Ogni volta che scarichi un programma da Internet, sei costretto a fidarti dello sviluppatore che non si tratti di malware. Nessun altro modo. Ma di solito questo non è un problema, soprattutto con sviluppatori e software famosi.
Tuttavia, i siti Web che ospitano software sono più vulnerabili agli attacchi. Gli aggressori possono minare la sicurezza di un sito Web e sostituire i programmi con versioni dannose degli stessi. La versione dannosa appare e funziona esattamente come l'originale, tranne per il fatto che ha una backdoor inserita. Con questa backdoor un utente malintenzionato può controllare diverse parti del computer. Il tuo computer verrà inserito in una botnet o, peggio ancora, il malware attenderà finché non utilizzerai la tua carta di credito/debito e ruberai le tue informazioni di accesso. Dovresti prestare particolare attenzione quando scarichi software importanti come sistemi operativi, portafogli di criptovaluta o altri software simili.
Istruzioni per l'autenticazione del software Windows tramite firme digitali
Gli autori di software possono “firmare” i loro prodotti. A meno che un utente malintenzionato non riesca a rubare la chiave privata dell'autore del software, non c'è modo per qualcuno di falsificare questa firma. Sono molti i casi in cui migliaia di utenti hanno scaricato programmi dannosi e, in quasi tutti i casi, se avessero controllato le firme digitali, avrebbero notato che non erano valide e la situazione avrebbe potuto essere evitata. È relativamente semplice sostituire il software su un sito Web vulnerabile, ma estremamente difficile rubare una chiave privata adeguatamente archiviata e isolata dall'accesso a Internet.
Puoi leggere ulteriori informazioni sulle firme digitali nell'articolo: Come verificare l'autenticità del software Linux utilizzando le firme digitali . Questo articolo tratta la stessa cosa, tranne che utilizzerai le utilità di Windows per autenticare i download.
Scarica e installa Gpg4win . Le persone intelligenti si chiederanno come sapere con certezza che questo software è legittimo. Questa è una buona domanda e se la pagina di download è danneggiata, tutti i passaggi successivi saranno vani.
Fortunatamente, lo sviluppatore Gpg4win si è preso la briga di far firmare il suo software da un'autorità di certificazione e descrive dettagliatamente i passaggi per verificare il suo programma sul sito web. Sebbene per verificare la validità venga utilizzata la stessa crittografia, il metodo complessivo sarà diverso. A questo scopo vengono utilizzati i certificati digitali.
Supponiamo che tu voglia scaricare il portafoglio Bitcoin Core . Scarica il file eseguibile di Windows x64 ( exe , non zip ). Quindi, fai clic su " Verifica firme di rilascio " per scaricare il file SHA256SUMS.asc. Il primo passo è verificare l'hash del file di installazione.
Vai alla cartella di download e con Gpg4win installato, ora puoi fare clic con il pulsante destro del mouse su un file e verrà visualizzato un nuovo menu contestuale. Fai clic con il tasto destro sul file di installazione di Bitcoin ( exe che hai scaricato) e seleziona Altre opzioni GpgEX > Crea checksum , come nell'immagine qui sotto.
Apri sia il file sha256sum.txt creato che quello SHA256SUMS.asc scaricato . Confronta il checksum SHA256 e dovrebbero essere gli stessi.
Anche se hai appena scaricato il file di installazione e l'elenco dei checksum dallo stesso sito Web, se un utente malintenzionato sostituisce il file di installazione, può facilmente sostituire anche l'elenco dei checksum. Tuttavia, gli hacker non possono falsificare le firme. Ciò può essere confermato da una chiave pubblica conosciuta (legittima). Per prima cosa devi scaricare questa chiave.
L'immagine della firma è simile alla seguente:
Questa è una firma in linea (inclusa nello stesso file che convalida). A volte questa firma verrà separata e inserita in un file separato. Se cambi solo una lettera in questo file di testo, la firma non sarà più valida. Questo è un modo per sapere con certezza che lo sviluppatore ha approvato e firmato queste risorse esatte e specifiche con il checksum corretto.
Hai le chiavi pubbliche disponibili per il download nella sezione " Chiavi di firma del rilascio di Bitcoin Core " nella pagina di download di Bitcoin. Per precauzione, puoi scaricarli da un'altra fonte. Se l'aggressore sostituisce le chiavi legittime con la sua chiave privata, troverai le chiavi (e le impronte digitali) corrette in tutti gli altri luoghi in cui sono state pubblicate o discusse.
Fare clic con il tasto destro su SHA256SUMS.asc e selezionare Decrypt and Verify . Il programma ti dirà che non hai una chiave pubblica. Fare clic su Cerca.
La ricerca potrebbe richiedere del tempo. Prendere nota della stringa nel campo Trova.
Puoi copiare e incollare in Google per visualizzare le impronte digitali delle chiavi pubbliche discusse su siti Web o forum legittimi. Più posti trovi questa chiave pubblica, più sarai sicuro che appartenga al legittimo proprietario.
Fare clic sulla chiave e quindi inserirla. Puoi fare clic su No nella richiesta che riceverai successivamente (adottare misure per confermare la chiave), se non sai come o non vuoi farlo adesso.
Infine, fai clic su Mostra registro di controllo .
Vedrai il testo della firma Good evidenziato nell'immagine successiva.
Prova a modificare solo una lettera in SHA256SUMS.asc e otterrai il risultato illustrato nell'immagine seguente.
Pochissimi sviluppatori ti danno la possibilità di verificare se il software proviene da loro. Ma di solito i programmi che gestiscono dati sensibili o molto importanti ti danno questa opzione. Utilizza l'opzione di controllo della firma digitale e un giorno potrebbe salvarti dai guai.
Spero che tu abbia successo.
Quando la vecchia chiave Windows 10 è scaduta, è necessario inserire una nuova chiave per sostituirla. Scopri i 5 metodi più semplici per cambiare la chiave di attivazione di Windows 10.
Scopri come creare un nuovo utente su Windows 10 senza utilizzare un account Microsoft. Attraverso Gestione Computer e Pannello di Controllo, è possibile proteggere i dati e gestire gli accessi in modo efficace.
Scopri come modificare le impostazioni regionali su Windows 10 per personalizzare l
Il simbolo del copyright (©) è un carattere speciale comunemente utilizzato da fotografi e creatori di contenuti. Scopri come inserirlo su Windows e Mac con metodi aggiornati.
Scopri come correggere l
Scopri come spostare, nascondere o eliminare le cartelle Rullino fotografico e Immagini salvate in Windows 10 in modo efficace. Segui i nostri passaggi e suggerimenti per semplificare la tua esperienza.
Scopri come localizzare facilmente i file scaricati su Chromebook utilizzando diversi metodi efficaci.
Fai riferimento a come visualizzare ed eliminare la cronologia delle attività su Windows 10 nell
Scopri come utilizzare l
Scopri come modificare le impostazioni degli effetti visivi in Windows 10 per migliorare le prestazioni del PC. Questo articolo guida ti mostrerà tutti i passaggi necessari.
