|
|
@@ -361,21 +361,29 @@ Non dobbiamo dire a gpg da chi proviene il file. Questa informazione è già pre
|
|
|
|
|
|
Il file {messaggio.txt} è ora leggibile.
|
|
|
|
|
|
-### 7.3 - Verificare la fingerprint di una chiave pubblica prima di importarla
|
|
|
+### 7.3 - Verificare l'autenticità di un software prima di installarlo
|
|
|
|
|
|
Può capitare (capita!) di voler installare software firmato con chiave PGP. In questi casi, oltre al scaricare il programma per l'installazione ci viene suggerito di scaricare la firma digitale che ne certifica l'autenticità. La firma normalmente è un file con lo stesso nome del programma ma con alla fine una estensione aggiuntiva ".sig".
|
|
|
|
|
|
-Per poter verificare l'autenticità del software però bisogna anche avere nel proprio portachiavi la **chiave pubblica** utilizzata per firmarlo. Questa deve quindi essere chiaramente indicata nella pagina da cui scarichiamo il software e deve esseci anche fornita la **fingerprint**.
|
|
|
+Per poter verificare l'autenticità del software però, bisogna anche avere nel proprio portachiavi la **chiave pubblica** utilizzata per firmarlo. Questa deve quindi essere chiaramente indicata nella pagina da cui scarichiamo il software e deve esseci anche fornita la **fingerprint**.
|
|
|
|
|
|
Una volta scaricata sul nostro pc la chiave pubblica, la prima cosa da fare, **prima di installarla nel nostro portachiavi**, è verificare la fingerprint e confrontarla attentamente con quella pubblicata nella pagina da cui abbiamo scaricato il sw. Per farlo digitiamo
|
|
|
|
|
|
- mio@pc:~$ gpg --import --import-options show-only Nome_della_PGP_public_key.asc
|
|
|
+ mio@pc:~$ gpg --import --import-options show-only {Nome_della_PGP_public_key.asc}
|
|
|
|
|
|
-ora possiamo verificare la corrispondenza della fingerprint. Se corrisponde, possiamo aggiungere questa chiave pubblica al nostro portachiavi.
|
|
|
+ora possiamo verificare la corrispondenza della fingerprint.
|
|
|
+Se corrisponde, possiamo aggiungere questa chiave pubblica al nostro portachiavi.
|
|
|
|
|
|
- mio@pc:~$ gpg --import Nome_Della_PGP_public_key.asc
|
|
|
+ mio@pc:~$ gpg --import {Nome_Della_PGP_public_key.asc}
|
|
|
+
|
|
|
+Per verificare l'autenticità del file (software) scaricato digitiamo
|
|
|
+
|
|
|
+ mio@pc:~$ gpg --verify {nomedelprogramma.tar.bz2.sig} {nomedelprogramma.tar.bz2}.
|
|
|
+
|
|
|
+Il sistema risponderà con una serie di informazioni che comprendono anche la fingerprint utilizzata per la firma.
|
|
|
+Se tra queste infomazioni compare "Good signature from ..... " significa che la firma è autentica, il software può essere installato.
|
|
|
+Quanto sopra ovviamente è valido solo se si ha fiducia in quanto pubblicato nella pagina web dalla quale si è scaricato il software.
|
|
|
|
|
|
-Per verificare l'autenticità del file (software) scaricato procediamo come indicato nella pagina del sito.
|
|
|
|
|
|
[1]: https://gnupg.org/
|
|
|
[2]: https://www.gnupg.org/howtos/it/GPGMiniHowto.html#toc1
|
