Controllare l'integrità delle immagini Debian: differenze tra le versioni

chiarimenti sull'autenticità, consigli sull'hash da utilizzare, verificata
(chiarimenti sull'autenticità, consigli sull'hash da utilizzare, verificata)
Riga 7: Riga 7:
# Prevenire eventuali problemi d'installazione dovuti ad un'immagine corrotta
# Prevenire eventuali problemi d'installazione dovuti ad un'immagine corrotta


Se la manipolazione fraudolenta di un'immagine Debian è cosa praticamente impossibile, la corruzione del file alla fine del suo download è, invece, un'eventualità tutt'altro che remota. In questo caso, durante l'installazione di Debian, potrebbero verificarsi svariati problemi (mancata partenza dell'installer, errato o inesistente riconoscimento di periferiche, blocchi improvvisi e inaspettati con relativa comparsa di  messaggi d'errore esotici, tanto altro ancora) che determinano l'impossibilità di portare correttamente a compimento l'intero processo.<br/>
Se la manipolazione fraudolenta di un'immagine Debian è una possibilità alquanto improbabile, la corruzione del file alla fine del suo download è, invece, un'eventualità tutt'altro che remota. In questo caso, durante l'installazione di Debian, potrebbero verificarsi svariati problemi (mancata partenza dell'installer, errato o inesistente riconoscimento di periferiche, blocchi improvvisi e inaspettati con relativa comparsa di  messaggi d'errore esotici, tanto altro ancora) che determinano l'impossibilità di portare correttamente a compimento l'intero processo.<br/>
Per prevenire questa eventualità, la seconda  cosa da controllare (la prima è la compatibilità dell'immagine con  l'architettura della propria macchina) è l'hash MD5 o SHA dell'immagine appena scaricata.<br/>
Per prevenire questa eventualità, la seconda  cosa da controllare (la prima è la compatibilità dell'immagine con  l'architettura della propria macchina) è l'hash MD5 o SHA dell'immagine appena scaricata.<br/>
Questo processo porta via solo pochi minuti e potrebbe evitare la perdita di intere ore nel cercare di capire la causa dell'errore.  
Questo processo porta via solo pochi minuti e potrebbe evitare la perdita di intere ore nel cercare di capire la causa dell'errore.  
Riga 35: Riga 35:
</pre>
</pre>
Non è necessario scaricare tutti i file contenenti le firme digitali, ma solo la coppia (file - file.sign) relativa all'algoritmo che si vuole utilizzare per effettuare il controllo.<br/>
Non è necessario scaricare tutti i file contenenti le firme digitali, ma solo la coppia (file - file.sign) relativa all'algoritmo che si vuole utilizzare per effettuare il controllo.<br/>
La scelta dipende dal grado di affidabilità voluta e dal tempo necessario a calcolare e verificare la firma digitale. Se non si hanno esigenze particolari, è consigliato effettuare il controllo con tutti gli algoritmi o almeno con SHA a 512 bit.
La scelta dipende dal grado di affidabilità voluta e dal tempo necessario a calcolare e verificare la firma digitale. Se non si hanno esigenze particolari, è consigliato effettuare il controllo con almeno un algoritmo e MD5 è il più veloce tra quelli disponibili. Se invece si è interessati anche all'autenticità dell'immagine, si consiglia di ricorrere almeno all'hash SHA-256 o SHA-512, in quanto MD5 e (in misura minore) SHA-1 non sono più considerati sicuri nel proteggere da manipolazioni malevole.


== MD5 ==
== MD5 ==
Riga 130: Riga 130:
sig          6294BE9B 2011-01-05  Debian CD signing key <debian-cd@lists.debian.org>
sig          6294BE9B 2011-01-05  Debian CD signing key <debian-cd@lists.debian.org>
</pre>
</pre>
Se avete fiducia nei soggetti sopra elencati (o perché noti ed autorevoli esponenti del progetto Debian o perché li conoscete di persona o entrambe le cose), potete considerare la chiave con ID uguale a 6294BE9B come fidata; vedremo tra poco come fare.
Se avete fiducia nei soggetti sopra elencati (o perché noti ed autorevoli esponenti del progetto Debian, perché li conoscete di persona o entrambe le cose, o perché garantite da altri soggetti fidati), potete considerare la chiave con ID uguale a 6294BE9B come fidata; vedremo tra poco come fare. Non è comunque necessario se ci basta sapere che ha le stesse garanzie del software proveniente dai [[repository]], e infatti le loro chiavi pubbliche sono contenute nel pacchetto '''debian-keyring''' scaricato da [[APT]] dopo averne verificato l'autenticità: ciò significa che se il file contenente l'hash dell'immagine è autentico, allora l'immagine scaricata è sicura quanto il software presente nei repository.


Per finire non resta altro che verificare che il file <code>SHA512SUMS</code> sia autentico:
Per finire non resta altro che verificare che il file <code>SHA512SUMS</code> sia autentico:
Riga 143: Riga 143:
conferma che il controllo è stato positivo.
conferma che il controllo è stato positivo.


Se si vuole, è possibile considerare questa chiave pubblica come "fidata" attraverso un proprio grado di fiducia.<br/>
Se si vuole, è possibile considerare questa chiave pubblica come "fidata" attraverso un proprio grado di fiducia. Non è comunque necessario se ci basta conoscere che l'immagine è fidata: ossia non danneggiata, perché l'hash corrisponde (ed è almeno SHA-256 o SHA-512), e autentica, perché l'hash è firmato dalla chiave privata di una persona, la cui chiave pubblica corrispondente è presente in un [[pacchetto]] Debian e quindi sicura quanto il resto del software presente nei repository. L'unico vantaggio sarà che si potrà effettuare d'ora in poi il controllo in automatico, e si potrà utilizzare anche per altre operazioni.<br/>
A tal scopo basta confrontare l'impronta digitale visualizzata (fingerprint) con una di quelle contenute in questa pagina<sup>[[#Pagine esterne|[2]]]</sup> oppure (per gli inguaribili paranoici) farsela dettare per telefono o di persona da uno degli sviluppatori di Debian.<br/>
A tal scopo per i paranoici basta confrontare l'impronta digitale visualizzata (fingerprint) con una di quelle contenute in questa pagina<sup>[[#Pagine esterne|[2]]]</sup> oppure (per gli inguaribili paranoici) farsela dettare per telefono o di persona da uno degli sviluppatori di Debian.<br/>
Infine:
Infine:
<pre>$ gpg --sign-key 6294BE9B</pre>
<pre>$ gpg --sign-key 6294BE9B</pre>
Riga 171: Riga 171:
{{Autori
{{Autori
|Autore=[[Utente:S3v|S3v]] 18:50, 7 lug 2012 (CEST)
|Autore=[[Utente:S3v|S3v]] 18:50, 7 lug 2012 (CEST)
|Verificata_da=
: [[Utente:HAL 9000|HAL 9000]] 17:20, 19 apr 2015 (CEST)
|Estesa_da=
|Numero_revisori=1
}}
}}


[[Categoria:Installazione]]
[[Categoria:Installazione]]
[[Categoria:Crittografia]]
[[Categoria:Crittografia]]
3 581

contributi