Come verificare se i file che scarichi sono autentici

Il motivo per cui è così importante è che ci sono persone che ospitano versioni mal intenzionalmente modificate di questi programmi e ospiteranno siti legittimi per cercare di scaricare la loro versione, che può installare cose come backdoor nei computer, keylogger e tutti tipi di brutte sorprese.
A volte gli sviluppatori offrono mirror per i loro progetti, che sono semplicemente dei link alternativi da scaricare nel caso in cui il server principale sia troppo lento o inattivo. A volte questi mirror possono diventare compromessi senza la conoscenza degli sviluppatori, ma in certe situazioni potrebbero essere indispensabili.
Ad esempio stai viaggiando fuoi dal paese, non hai tor o tails sul tuo laptop e l’hotel in cui ti trovi ha la pagina principale di tor bloccata. In questo caso sei costretto a trovare un mirror alternativo per scaricare alcune cose.

Poi c’è l’attacco man-in-the-middle in cui un aggressore può iniettare un codice dannoso nel traffico di rete e alterare il file che stai scaricando. Gli sviluppatori tor hanno persino riferito che gli hacker hanno la capacità di indurre il tuo browser a pensare che stai visitando la home page di tor quando in realtà non lo sei.

Quindi cosa fare a riguardo? È possibile verificare che il file scaricato sia effettivamente legittimo e lo strumento migliore per questo è gnupg. Gli sviluppatori di tor consigliano di scaricarlo dalla pagina seguente (per utenti windows) .
https://www.gpg4win.org/download.html

È possibile installare questo programma sull’unità usb o sul proprio computer, il sistema operativo del computer in uso verrà definito come sistema operativo host. Quindi scaricalo, eseguilo, installalo e inizieremo a mostrarti come usare gnupg.
Una volta entrato nella pagina di download di gnupg, vedrai qualcosa sotto la grande casella verde chiamata “OpenPGP signature”, scaricalo nella stessa cartella del file gnupg, è il file con cui è stato firmato il download. Fondamentalmente la firma di qualcuno dice che ha creato quel file e per verificarla hai anche bisogno di una chiave pubblica pgp.
Quindi la firma viene creata dalla chiave privata pgp e può essere verificata dalla chiave pubblica pgp. Il file della firma viene utilizzato per verificare il programma stesso.
Perciò ci serve la chiave pubblica pgp per gnupg.

[amazon_link asins=’B079WZ5RDF,B0742HZ6XJ,B075F86XKD,B0743NB2PK,B078Y9CG8W,B073GV4QXD,B073XF1VMK,B078H7J43T,B077PSK5QJ’ template=’ProductCarousel’ store=’nuvolainforma-21′ marketplace=’IT’ link_id=’39bba387-5b80-11e8-97a4-61c276b2937a’]
Se si guarda sulla stessa pagina di download, sotto l’intestazione installazione, verrà visualizzato un link in cui viene indicato “verify the integrity”, che vi condurrà alla seguente pagina:
https://gpg4win.org/package-integrity.html

Una volta entrato, vai in basso, dove dice “OpenPGP signatures” e scarica quel file. Questo è il file della chiave pubblica pgp, salvalo nella stessa posizione del file della firma per facilità d’uso.

Ora che abbiamo sia il file della firma che la chiave pubblica pgp, possiamo verificare il nostro download.
La prima cosa che devi fare è cercare il file della chiave pubblica pgp, chiamato “Intervation-Distribution-Key.asc”, fare clic con il pulsante destro del mouse e andare su “More GpgEX Options” e in basso cliccare “Import Keys”. Questo importerà la chiave pubblica pgp nel tuo portachiavi, e ora puoi verificare il file con la firma.

Proseguiamo cliccando con il pulsante destro del mouse sul file che vuoi verificare, in questo caso “gpg4win-2.2.1.exe”, vai su “More GpgEX Options” e verso il basso su “Verify”, dovrebbe rilevare automaticamente il file della firma dove dice “Input File”, ma in caso contrario, accedere al file della firma e assicurarsi che la casella sotto di essa, in cui è scritto “Input file is a detached signature”, sia selezionata.
Guarda in fondo e fai clic su “Decrypt/Verify” e probabilmente riceverai il seguente messaggio:

“Not enough information to check signature validity. Check details.” Tradotto: ”Informazioni insufficienti per verificare la validità della firma. Controllare i dettagli.”

Che ci crediate o no, è tutto a posto.
Clicca su “show details”, e cerca questo:
“Signed on 2013-10-07 08:31 by [email protected] (Key ID: 0xEC70B1B8). The validity of the signature cannot be verified.”

Ora torna alla pagina da Gpg4Win, dove hai trovato il link alla pagina che conteneva la chiave pubblica pgp che vedrai in quella pagina e clicca su “Check Integrity”.
Troverai questa scritta:
“Intevation File Distribution Key (Key ID: EC70B1B8)”

Prendi nota dell’id della chiave dal risultato della decrittografia e dell’id della pagina verifica integrità e prendi nota anche dell’indirizzo email che termina con lo stesso url da cui è stata scaricata la chiave pubblica pgp.

[amazon_link asins=’8850332009′ template=’ProductAd’ store=’nuvolainforma-21′ marketplace=’IT’ link_id=’48d6d37e-5b80-11e8-aa00-3df25192a8bb’]

Articolo creato 137

Articoli correlati

Inizia a scrivere il termine ricerca qua sopra e premi invio per iniziare la ricerca. Premi ESC per annullare.

Torna in alto