[bglug] Verificare l'autenticità di un file.iso in generale e di Debian in particolare
Tom
agotom@libero.it
Lun 2 Maggio 2022 09:08:06 CEST
Ciao Andrea io ho scaricato la chiave con questo comando
$ gpg --verify SHA512SUMS.sign SHA512SUMS
che mi ha mostrato la chiave pubblica e poi l'ho installata con questo comando
$ gpg --keyserver keyring.debian.org --recv-keys e ho incollato la chiave trovata col primo comando e poi alla fine ho dato il comando
$ gpg --verify SHA512SUMS.sign SHA512SUMS
per verificare che il file SHA512SUMS sia autentico, ma qualcosa deve essere andata storta in quanto il messaggio diceva bad signature anziché Good signature, magari riprovo a fare tutta la procedura (quindi a riscaricare la iso e i codici di controllo)
> La chiave la scarichi da keyring.debian.org, che assuma non ci siano chiavi di altri
Questo passaggio non mi é chiaro
e anche questo
> Se è presente in /usr/share/keyrings/debian-role-keys.gpg allora è una chiave fidata perché assumiamo che questo file sia stato installato in totale integrità
Grazie mille
Ti auguro una buona giornata
Tommaso
2 mag 2022 08:09:34 Andrea Laisa <amreo@linux.it>:
> Con PGP le chiavi privati non vengono firmate da un'autorità centrale, ma sono semplicemente indipendenti.
>
> Che la chiave pubblica appartiene allo sviluppatore puoi esserne (quasi)certo perché:
>
> * La chiave la scarichi da keyring.debian.org, che assuma non ci siano chiavi di altri
>
> * Per recuperare la chiave pubblica hai probabilmente visitato il sito ufficiale di debian ovvero debian.org
>
> * La chiave l'hai scaricato via HTTPS per cui è (quasi)impossibile che sia stata sostituita durante lo scaricamento
>
> * Se è presente in /usr/share/keyrings/debian-role-keys.gpg allora è una chiave fidata perché assumiamo che questo file sia stato installato in totale integrità.
>
>
> amreo
>
> Il 01/05/22 20:28, Tom ha scritto:
> Carissimi buona sera mi chiamo Tommaso mi sto cimentando con il mondo Linux e vi scrivo per chiedervi un chiarimento sulla seguente questione: volevo, prima di installare Linux Debian sul mio mini PC, verificare l'autenticità dell'immagine del file di installazione di Debian (il file.iso) e quindi fare la verifica della firma del checksum e ho seguito questa guida https://guide.debianizzati.org/index.php/Controllare_l%27integrit%C3%A0_delle_immagini_Debian
> paragrafo verifica della firma PGP, ho trovato la chiave pubblica e l'ho installata, ma mi é venuto un dubbio come faccio a verificare che la chiave pubblica appartiene allo sviluppatore di Linux Debian?
> Da quello che ho capito bisognerebbe guardare a chi ha firmato la chiave dello sviluppatore.
> Pero non ho capito come si fa.
> Chiedo a questa lista un aiuto
>
> Grazie mille buona domenica
> Tommaso
>
>
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lists.linux.it/pipermail/bglug/attachments/20220502/883eff1f/attachment.htm>
Maggiori informazioni sulla lista
bglug