[bglug] Verificare l'autenticità di un file.iso in generale e di Debian in particolare

Elena ``of Valhalla'' valhalla-l@trueelena.org
Lun 2 Maggio 2022 14:46:06 CEST


On 2022-05-02 at 09:36:10 +0000, Tom wrote:
> Grazie Elena,per la tua risposta sto utilizzando un PC con windows 10 sul quale ho installato Ubuntu tramite wsl, per cui ho aperto un terminale da Ubuntu.Inoltre ho dato uno sguardo a questa pagina https://www.debian.org/CD/verify.it.html
> ma non ho capito come si usano le informazioni inserite in questa pagina, parla di portachiavi e in fondo di impronte delle firme.

Innanzitutto, il portachiavi è quello che prima ho chiamato keyring (un
file contente chiavi); in quel caso parla anche del sito web da cui è
possibile scaricare le chiavi.

Usando il comando::

   gpg --keyserver keyring.debian.org --recv-keys DA87E80D6294BE9B

come hai fatto, si scarica la chiave con cui sono firmati i file coi
codici di controllo delle immagini, ma non c'è una verifica
crittografica che la chiave sia quella giusta.

Per esserne certi, si può controllare l'impronta o fingerprint della
chiave: con il comando ``gpg [...] --verify [...]`` che hai usato viene
stampato il fingerprint alla fine, quando avvisa che la chiave con cui è
stato firmato il file non è trusted.
Guardando su https://www.debian.org/CD/verify.it.html (dove c'è un
controllo crittografico, dato https) ci sono i fingerprint con cui fare
il confronto.

È un metodo meno a prova di attacchi mirati, ma se non sono una cosa di
cui ti devi preoccupare, va bene anche così.

-- 
Elena ``of Valhalla''


Maggiori informazioni sulla lista bglug