Ricerca nel sito web

Come verificare la firma PGP del software scaricato su Linux

L'installazione del software su un sistema Linux è generalmente un'operazione fluida. Nella maggior parte dei casi, utilizzeresti un gestore di pacchetti come apt, dnf o Pacman per installarlo in modo sicuro dai repository della tua distribuzione.

In alcuni casi, tuttavia, un pacchetto software potrebbe non essere incluso nel repository ufficiale della distribuzione. In tali scenari, si è costretti a scaricarlo dal sito Web del fornitore. Ma quanto sei sicuro che il pacchetto software non sia stato manomesso? Questa è la domanda a cui cercheremo di rispondere. In questa guida ci concentreremo su come verificare la firma PGP di un pacchetto software scaricato in Linux.

PGP (Pretty Good Privacy) è un'applicazione crittografica utilizzata per crittografare e firmare file. La maggior parte degli autori di software firmano le proprie applicazioni utilizzando il programma PGP, ad esempio GPG (GNU Privacy Guard).

GPG è un'implementazione crittografica di OpenPGP e consente la trasmissione sicura dei dati e può anche essere utilizzata per verificare l'integrità della fonte. In modo simile, puoi sfruttare GPG per verificare l'autenticità del software scaricato.

La verifica dell'integrità del software scaricato è una procedura in 5 passaggi che segue il seguente ordine.

  • Scaricamento della chiave pubblica dell'autore del software.
  • Controllo dell'impronta digitale della chiave.
  • Importazione della chiave pubblica.
  • Download del file Signature del software.
  • Verificare il file della firma.

In questa guida utilizzeremo Tixati, un programma di condivisione di file peer-to-peer, come esempio per dimostrarlo. Abbiamo già scaricato il pacchetto Debian dalla pagina di download ufficiale.

Verifica la firma PGP di Tixati

Scaricheremo subito la chiave pubblica dell'autore che viene utilizzata per verificare eventuali versioni. Il collegamento alla chiave è fornito nella parte inferiore della pagina di download di Tixati.

Sulla riga di comando, prendi la chiave pubblica usando il comando wget come mostrato.

wget https://www.tixati.com/tixati.key

Controlla l'impronta digitale della chiave pubblica

Una volta scaricata la chiave, il passaggio successivo è controllare l'impronta digitale della chiave pubblica utilizzando il comando gpg come mostrato.

gpg --show-keys tixati.key

L'output evidenziato è l'impronta digitale della chiave pubblica.

Importa la chiave GPG

Una volta verificata l’impronta pubblica della chiave, importeremo la chiave GPG. Questo deve essere fatto solo una volta.

gpg --import tixati.key

Scarica il file della firma del software

Successivamente, scaricheremo il file della firma PGP che è proprio adiacente al pacchetto Debian come indicato. Il file della firma ha l'estensione .asc.

wget https://download2.tixati.com/download/tixati_2.84-1_amd64.deb.asc

Verificare il file della firma

Infine, verifica l'integrità del software utilizzando il file della firma e rispetto al pacchetto Debian come mostrato.

gpg --verify tixati_2.84-1_amd64.deb.asc tixati_2.84-1_amd64.deb

L'output della terza riga conferma che la Firma proviene dall'autore del software, in questo caso Tixati Software Inc. La riga sopra fornisce l'impronta digitale che corrisponde all'impronta digitale della chiave pubblica. Questa è la conferma della firma PGP del software.

Ci auguriamo che questa guida abbia fornito informazioni su come verificare il PGP di un pacchetto software scaricato in Linux.