Controllare l'integrità delle immagini Debian: differenze tra le versioni

+ categorie
(+ categorie)
Riga 1: Riga 1:
{{Versioni compatibili}}
{{Versioni compatibili}}
== Introduzione ==
== Introduzione ==
Attraverso questa breve guida verrà spiegato come effettuare il controllo di integrità delle immagini utilizzate per installare Debian. È caldamente consigliato controllare le immagini .iso prima di procedere con l'installazione; verificare che l'immagine non sia corrotta e sia autentica e affidabile è il primo passo per poter  avere un'installazione sicura di Debian.<br/>
Attraverso questa breve guida verrà spiegato come effettuare il controllo di integrità delle immagini utilizzate per installare Debian. È caldamente consigliato controllare le immagini .iso prima di procedere con l'installazione poiché verificare che l'immagine non sia corrotta e sia autentica e affidabile è il primo passo per poter  avere un'installazione sicura di Debian.<br/>


I motivi per cui questo controllo preliminare è importante sono essenzialmente due:
I motivi per cui questo controllo preliminare è importante sono essenzialmente due:
Riga 17: Riga 17:


== Passi preliminari ==
== Passi preliminari ==
Ipotizziamo  di voler fare il check di un'immagine .iso di Debian "Squeeze" contenuta in [http://cdimage.debian.org/debian-cd/current/i386/iso-cd/ questa pagina]. In particolare il file in esame è "debian-6.0.5-i386-CD-1.iso", ma il discorso non cambia per uno o più file .iso diversi. <br/>
Ipotizziamo  di voler fare il check di un'immagine .iso di Debian "Squeeze" contenuta in [http://cdimage.debian.org/debian-cd/current/i386/iso-cd/ questa pagina], in particolare il file in esame è "debian-6.0.5-i386-CD-1.iso". Il discorso non cambia per uno o più file .iso diversi anche riguardanti l'installazione di Debian testing. <br/>
Si può notare che i primi file della lista sono:
Si può notare che i primi file della lista sono:
* '''MD5SUMS'''
* '''MD5SUMS'''
Riga 39: Riga 39:
== MD5 ==
== MD5 ==
<pre>$ md5sum -c MD5SUMS</pre>
<pre>$ md5sum -c MD5SUMS</pre>
Verrà calcolata la firma MD5 di tutti i file contenuti in MD5SUMS e poi confrontata con quella presente nello stesso file.<br/>
Verrà calcolata la firma MD5 di tutti i file elencati in MD5SUMS e poi confrontata con quella presente nello stesso file.<br/>
Poiché la maggior parte dei file non è presente, l'output ci informerà di conseguenza. La sola cosa che importa è, però, che il controllo sul file <code>debian-6.0.5-i386-CD-1.iso</code> sia andato a buon fine:
Poiché la maggior parte dei file non è presente, l'output ci informerà di conseguenza. La sola cosa che importa è, però, che il controllo sul file <code>debian-6.0.5-i386-CD-1.iso</code> sia andato a buon fine:
<pre>$ md5sum -c MD5SUMS
<pre>$ md5sum -c MD5SUMS
debian-6.0.5-i386-CD-1.iso: OK
debian-6.0.5-i386-CD-1.iso: OK
md5sum: debian-6.0.5-i386-CD-10.iso: File o directory non esistente
md5sum: debian-6.0.5-i386-CD-10.iso: File o directory non esistente
debian-6.0.5-i386-CD-10.iso: apertura o lettura NON RIUSCITA...
debian-6.0.5-i386-CD-10.iso: apertura o lettura NON RIUSCITA
...
...
...
...
Riga 52: Riga 52:
In caso di errore:
In caso di errore:
<pre>$ md5sum -c MD5SUMS
<pre>$ md5sum -c MD5SUMS
debian-6.0.5-i386-CD-1.iso: NON RIUSCITO...
debian-6.0.5-i386-CD-1.iso: NON RIUSCITO
...
...
...
md5sum: ATTENZIONE: 1 codice di controllo calcolato NON corrisponde</pre>
md5sum: ATTENZIONE: 1 codice di controllo calcolato NON corrisponde</pre>
Riga 58: Riga 59:


== SHA ==
== SHA ==
Il  controllo della firma digitale attraverso SHA può essere effettuato a  160, 256 e 512 bit. La scelta dipende dall'affidabilità e dal tempo  necessario per il calcolo; entrambi crescono all'aumentare dei bit.<br/>
Il  controllo della firma digitale attraverso SHA può essere effettuato a  160, 256 e 512 bit. La scelta dipende dall'affidabilità e dal tempo  necessario per il calcolo; entrambi crescono all'aumentare dei bit.<br/>
Il metodo consigliato è utilizzare SHA a 512 bit.
Il metodo consigliato è utilizzare SHA a 512 bit.


Riga 66: Riga 67:
<pre>$ shasum -c SHA1SUMS</pre>
<pre>$ shasum -c SHA1SUMS</pre>
=== SHA a 256 bit ===
=== SHA a 256 bit ===
<pre>$ sha256sum -c SHA256SUMs</pre>
<pre>$ sha256sum -c SHA256SUMS</pre>
oppure:
oppure:
<pre>$ shasum -a 256 -c SHA256SUMS</pre>
<pre>$ shasum -a 256 -c SHA256SUMS</pre>
=== SHA a 512 bit ===
=== SHA a 512 bit ===
<pre>$ sha512sum -c SHA512SUMs</pre>
<pre>$ sha512sum -c SHA512SUMS</pre>
oppure:
oppure:
<pre>$ shasum -a 512 -c SHA512SUMS</pre>
<pre>$ shasum -a 512 -c SHA512SUMS</pre>
Riga 79: Riga 79:
<pre>debian-6.0.5-i386-CD-1.iso: OK</pre>
<pre>debian-6.0.5-i386-CD-1.iso: OK</pre>
mentre in caso d'errore si otterrà qualcosa tipo:
mentre in caso d'errore si otterrà qualcosa tipo:
<pre>debian-6.0.5-i386-CD-1.iso: FAILED...
<pre>debian-6.0.5-i386-CD-1.iso: FAILED
...
...
...
shasum: WARNING: 1 computed checksum did NOT match</pre>
shasum: WARNING: 1 computed checksum did NOT match</pre>
Riga 93: Riga 94:


=== Verifica ===
=== Verifica ===
Verifichiamo ora la firma, ad esempio, per il file SHA512SUMS:
Verifichiamo ora la firma, ad esempio, per il file <code>SHA512SUMS</code>:
<pre>
<pre>
$ gpg --verify SHA512SUMS.sign SHA512SUMS
$ gpg --verify SHA512SUMS.sign SHA512SUMS
Riga 100: Riga 101:
gpg: Impossibile controllare la firma: chiave pubblica non trovata
gpg: Impossibile controllare la firma: chiave pubblica non trovata
</pre>
</pre>
se l'output, come in questo caso, ci informa del fatto che manca la chiave  pubblica dell'uploader dei file, basta scaricarla. Nel nostro caso la  chiave ha ID='''6294BE9B''', per cui:
se l'output, come in questo caso, ci informa del fatto che manca la chiave  pubblica dell'uploader dei file, basta scaricarla. Nel nostro caso la  chiave ha ID='''6294BE9B''', per cui:
<pre>
<pre>
$ gpg --keyserver keyring.debian.org --recv-keys 6294BE9B
$ gpg --keyserver keyring.debian.org --recv-keys 6294BE9B
Riga 109: Riga 110:
gpg:              importate: 1  (RSA: 1)
gpg:              importate: 1  (RSA: 1)
</pre>
</pre>
Ora la chiave pubblica è presente nel nostro portachiavi ed è una buona idea controllare chi ha firmato la chiave appena prelevata:
Ora la chiave pubblica è presente nel nostro portachiavi ed è una buona idea controllare chi ha firmato la chiave appena prelevata:
<pre>
<pre>
$ gpg --keyring /usr/share/keyrings/debian-keyring.gpg -kvv 6294BE9B
$ gpg --keyring /usr/share/keyrings/debian-keyring.gpg -kvv 6294BE9B
Riga 115: Riga 116:
pub  4096R/6294BE9B 2011-01-05
pub  4096R/6294BE9B 2011-01-05
uid                  Debian CD signing key  <debian-cd@lists.debian.org>
uid                  Debian CD signing key  <debian-cd@lists.debian.org>
sig          1B3045CE 2011-01-07   Colin Tuckley <colin@tuckley.org>
sig          1B3045CE 2011-01-07 Colin Tuckley <colin@tuckley.org>
sig          3442684E 2011-01-05  Steve McIntyre <steve@einval.com>
sig          3442684E 2011-01-05  Steve McIntyre <steve@einval.com>
sig          A40F862E 2011-01-05  Neil McGovern <neil@halon.org.uk>
sig          A40F862E 2011-01-05  Neil McGovern <neil@halon.org.uk>
Riga 124: Riga 125:
sig          6294BE9B 2011-01-05  Debian CD signing key <debian-cd@lists.debian.org>
sig          6294BE9B 2011-01-05  Debian CD signing key <debian-cd@lists.debian.org>
</pre>
</pre>
Se avete fiducia dei soggetti sopra elencati (o perché noti ed autorevoli nel progetto Debian o perché li conoscete di persona o entrambe le cose), potete considerare la chiave con ID uguale a 6294BE9B come fidata; vedremo tra poco come fare.
Se avete fiducia dei soggetti sopra elencati (o perché noti ed autorevoli esponenti del progetto Debian o perché li conoscete di persona o entrambe le cose), potete considerare la chiave con ID uguale a 6294BE9B come fidata; vedremo tra poco come fare.


Per finire non resta altro che verificare che il file SHA512SUMS sia autentico:
Per finire non resta altro che verificare che il file <code>SHA512SUMS</code> sia autentico:
<pre>
<pre>
$ gpg --verify SHA512SUMS.sign SHA512SUMS
$ gpg --verify SHA512SUMS.sign SHA512SUMS
Riga 157: Riga 158:


== Conclusioni ==
== Conclusioni ==
Il controllo appena descritto di integrità dei file non è solo un'operazione da guru, da paranoici o da guru paranoici; è, anzi, un passo necessario da compiere indipendentemente dall'uso che si farà della propria macchina.<br/>
Il controllo appena descritto di integrità dei file non è un'operazione da guru, da paranoici o da guru paranoici; è, anzi, un passo necessario da compiere indipendentemente dall'uso che si farà della propria macchina.<br/>
Ricordare sempre che si sta per installare il cuore del sistema. Ogni operazione che ne possa garantire l'affidabilità e la sicurezza è da ritenersi in ogni caso prioritaria.
Ricordare sempre che si sta per installare il cuore del sistema. Ogni operazione che ne possa garantire l'affidabilità e la sicurezza è da ritenersi in ogni caso prioritaria.


{{Autori|Autore=
{{Autori|Autore=[[Utente:S3v|S3v]] 18:50, 7 lug 2012 (CEST)}}
:[[Utente:S3v|S3v]] 18:50, 7 lug 2012 (CEST)
 
}}
[[Categoria:Installazione]]
[[Categoria:Crittografia]]
6 999

contributi