diff --git a/docs/GnuPG/GPG-guida.md b/docs/GnuPG/GPG-guida.md index c9bca09..99adae6 100644 --- a/docs/GnuPG/GPG-guida.md +++ b/docs/GnuPG/GPG-guida.md @@ -361,6 +361,22 @@ Non dobbiamo dire a gpg da chi proviene il file. Questa informazione è già pre Il file {messaggio.txt} è ora leggibile. +### 7.3 - Verificare la fingerprint di una chiave pubblica prima di importarla + +Può capitare (capita!) di voler installare software firmato con chiave PGP. In questi casi, oltre al scaricare il programma per l'installazione ci viene suggerito di scaricare la firma digitale che ne certifica l'autenticità. La firma normalmente è un file con lo stesso nome del programma ma con alla fine una estensione aggiuntiva ".sig". + +Per poter verificare l'autenticità del software però bisogna anche avere nel proprio portachiavi la **chiave pubblica** utilizzata per firmarlo. Questa deve quindi essere chiaramente indicata nella pagina da cui scarichiamo il software e deve esseci anche fornita la **fingerprint**. + +Una volta scaricata sul nostro pc la chiave pubblica, la prima cosa da fare, **prima di installarla nel nostro portachiavi**, è verificare la fingerprint e confrontarla attentamente con quella pubblicata nella pagina da cui abbiamo scaricato il sw. Per farlo digitiamo + + mio@pc:~$ gpg --import --import-options show-only Nome_della_PGP_public_key.asc + +ora possiamo verificare la corrispondenza della fingerprint. Se corrisponde, possiamo aggiungere questa chiave pubblica al nostro portachiavi. + + mio@pc:~$ gpg --import Nome_Della_PGP_public_key.asc + +Per verificare l'autenticità del file (software) scaricato procediamo come indicato nella pagina del sito. + [1]: https://gnupg.org/ [2]: https://www.gnupg.org/howtos/it/GPGMiniHowto.html#toc1 [3]: https://www.gnupg.org/documentation/manuals/gnupg/GPG-Commands.html#GPG-Commands