHA-256: 9e5cf24ce483bb96e7736ea75ca422e3560e7b455eee63dd28f66fa1825db70e
...
Perdonate l'intromissione!
Un passaggio veloce soltanto per dire sottovoce la mia.
Il fatto che lo sviluppatore abbia messo sul sito l'impronta digitale di Raspbian Buster Lite prelevata con l'algoritmo SHA-256 dovrebbe costituire uno strumento di garanzia all'atto del download (sia in termini di integrità del file scaricato sia di correttezza del file stesso prelevato) e per la successiva installazione.
Ho fatto anche una prova: ho scaricato il file compresso di Raspbian Buster Lite, quindi realizzata l'impronta SHA-256 e confrontata con quella pubblicata, il tutto mediante un vecchio programmino gratuito e
standalone dal nome
DPASHA (versione 1.99 ... il confronto delle due hash l'ho fatto fare al programma!), sembra essere tutto regolare.
Cara Matilda non basta leggi sopra il post di Cub3
Ciao
Re: Verificare la firma di un software
Inviato: lun ago 12, 2019 3:53 pm
da Matilda12
Pulcepiccola ha scritto: lun ago 12, 2019 12:53 pm
Cara Matilda non basta leggi sopra il post di Cub3
Ciao
Hai ragione: scusami!
Dovevo scorrere con maggiore attenzione e calma il thread. 
Leggendo evidentemente un po' troppo in fretta, sono stato più che altro attirato da questi passaggi:
(1)
e
(2)
CUB3 ha scritto: mar apr 02, 2019 11:30 pm
... conferma che il pacchetto è integro ed è effettivamente quello caricato dallo sviluppatore.
per cui ho ritenuto che l'obiettivo semplice fosse quello di essere certi dell'integrità del file scaricato e della sua effettiva corrispondenza rispetto a quello pubblicato dallo sviluppatore, circostanze che con un controllo incrociato delle impronte digitali come sopra detto possono ritenersi - credo - pienamente soddisfatte.
Buon proseguimento! 
Re: Verificare la firma di un software
Inviato: lun ago 12, 2019 4:08 pm
da CUB3
Pulcepiccola ha scritto: lun ago 12, 2019 6:22 am
@CUB3
Caro Cub3 ciao,come va?
ti scrivo per chiederti un consiglio operativo.
Volevo scaricare Raspbian Buster Lite
https://www.raspberrypi.org/downloads/raspbian/
per metterla sulla MicroSD e far funzionare il Raspberry PI.
E volevo controllare l'autenticità del programma con GnuPG, però ho visto che sul loro sito c'e solo il checksum
SHA-256: 9e5cf24ce483bb96e7736ea75ca422e3560e7b455eee63dd28f66fa1825db70e
ma non è firmato? la chiave pubblica (il file della firma)non c'é o sto prendendo una cantonata?
Grazie mille per il tuo aiuto
Buona pausa estiva
Pp
Ciao Pulcepiccola!
Ho controllato velocemente ma non sembra che gli svillupatori offrano la possibilità di verifica tramite GPG purtroppo 
Ho visto però che ci sono due possibilità di download: una tramite download diretto dal sito e uno tramite torrent. In questi casi, si può preferire il download tramite torrent perché scaricando il file da più fonti contemporaneamente è più difficile da "compromettere" rispetto ad un file che risiede su un server ma, attenzione: non si può comunque considerare una sicurezza aggiuntiva in quanto il torrent potrebbe anche essere stato compromesso all'origine.
Re: Verificare la firma di un software
Inviato: lun ago 12, 2019 4:41 pm
da Pulcepiccola
CUB3 ha scritto:Pulcepiccola ha scritto: lun ago 12, 2019 6:22 am
@CUB3
Caro Cub3 ciao,come va?
ti scrivo per chiederti un consiglio operativo.
Volevo scaricare Raspbian Buster Lite
https://www.raspberrypi.org/downloads/raspbian/
per metterla sulla MicroSD e far funzionare il Raspberry PI.
E volevo controllare l'autenticità del programma con GnuPG, però ho visto che sul loro sito c'e solo il checksum
SHA-256: 9e5cf24ce483bb96e7736ea75ca422e3560e7b455eee63dd28f66fa1825db70e
ma non è firmato? la chiave pubblica (il file della firma)non c'é o sto prendendo una cantonata?
Grazie mille per il tuo aiuto
Buona pausa estiva
Pp
Ciao Pulcepiccola!
Ho controllato velocemente ma non sembra che gli svillupatori offrano la possibilità di verifica tramite GPG purtroppo
Ho visto però che ci sono due possibilità di download: una tramite download diretto dal sito e uno tramite torrent. In questi casi, si può preferire il download tramite torrent perché scaricando il file da più fonti contemporaneamente è più difficile da "compromettere" rispetto ad un file che risiede su un server ma, attenzione: non si
può comunque considerare una sicurezza aggiuntiva in quanto il torrent potrebbe anche essere stato compromesso all'origine.
Ok grazie Cub3,mi sta venendo un flash forse i file delle firme sono nel pacchetto zip di Raspbbian Lite Quando lo scarico vedro. Grazie un caro saluto
Re: Verificare la firma di un software
Inviato: lun ago 12, 2019 4:47 pm
da Pulcepiccola
Matilda12 ha scritto:Pulcepiccola ha scritto: lun ago 12, 2019 12:53 pm
Cara Matilda non basta leggi sopra il post di Cub3
Ciao
Hai ragione: scusami!
Dovevo scorrere con maggiore attenzione e calma il thread.
Leggendo evidentemente un po' troppo in fretta, sono stato più che altro attirato da questi passaggi:
(1)
e
(2)
CUB3 ha scritto: mar apr 02, 2019 11:30 pm
... conferma che il pacchetto è integro ed è effettivamente quello caricato dallo sviluppatore.
per cui ho ritenuto che l'obiettivo
semplice fosse quello di essere certi dell'integrità del file scaricato e della sua effettiva corrispondenza rispetto a quello pubblicato dallo sviluppatore, circostanze che con un controllo incrociato delle impronte digitali come sopra detto possono ritenersi - credo - pienamente soddisfatte.
Buon proseguimento!
Ciao Matilda, non ti devi scusare 
non si finisce mai di imparare :)ringrazio tutto lo staff di Turbolab.
Un caro saluto
Pp
Re: Verificare la firma di un software
Inviato: lun ago 12, 2019 9:04 pm
da CUB3
Pulcepiccola ha scritto: lun ago 12, 2019 4:41 pm
mi sta venendo un flash forse i file delle firme sono nel pacchetto zip di Raspbbian Lite
Se fosse così, dov'è la chiave pubblica degli sviluppatori?? Per un corretto utilizzo, il fingerprint della loro chiave dovrebbe essere ben visibile sul loro sito!!
Re: Verificare la firma di un software
Inviato: mar ago 13, 2019 2:06 am
da Pulcepiccola
CUB3 ha scritto:Pulcepiccola ha scritto: lun ago 12, 2019 4:41 pm
mi sta venendo un flash forse i file delle firme sono nel pacchetto zip di Raspbbian Lite
Se fosse così, dov'è la chiave pubblica degli sviluppatori?? Per un corretto utilizzo, il fingerprint della loro chiave dovrebbe essere ben visibile sul loro sito!!
Infatti alquanto strano che un sistema operativo che deriva da Debian non ha questi accorginenti. Mentre c'e una guida
/index.php/Controllare_l%27integrit%C3%A0_delle_immagini_Debian[/URL]
che tratta di questo argomento per Debian.
Può essere usata su RasPI?
Grazie mille Cub3 buona notte