[bglug] Verificare l'autenticità di un file.iso in generale e di Debian in particolare

Tom agotom@libero.it
Lun 2 Maggio 2022 15:05:13 CEST


Grazie mille Elena,
per i tuoi chiarimenti e per la tua disponibilita
Buona giornata
Tommaso

2 mag 2022 14:46:45 Elena ``of Valhalla'' <valhalla-l@trueelena.org>:

> On 2022-05-02 at 09:36:10 +0000, Tom wrote:
>> Grazie Elena,per la tua risposta sto utilizzando un PC con windows 10 sul quale ho installato Ubuntu tramite wsl, per cui ho aperto un terminale da Ubuntu.Inoltre ho dato uno sguardo a questa pagina https://www.debian.org/CD/verify.it.html
>> ma non ho capito come si usano le informazioni inserite in questa pagina, parla di portachiavi e in fondo di impronte delle firme.
> 
> Innanzitutto, il portachiavi è quello che prima ho chiamato keyring (un
> file contente chiavi); in quel caso parla anche del sito web da cui è
> possibile scaricare le chiavi.
> 
> Usando il comando::
> 
>    gpg --keyserver keyring.debian.org --recv-keys DA87E80D6294BE9B
> 
> come hai fatto, si scarica la chiave con cui sono firmati i file coi
> codici di controllo delle immagini, ma non c'è una verifica
> crittografica che la chiave sia quella giusta.
> 
> Per esserne certi, si può controllare l'impronta o fingerprint della
> chiave: con il comando ``gpg [...] --verify [...]`` che hai usato viene
> stampato il fingerprint alla fine, quando avvisa che la chiave con cui è
> stato firmato il file non è trusted.
> Guardando su https://www.debian.org/CD/verify.it.html (dove c'è un
> controllo crittografico, dato https) ci sono i fingerprint con cui fare
> il confronto.
> 
> È un metodo meno a prova di attacchi mirati, ma se non sono una cosa di
> cui ti devi preoccupare, va bene anche così.
> 
> -- 
> Elena ``of Valhalla''
> 
> -- 
> Sito BgLUG: http://www.bglug.it
> Mailing list: http://lists.linux.it/listinfo/bglug


Maggiori informazioni sulla lista bglug