Ogni volta che scarichi un programma da Internet, devi fidarti dello sviluppatore che non è dannoso. Non c’è modo di aggirarlo. Ma questo non è un problema, di solito, specialmente con software e sviluppatori famosi.
Tuttavia, i siti Web che ospitano software sono più vulnerabili. Gli aggressori possono sovvertire la sicurezza di un sito Web e sostituire i programmi con la propria versione dannosa. Questo sembra e funziona esattamente come l’originale, tranne per il fatto che ha una backdoor inserita. Con questa backdoor, gli aggressori possono controllare varie parti della normale elaborazione quotidiana. Il tuo computer è inserito in una botnet o, peggio, l’utilità attende fino a quando non utilizzi la tua carta di credito/debito e ne ruba le credenziali. Dovresti prestare particolare attenzione quando scarichi software importanti come un sistema operativo, un portafoglio di criptovalute o simili.
Le firme digitali possono salvare la situazione
Gli autori di software possono firmare i loro prodotti. A meno che un utente malintenzionato non possa rubare la sua chiave privata, non è noto alcun modo in cui qualcuno possa falsificare questa firma. Sono numerosi i casi in cui migliaia di utenti hanno scaricato programmi dannosi e in quasi tutti i casi, se avessero verificato le firme digitali, si sarebbero accorti che non erano valide, evitando così la situazione. È relativamente facile sostituire il software su un sito Web vulnerabile, ma è incredibilmente difficile rubare una chiave privata correttamente archiviata e isolata dall’accesso a Internet.
Puoi leggere molto di più sulle firme digitali qui. Questo articolo discute la stessa cosa, tranne per il fatto che utilizzerai le utilità di Windows per convalidare i download.
Come utilizzare Gpg4win per verificare le firme digitali
Vai a questa pagina e scarica e installa Gpg4win. Le persone intelligenti si chiederanno: “Ma come faccio a sapere che questo è legittimo?” Ed è una buona domanda. Se questo si interrompesse, tutti i passaggi successivi sarebbero inutili.
Fortunatamente, lo sviluppatore ha affrontato tutti i problemi per ottenere la firma del suo software da un’autorità di certificazione. E lui dettaglia il passaggi per verificare il suo programma sul suo sito web. Sebbene una crittografia simile venga utilizzata per verificarne la validità, il metodo generale è diverso. Per questo vengono utilizzati certificati digitali.
Verifica i checksum dei file
Diciamo che lo vuoi scarica il portafoglio Bitcoin Core. Scarica l’eseguibile Windows x64 (exe, non zip). Successivamente, fare clic su “Verifica firme di rilascio” per scaricare il file “SHA256SUMS.asc”. Il primo passo è verificare l’hash del file di installazione. Puoi leggere di più sugli hash qui.
Vai alla cartella dei download e, con Gpg4win installato, ora puoi fare clic con il pulsante destro del mouse su un file e apparirà un nuovo menu contestuale. Fai clic con il pulsante destro del mouse sul file di installazione di Bitcoin (l’exe che hai scaricato) e seleziona “Altre opzioni GpgEX -> Crea checksum”, come nell’immagine qui sotto.
Apri sia “sha256sum.txt” che è stato generato che “SHA256SUMS.asc” che hai scaricato. Confronta i checksum SHA256. Dovrebbero essere un abbinamento perfetto.
Controlla la firma del file che elenca i checksum
Mentre hai appena scaricato un file di installazione e un elenco di checksum dallo stesso sito Web, se un utente malintenzionato ha sostituito il file di installazione, potrebbe facilmente sostituire anche l’elenco di checksum. Quello che non può fare, però, è falsificare una firma. Ciò può essere convalidato da una chiave pubblica nota (legittima). Innanzitutto, devi scaricare questa chiave.
L’immagine seguente mostra l’aspetto di una firma.
Questa è una firma in linea (inclusa nello stesso file che convalida). A volte questo sarà staccato, incluso in un file separato. Se modifichi solo una lettera in questo file di testo, la firma non sarà più valida. Questo è un modo per sapere che lo sviluppatore ha approvato e firmato questi contenuti esatti e specifici con i checksum corretti.
Importa la chiave pubblica dello sviluppatore
Hai le chiavi pubbliche disponibili per il download in “Bitcoin Core Release Signing Keys” nella pagina di download di Bitcoin. Come misura precauzionale, puoi scaricarli da un’altra fonte. Se un utente malintenzionato ha sostituito le chiavi legittime con le sue, è probabile che troveremo le chiavi (e le impronte digitali) corrette in tutti gli altri luoghi in cui sono state pubblicate o discusse.
Fare clic con il pulsante destro del mouse su “SHA256SUMS.asc” e selezionare “Decrittografa e verifica”. Il programma ti dirà che non hai ancora la chiave pubblica. Fare clic su “Cerca”.
La ricerca potrebbe richiedere del tempo. Nota la stringa nel campo “Trova”.
Puoi copiarlo e incollarlo in Google per vedere se questa impronta digitale della chiave pubblica è stata discussa su thread/siti Web legittimi del forum, ecc. Più posti la trovi, più puoi essere certo che appartenga al proprietario previsto.
Fare clic sulla chiave e quindi importarla. È possibile fare clic su “No” nella richiesta successiva (prendere misure per certificare la chiave) se non si sa come farlo o se non si desidera farlo ora.
Infine, fai clic su “Mostra registro di controllo”.
Dovresti vedere il testo che è stato evidenziato nell’immagine successiva, “Buona firma”.
Prova a cambiare solo una lettera in “SHA256SUMS.asc” e otterrai ciò che è raffigurato nell’immagine seguente.
Conclusione
Pochi sviluppatori ti danno la possibilità di verificare che il loro software provenga da loro. Ma di solito i programmi che trattano dati sensibili o sono molto importanti ti offriranno questa opzione. Usalo e un giorno potrebbe salvarti dai guai.
