added fingerprint check

This commit is contained in:
freebird 2020-09-27 17:11:51 +02:00
parent fe19a57612
commit 90ce803c53

View file

@ -361,6 +361,22 @@ Non dobbiamo dire a gpg da chi proviene il file. Questa informazione è già pre
Il file {messaggio.txt} è ora leggibile.
### 7.3 - Verificare la fingerprint di una chiave pubblica prima di importarla
Può capitare (capita!) di voler installare software firmato con chiave PGP. In questi casi, oltre al scaricare il programma per l'installazione ci viene suggerito di scaricare la firma digitale che ne certifica l'autenticità. La firma normalmente è un file con lo stesso nome del programma ma con alla fine una estensione aggiuntiva ".sig".
Per poter verificare l'autenticità del software però bisogna anche avere nel proprio portachiavi la **chiave pubblica** utilizzata per firmarlo. Questa deve quindi essere chiaramente indicata nella pagina da cui scarichiamo il software e deve esseci anche fornita la **fingerprint**.
Una volta scaricata sul nostro pc la chiave pubblica, la prima cosa da fare, **prima di installarla nel nostro portachiavi**, è verificare la fingerprint e confrontarla attentamente con quella pubblicata nella pagina da cui abbiamo scaricato il sw. Per farlo digitiamo
mio@pc:~$ gpg --import --import-options show-only Nome_della_PGP_public_key.asc
ora possiamo verificare la corrispondenza della fingerprint. Se corrisponde, possiamo aggiungere questa chiave pubblica al nostro portachiavi.
mio@pc:~$ gpg --import Nome_Della_PGP_public_key.asc
Per verificare l'autenticità del file (software) scaricato procediamo come indicato nella pagina del sito.
[1]: https://gnupg.org/
[2]: https://www.gnupg.org/howtos/it/GPGMiniHowto.html#toc1
[3]: https://www.gnupg.org/documentation/manuals/gnupg/GPG-Commands.html#GPG-Commands