[bglug] Verificare l'autenticità di un file.iso in generale e di Debian in particolare

Tom agotom@libero.it
Lun 2 Maggio 2022 09:08:06 CEST 

Ciao Andrea io ho scaricato la chiave con questo comando
$ gpg --verify SHA512SUMS.sign SHA512SUMS
che mi ha mostrato la chiave pubblica e poi l'ho installata con questo comando
$ gpg --keyserver keyring.debian.org --recv-keys e ho incollato la chiave trovata col primo comando e poi alla fine ho dato il comando
$ gpg --verify SHA512SUMS.sign SHA512SUMS
per verificare che il file SHA512SUMS sia autentico, ma qualcosa deve essere andata storta in quanto il messaggio diceva bad signature anziché Good signature, magari riprovo a fare tutta la procedura (quindi a riscaricare la iso e i codici di controllo)

> La chiave la scarichi da keyring.debian.org, che assuma non ci siano chiavi di altri
Questo passaggio non mi é chiaro
e anche questo

> Se è presente in /usr/share/keyrings/debian-role-keys.gpg allora è una chiave fidata perché assumiamo che questo file sia stato installato in totale integrità

Grazie mille
Ti auguro una buona giornata
Tommaso

2 mag 2022 08:09:34 Andrea Laisa <amreo@linux.it>:

> Con PGP le chiavi privati non vengono firmate da un'autorità centrale, ma sono semplicemente indipendenti.
> 
> Che la chiave pubblica appartiene allo sviluppatore puoi esserne (quasi)certo perché:
> 
> * La chiave la scarichi da keyring.debian.org, che assuma non ci siano chiavi di altri
> 
> * Per recuperare la chiave pubblica hai probabilmente visitato il sito ufficiale di debian ovvero debian.org
> 
> * La chiave l'hai scaricato via HTTPS per cui è (quasi)impossibile che sia stata sostituita durante lo scaricamento
> 
> * Se è presente in /usr/share/keyrings/debian-role-keys.gpg allora è una chiave fidata perché assumiamo che questo file sia stato installato in totale integrità.
> 
> 
> amreo
> 
> Il 01/05/22 20:28, Tom ha scritto:
> Carissimi buona sera mi chiamo Tommaso mi sto cimentando con il mondo Linux  e vi scrivo per chiedervi un chiarimento sulla seguente questione: volevo, prima di installare Linux Debian sul mio mini PC,  verificare l'autenticità dell'immagine del file di installazione di Debian (il file.iso) e quindi fare la verifica della firma del  checksum e ho seguito questa guida https://guide.debianizzati.org/index.php/Controllare_l%27integrit%C3%A0_delle_immagini_Debian
> paragrafo verifica della firma PGP, ho trovato la chiave pubblica e l'ho installata, ma mi é venuto un dubbio come faccio a verificare che la chiave pubblica appartiene allo sviluppatore di Linux Debian?
> Da quello che ho capito bisognerebbe guardare a chi ha firmato la chiave dello sviluppatore.
> Pero non ho capito come si fa.
> Chiedo a questa lista un aiuto
> 
> Grazie mille buona domenica
> Tommaso
> 
> 
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lists.linux.it/pipermail/bglug/attachments/20220502/883eff1f/attachment.htm>

Maggiori informazioni sulla lista bglug