modified #7.3

This commit is contained in:
freebird 2020-09-27 18:04:10 +02:00
parent 90ce803c53
commit a9d895772a

View file

@ -361,21 +361,29 @@ Non dobbiamo dire a gpg da chi proviene il file. Questa informazione è già pre
Il file {messaggio.txt} è ora leggibile.
### 7.3 - Verificare la fingerprint di una chiave pubblica prima di importarla
### 7.3 - Verificare l'autenticità di un software prima di installarlo
Può capitare (capita!) di voler installare software firmato con chiave PGP. In questi casi, oltre al scaricare il programma per l'installazione ci viene suggerito di scaricare la firma digitale che ne certifica l'autenticità. La firma normalmente è un file con lo stesso nome del programma ma con alla fine una estensione aggiuntiva ".sig".
Per poter verificare l'autenticità del software però bisogna anche avere nel proprio portachiavi la **chiave pubblica** utilizzata per firmarlo. Questa deve quindi essere chiaramente indicata nella pagina da cui scarichiamo il software e deve esseci anche fornita la **fingerprint**.
Per poter verificare l'autenticità del software però, bisogna anche avere nel proprio portachiavi la **chiave pubblica** utilizzata per firmarlo. Questa deve quindi essere chiaramente indicata nella pagina da cui scarichiamo il software e deve esseci anche fornita la **fingerprint**.
Una volta scaricata sul nostro pc la chiave pubblica, la prima cosa da fare, **prima di installarla nel nostro portachiavi**, è verificare la fingerprint e confrontarla attentamente con quella pubblicata nella pagina da cui abbiamo scaricato il sw. Per farlo digitiamo
mio@pc:~$ gpg --import --import-options show-only Nome_della_PGP_public_key.asc
mio@pc:~$ gpg --import --import-options show-only {Nome_della_PGP_public_key.asc}
ora possiamo verificare la corrispondenza della fingerprint. Se corrisponde, possiamo aggiungere questa chiave pubblica al nostro portachiavi.
ora possiamo verificare la corrispondenza della fingerprint.
Se corrisponde, possiamo aggiungere questa chiave pubblica al nostro portachiavi.
mio@pc:~$ gpg --import Nome_Della_PGP_public_key.asc
mio@pc:~$ gpg --import {Nome_Della_PGP_public_key.asc}
Per verificare l'autenticità del file (software) scaricato digitiamo
mio@pc:~$ gpg --verify {nomedelprogramma.tar.bz2.sig} {nomedelprogramma.tar.bz2}.
Il sistema risponderà con una serie di informazioni che comprendono anche la fingerprint utilizzata per la firma.
Se tra queste infomazioni compare "Good signature from ..... " significa che la firma è autentica, il software può essere installato.
Quanto sopra ovviamente è valido solo se si ha fiducia in quanto pubblicato nella pagina web dalla quale si è scaricato il software.
Per verificare l'autenticità del file (software) scaricato procediamo come indicato nella pagina del sito.
[1]: https://gnupg.org/
[2]: https://www.gnupg.org/howtos/it/GPGMiniHowto.html#toc1