6 999
contributi
Controllare l'integrità delle immagini Debian: differenze tra le versioni
Controllare l'integrità delle immagini Debian (visualizza wikitesto)
Versione delle 10:47, 8 lug 2012
, 8 lug 2012+ categorie
S3v (discussione | contributi) m (→Verifica) |
S3v (discussione | contributi) (+ categorie) |
||
| Riga 1: | Riga 1: | ||
{{Versioni compatibili}} | {{Versioni compatibili}} | ||
== Introduzione == | == Introduzione == | ||
Attraverso questa breve guida verrà spiegato come effettuare il controllo di integrità delle immagini utilizzate per installare Debian. È caldamente consigliato controllare le immagini .iso prima di procedere con l'installazione | Attraverso questa breve guida verrà spiegato come effettuare il controllo di integrità delle immagini utilizzate per installare Debian. È caldamente consigliato controllare le immagini .iso prima di procedere con l'installazione poiché verificare che l'immagine non sia corrotta e sia autentica e affidabile è il primo passo per poter avere un'installazione sicura di Debian.<br/> | ||
I motivi per cui questo controllo preliminare è importante sono essenzialmente due: | I motivi per cui questo controllo preliminare è importante sono essenzialmente due: | ||
| Riga 17: | Riga 17: | ||
== Passi preliminari == | == Passi preliminari == | ||
Ipotizziamo di voler fare il check di un'immagine .iso di Debian "Squeeze" contenuta in [http://cdimage.debian.org/debian-cd/current/i386/iso-cd/ questa pagina] | Ipotizziamo di voler fare il check di un'immagine .iso di Debian "Squeeze" contenuta in [http://cdimage.debian.org/debian-cd/current/i386/iso-cd/ questa pagina], in particolare il file in esame è "debian-6.0.5-i386-CD-1.iso". Il discorso non cambia per uno o più file .iso diversi anche riguardanti l'installazione di Debian testing. <br/> | ||
Si può notare che i primi file della lista sono: | Si può notare che i primi file della lista sono: | ||
* '''MD5SUMS''' | * '''MD5SUMS''' | ||
| Riga 39: | Riga 39: | ||
== MD5 == | == MD5 == | ||
<pre>$ md5sum -c MD5SUMS</pre> | <pre>$ md5sum -c MD5SUMS</pre> | ||
Verrà calcolata la firma MD5 di tutti i file | Verrà calcolata la firma MD5 di tutti i file elencati in MD5SUMS e poi confrontata con quella presente nello stesso file.<br/> | ||
Poiché la maggior parte dei file non è presente, l'output ci informerà di conseguenza. La sola cosa che importa è, però, che il controllo sul file <code>debian-6.0.5-i386-CD-1.iso</code> sia andato a buon fine: | Poiché la maggior parte dei file non è presente, l'output ci informerà di conseguenza. La sola cosa che importa è, però, che il controllo sul file <code>debian-6.0.5-i386-CD-1.iso</code> sia andato a buon fine: | ||
<pre>$ md5sum -c MD5SUMS | <pre>$ md5sum -c MD5SUMS | ||
debian-6.0.5-i386-CD-1.iso: OK | debian-6.0.5-i386-CD-1.iso: OK | ||
md5sum: debian-6.0.5-i386-CD-10.iso: File o directory non esistente | md5sum: debian-6.0.5-i386-CD-10.iso: File o directory non esistente | ||
debian-6.0.5-i386-CD-10.iso: apertura o lettura NON RIUSCITA | debian-6.0.5-i386-CD-10.iso: apertura o lettura NON RIUSCITA | ||
... | ... | ||
... | ... | ||
| Riga 52: | Riga 52: | ||
In caso di errore: | In caso di errore: | ||
<pre>$ md5sum -c MD5SUMS | <pre>$ md5sum -c MD5SUMS | ||
debian-6.0.5-i386-CD-1.iso: NON RIUSCITO... | debian-6.0.5-i386-CD-1.iso: NON RIUSCITO | ||
... | |||
... | ... | ||
md5sum: ATTENZIONE: 1 codice di controllo calcolato NON corrisponde</pre> | md5sum: ATTENZIONE: 1 codice di controllo calcolato NON corrisponde</pre> | ||
| Riga 58: | Riga 59: | ||
== SHA == | == SHA == | ||
Il controllo della firma digitale attraverso SHA può essere effettuato a 160, 256 e 512 bit. La scelta dipende dall'affidabilità e dal tempo necessario per il calcolo; entrambi crescono all'aumentare dei | Il controllo della firma digitale attraverso SHA può essere effettuato a 160, 256 e 512 bit. La scelta dipende dall'affidabilità e dal tempo necessario per il calcolo; entrambi crescono all'aumentare dei bit.<br/> | ||
Il metodo consigliato è utilizzare SHA a 512 bit. | Il metodo consigliato è utilizzare SHA a 512 bit. | ||
| Riga 66: | Riga 67: | ||
<pre>$ shasum -c SHA1SUMS</pre> | <pre>$ shasum -c SHA1SUMS</pre> | ||
=== SHA a 256 bit === | === SHA a 256 bit === | ||
<pre>$ sha256sum -c | <pre>$ sha256sum -c SHA256SUMS</pre> | ||
oppure: | oppure: | ||
<pre>$ shasum -a 256 -c SHA256SUMS</pre> | <pre>$ shasum -a 256 -c SHA256SUMS</pre> | ||
=== SHA a 512 bit === | === SHA a 512 bit === | ||
<pre>$ sha512sum -c | <pre>$ sha512sum -c SHA512SUMS</pre> | ||
oppure: | oppure: | ||
<pre>$ shasum -a 512 -c SHA512SUMS</pre> | <pre>$ shasum -a 512 -c SHA512SUMS</pre> | ||
| Riga 79: | Riga 79: | ||
<pre>debian-6.0.5-i386-CD-1.iso: OK</pre> | <pre>debian-6.0.5-i386-CD-1.iso: OK</pre> | ||
mentre in caso d'errore si otterrà qualcosa tipo: | mentre in caso d'errore si otterrà qualcosa tipo: | ||
<pre>debian-6.0.5-i386-CD-1.iso: FAILED... | <pre>debian-6.0.5-i386-CD-1.iso: FAILED | ||
... | |||
... | ... | ||
shasum: WARNING: 1 computed checksum did NOT match</pre> | shasum: WARNING: 1 computed checksum did NOT match</pre> | ||
| Riga 93: | Riga 94: | ||
=== Verifica === | === Verifica === | ||
Verifichiamo ora la firma, ad esempio, per il file SHA512SUMS: | Verifichiamo ora la firma, ad esempio, per il file <code>SHA512SUMS</code>: | ||
<pre> | <pre> | ||
$ gpg --verify SHA512SUMS.sign SHA512SUMS | $ gpg --verify SHA512SUMS.sign SHA512SUMS | ||
| Riga 100: | Riga 101: | ||
gpg: Impossibile controllare la firma: chiave pubblica non trovata | gpg: Impossibile controllare la firma: chiave pubblica non trovata | ||
</pre> | </pre> | ||
se | se l'output, come in questo caso, ci informa del fatto che manca la chiave pubblica dell'uploader dei file, basta scaricarla. Nel nostro caso la chiave ha ID='''6294BE9B''', per cui: | ||
<pre> | <pre> | ||
$ gpg --keyserver keyring.debian.org --recv-keys 6294BE9B | $ gpg --keyserver keyring.debian.org --recv-keys 6294BE9B | ||
| Riga 109: | Riga 110: | ||
gpg: importate: 1 (RSA: 1) | gpg: importate: 1 (RSA: 1) | ||
</pre> | </pre> | ||
Ora | Ora la chiave pubblica è presente nel nostro portachiavi ed è una buona idea controllare chi ha firmato la chiave appena prelevata: | ||
<pre> | <pre> | ||
$ gpg --keyring /usr/share/keyrings/debian-keyring.gpg -kvv 6294BE9B | $ gpg --keyring /usr/share/keyrings/debian-keyring.gpg -kvv 6294BE9B | ||
| Riga 115: | Riga 116: | ||
pub 4096R/6294BE9B 2011-01-05 | pub 4096R/6294BE9B 2011-01-05 | ||
uid Debian CD signing key <debian-cd@lists.debian.org> | uid Debian CD signing key <debian-cd@lists.debian.org> | ||
sig 1B3045CE 2011-01-07 | sig 1B3045CE 2011-01-07 Colin Tuckley <colin@tuckley.org> | ||
sig 3442684E 2011-01-05 Steve McIntyre <steve@einval.com> | sig 3442684E 2011-01-05 Steve McIntyre <steve@einval.com> | ||
sig A40F862E 2011-01-05 Neil McGovern <neil@halon.org.uk> | sig A40F862E 2011-01-05 Neil McGovern <neil@halon.org.uk> | ||
| Riga 124: | Riga 125: | ||
sig 6294BE9B 2011-01-05 Debian CD signing key <debian-cd@lists.debian.org> | sig 6294BE9B 2011-01-05 Debian CD signing key <debian-cd@lists.debian.org> | ||
</pre> | </pre> | ||
Se | Se avete fiducia dei soggetti sopra elencati (o perché noti ed autorevoli esponenti del progetto Debian o perché li conoscete di persona o entrambe le cose), potete considerare la chiave con ID uguale a 6294BE9B come fidata; vedremo tra poco come fare. | ||
Per finire non resta altro che verificare che il file SHA512SUMS sia autentico: | Per finire non resta altro che verificare che il file <code>SHA512SUMS</code> sia autentico: | ||
<pre> | <pre> | ||
$ gpg --verify SHA512SUMS.sign SHA512SUMS | $ gpg --verify SHA512SUMS.sign SHA512SUMS | ||
| Riga 157: | Riga 158: | ||
== Conclusioni == | == Conclusioni == | ||
Il controllo appena descritto di integrità dei file non è | Il controllo appena descritto di integrità dei file non è un'operazione da guru, da paranoici o da guru paranoici; è, anzi, un passo necessario da compiere indipendentemente dall'uso che si farà della propria macchina.<br/> | ||
Ricordare sempre che si sta per installare il cuore del sistema. Ogni operazione che ne possa garantire l'affidabilità e la sicurezza è da ritenersi in ogni caso prioritaria. | Ricordare sempre che si sta per installare il cuore del sistema. Ogni operazione che ne possa garantire l'affidabilità e la sicurezza è da ritenersi in ogni caso prioritaria. | ||
{{Autori|Autore= | {{Autori|Autore=[[Utente:S3v|S3v]] 18:50, 7 lug 2012 (CEST)}} | ||
}} | [[Categoria:Installazione]] | ||
[[Categoria:Crittografia]] | |||