Ogni volta che scarichi un programma da Internet, devi fidarti dello sviluppatore che non è dannoso. Non c'è modo di aggirarlo. Ma questo non è un problema, di solito, specialmente con software e sviluppatori noti.
Tuttavia, siti web che ospitano software sono più vulnerabili. Gli aggressori possono sovvertire la sicurezza di un sito Web e sostituire i programmi con la propria versione dannosa. Questo sembra e funziona esattamente come l'originale, tranne per il fatto che ha una backdoor inserita. Con questa backdoor, gli aggressori possono controllare varie parti della tua normale elaborazione quotidiana. Il tuo computer è inserito in una botnet o, peggio, l'utilità attende finché non utilizzi la tua carta di credito/debito e ruba le sue credenziali. Dovresti prestare particolare attenzione quando scarichi software importanti come un sistema operativo, un portafoglio di criptovaluta o simili.
Le firme digitali possono salvare la giornata
Gli autori di software possono firmare i loro prodotti. A meno che un utente malintenzionato non possa rubare la propria chiave privata, non è noto che qualcuno possa falsificare questa firma. Esistono numerosi casi in cui migliaia di utenti hanno scaricato programmi dannosi e, in quasi tutti i casi, se avrebbero controllato le firme digitali, si sarebbero accorti che non erano valide, evitando così il situazione. È relativamente facile sostituire il software su un sito Web vulnerabile, ma è incredibilmente difficile rubare una chiave privata correttamente archiviata e isolata dall'accesso a Internet.
Puoi leggi molto di più sulle firme digitali qui. Questo articolo discute la stessa cosa, tranne che utilizzerai le utilità di Windows per convalidare i download.
Come utilizzare Gpg4win per verificare le firme digitali
Vai a questa pagina e scarica e installa Gpg4win. Le persone intelligenti si chiederanno: "Ma come faccio a sapere che questo è legittimo?" Ed è una buona domanda. Se questo fosse rotto, tutti i passaggi successivi sarebbero inutili.
Fortunatamente, lo sviluppatore ha affrontato tutti i problemi per far firmare il suo software da un'autorità di certificazione. E lui dettaglia passaggi per verificare il suo programma sul suo sito web. Sebbene venga utilizzata una crittografia simile per verificare la validità, il metodo generale è diverso. Per questo vengono utilizzati certificati digitali.
Verifica checksum file
Diciamo che vuoi scarica il portafoglio Bitcoin Core. Scarica l'eseguibile x64 di Windows (exe, non zip). Successivamente, fai clic su "Verifica firme di rilascio" per scaricare il file "SHA256SUMS.asc". Il primo passo è verificare l'hash del file di installazione. Puoi leggi di più sugli hash qui.
Vai alla cartella dei download e, con Gpg4win installato, puoi ora fare clic con il pulsante destro del mouse su un file e verrà visualizzato un nuovo menu di scelta rapida. Fai clic con il pulsante destro del mouse sul file di installazione di Bitcoin (l'exe che hai scaricato) e seleziona "Altre opzioni GpgEX -> Crea checksum", come nell'immagine qui sotto.
Apri sia "sha256sum.txt" che è stato generato che "SHA256SUMS.asc" che hai scaricato. Confronta i checksum SHA256. Dovrebbero essere una coppia perfetta.
Controlla la firma del file che elenca i checksum
Mentre hai appena scaricato un file di installazione e un elenco di checksum dallo stesso sito Web, se un utente malintenzionato ha sostituito il file di installazione, potrebbe facilmente sostituire anche l'elenco di checksum. Quello che non può fare, tuttavia, è falsificare una firma. Ciò può essere convalidato da una chiave pubblica (legittima) nota. Per prima cosa, devi scaricare questa chiave.
L'immagine seguente è l'aspetto di una firma.
Questa è una firma in linea (inclusa nello stesso file che convalida). A volte questo sarà staccato, incluso in un file separato. Se cambi solo una lettera in questo file di testo, la firma diventa non valida. Questo è un modo per sapere che lo sviluppatore ha approvato e firmato questi contenuti esatti e specifici con i checksum corretti.
Importa la chiave pubblica dello sviluppatore
Hai le chiavi pubbliche disponibili per il download in "Bitcoin Core Release Signing Keys" nella pagina di download di Bitcoin. Come misura precauzionale, puoi scaricarli da un'altra fonte. Se un utente malintenzionato ha sostituito le chiavi legittime con le proprie, è probabile che troveremo le chiavi corrette (e le impronte digitali) in tutti gli altri luoghi in cui sono state pubblicate o discusse.
Fare clic con il pulsante destro del mouse su "SHA256SUMS.asc" e selezionare "Decrittografa e verifica". Il programma ti dirà che non hai ancora la chiave pubblica. Fare clic su "Cerca".
La ricerca potrebbe richiedere del tempo. Annotare la stringa nel campo "Trova".
Puoi copiarlo e incollarlo in Google per vedere se questa impronta digitale della chiave pubblica è stata discussa su thread/siti web legittimi del forum, ecc. Più posti lo trovi, più puoi essere certo che appartenga al proprietario previsto.
Fare clic sulla chiave e quindi importarla. Puoi fare clic su "No" nella richiesta successiva (prendere misure per certificare la chiave) se non sai come o non vuoi farlo ora.
Infine, fai clic su "Mostra registro di controllo".
Dovresti vedere il testo che è stato evidenziato nell'immagine successiva, "Buona firma".
Prova a cambiare solo una lettera in "SHA256SUMS.asc" e otterrai ciò che è raffigurato nell'immagine seguente.
Conclusione
Pochi sviluppatori ti danno la possibilità di verificare che il loro software provenga da loro. Ma di solito i programmi che trattano dati sensibili o sono molto importanti ti offriranno questa opzione. Usalo e potrebbe salvarti dai guai un giorno.
Divulgazione di affiliazione: Make Tech Easier può guadagnare commissioni sui prodotti acquistati tramite i nostri link, il che supporta il lavoro che svolgiamo per i nostri lettori.
