Come verificare l’autenticità del software Windows con le firme digitali

Ogni volta che scarichi un programma da Internet, devi fidarti dello sviluppatore che non è dannoso. Non c’è modo di aggirarlo. Ma questo non è un problema, di solito, specialmente con software e sviluppatori famosi.

Tuttavia, i siti Web che ospitano software sono più vulnerabili. Gli aggressori possono sovvertire la sicurezza di un sito Web e sostituire i programmi con la propria versione dannosa. Questo sembra e funziona esattamente come l’originale, tranne per il fatto che ha una backdoor inserita. Con questa backdoor, gli aggressori possono controllare varie parti della normale elaborazione quotidiana. Il tuo computer è inserito in una botnet o, peggio, l’utilità attende fino a quando non utilizzi la tua carta di credito/debito e ne ruba le credenziali. Dovresti prestare particolare attenzione quando scarichi software importanti come un sistema operativo, un portafoglio di criptovalute o simili.

Le firme digitali possono salvare la situazione

Gli autori di software possono firmare i loro prodotti. A meno che un utente malintenzionato non possa rubare la sua chiave privata, non è noto alcun modo in cui qualcuno possa falsificare questa firma. Sono numerosi i casi in cui migliaia di utenti hanno scaricato programmi dannosi e in quasi tutti i casi, se avessero verificato le firme digitali, si sarebbero accorti che non erano valide, evitando così la situazione. È relativamente facile sostituire il software su un sito Web vulnerabile, ma è incredibilmente difficile rubare una chiave privata correttamente archiviata e isolata dall’accesso a Internet.

Puoi leggere molto di più sulle firme digitali qui. Questo articolo discute la stessa cosa, tranne per il fatto che utilizzerai le utilità di Windows per convalidare i download.

Come utilizzare Gpg4win per verificare le firme digitali

Vai a questa pagina e scarica e installa Gpg4win. Le persone intelligenti si chiederanno: “Ma come faccio a sapere che questo è legittimo?” Ed è una buona domanda. Se questo si interrompesse, tutti i passaggi successivi sarebbero inutili.

Fortunatamente, lo sviluppatore ha affrontato tutti i problemi per ottenere la firma del suo software da un’autorità di certificazione. E lui dettaglia il passaggi per verificare il suo programma sul suo sito web. Sebbene una crittografia simile venga utilizzata per verificarne la validità, il metodo generale è diverso. Per questo vengono utilizzati certificati digitali.

Verifica i checksum dei file

Diciamo che lo vuoi scarica il portafoglio Bitcoin Core. Scarica l’eseguibile Windows x64 (exe, non zip). Successivamente, fare clic su “Verifica firme di rilascio” per scaricare il file “SHA256SUMS.asc”. Il primo passo è verificare l’hash del file di installazione. Puoi leggere di più sugli hash qui.

In relazione :  Usa Steam Library Manager per spostare rapidamente i giochi Steam su un'altra unità

Vai alla cartella dei download e, con Gpg4win installato, ora puoi fare clic con il pulsante destro del mouse su un file e apparirà un nuovo menu contestuale. Fai clic con il pulsante destro del mouse sul file di installazione di Bitcoin (l’exe che hai scaricato) e seleziona “Altre opzioni GpgEX -> Crea checksum”, come nell’immagine qui sotto.

Apri sia “sha256sum.txt” che è stato generato che “SHA256SUMS.asc” che hai scaricato. Confronta i checksum SHA256. Dovrebbero essere un abbinamento perfetto.

Controlla le firme del software Confronta i checksum Sha256

Controlla la firma del file che elenca i checksum

Mentre hai appena scaricato un file di installazione e un elenco di checksum dallo stesso sito Web, se un utente malintenzionato ha sostituito il file di installazione, potrebbe facilmente sostituire anche l’elenco di checksum. Quello che non può fare, però, è falsificare una firma. Ciò può essere convalidato da una chiave pubblica nota (legittima). Innanzitutto, devi scaricare questa chiave.

L’immagine seguente mostra l’aspetto di una firma.

Verifica l'esempio di firma in linea delle firme del software

Questa è una firma in linea (inclusa nello stesso file che convalida). A volte questo sarà staccato, incluso in un file separato. Se modifichi solo una lettera in questo file di testo, la firma non sarà più valida. Questo è un modo per sapere che lo sviluppatore ha approvato e firmato questi contenuti esatti e specifici con i checksum corretti.

Importa la chiave pubblica dello sviluppatore

Hai le chiavi pubbliche disponibili per il download in “Bitcoin Core Release Signing Keys” nella pagina di download di Bitcoin. Come misura precauzionale, puoi scaricarli da un’altra fonte. Se un utente malintenzionato ha sostituito le chiavi legittime con le sue, è probabile che troveremo le chiavi (e le impronte digitali) corrette in tutti gli altri luoghi in cui sono state pubblicate o discusse.

Fare clic con il pulsante destro del mouse su “SHA256SUMS.asc” e selezionare “Decrittografa e verifica”. Il programma ti dirà che non hai ancora la chiave pubblica. Fare clic su “Cerca”.

Verifica firme software Cerca chiave pubblica

La ricerca potrebbe richiedere del tempo. Nota la stringa nel campo “Trova”.

Controllare l'impronta digitale della chiave delle firme del software

Puoi copiarlo e incollarlo in Google per vedere se questa impronta digitale della chiave pubblica è stata discussa su thread/siti Web legittimi del forum, ecc. Più posti la trovi, più puoi essere certo che appartenga al proprietario previsto.

Fare clic sulla chiave e quindi importarla. È possibile fare clic su “No” nella richiesta successiva (prendere misure per certificare la chiave) se non si sa come farlo o se non si desidera farlo ora.

Infine, fai clic su “Mostra registro di controllo”.

In relazione :  Come ottenere gratuitamente le skin Diwali Sword of Honor (Katana) del fuoco gratuito questa settimana?

Controlla le firme del software Mostra il registro di controllo

Dovresti vedere il testo che è stato evidenziato nell’immagine successiva, “Buona firma”.

Controlla le firme del software Firma buona

Prova a cambiare solo una lettera in “SHA256SUMS.asc” e otterrai ciò che è raffigurato nell’immagine seguente.

Verifica firme software Firma errata

Conclusione

Pochi sviluppatori ti danno la possibilità di verificare che il loro software provenga da loro. Ma di solito i programmi che trattano dati sensibili o sono molto importanti ti offriranno questa opzione. Usalo e un giorno potrebbe salvarti dai guai.

Alexandru Andrei

Si è innamorato dei computer quando aveva quattro anni. 27 anni dopo, la passione è ancora accesa, alimentando un apprendimento costante. Trascorre la maggior parte del suo tempo in finestre di terminale e sessioni SSH, gestendo desktop e server Linux.