Ciao

Alcuni siti riportano un codice per verificare l'integrità dei file.
Di solito forniscono direttamente il codice MD5 e spetta poi all'utente verificare l'integrità dei file scaricato confrontando il codice fornito
con quello estratto dal programma che analizza il file e fornisce a sua volta un codice. Io utilizzo di solito HAshcalc o winMd5Sum.

Il fatto è che ho scaricato un file, ma invece del codice il sito fornisce un file .asc, di piccole dimensioni, che penso serva allo stesso scopo.
Il problema è che non so come usarlo. Apro il file scaricato con uno dei programmi sopra citati che mi forniscono il codice MD5, ma so come verificarlo e non so cosa farmene del file asc.
Qualcuno può aiutarmi a capire cosa fare?

Grazie.

Cerca PGP ( Pretty Good Privacy ) e GnuPG ( GNU Privacy Guard )

Cerca PGP ( Pretty Good Privacy ) e GnuPG ( GNU Privacy Guard )


In pratica cosa devo fare?
Apro il file con un dei due sopra che mi dovrebbe restituire una stringa?

Deve caricare il file scaricato e anche il file asc. Qualche dettaglio in più per piacere?

Ok...con una semplice ricerca avresti trovato ad esempio:

How to verify the integrity of the downloaded file?

How to verify with PGP/ASC signatures

There are a few tools available like "Gpg4win", "GnuPG" just to name a few and not to prefer a specific tool. For the following instructions "GnuPG" will be used as an example an example to show for your convenience how the verification is working.

For verifying signatures you need the software "GnuPg". This is a tool that runs not in the graphical mode but in the command prompt of Windows. Therefore you have to enter always the full path (default location after installation: C:\Program Files\Gnu\GnuPg\gpg.exe) until you add it to the $PATH system environment variable.

Save the following file with your Internet browser to the location where the downloaded AOO and PGP/ASC file is stored:
http://www.apache.org/dist/openoffice/KEYS
Open the start menu and enter cmd.exe into the search box.
Now change to the directory with the downloaded AOO, KEYS and PGP/ASC file, import and verify with the following commands:
cd <path_to_AOO_and_KEYS_and_ASC_files>

C:\Program Files\Gnu\GnuPg\gpg.exe --import KEYS

C:\Program Files\Gnu\GnuPg\gpg.exe --verify <installation_file>.asc

If the signature matches the file it is indicated with an "Good signature from <Person who has created the signature> statement.
Otherwise with "BAD signature from ...".

Ok...con una semplice ricerca avresti trovato ad esempio:

Avevo già installato il software Cleopatra, in pratica gpg4win se ho capito bene.

Ho caricato il file da verificare, nella stessa cartella c'era il file asc e infatti il programma ha fatto riferimento anche a questo file pur non avendolo caricato. Mi sa comunque che c'è qualcosa che non va in quanto mi dice:

"Not enough information to check signature validity"

Manca il file con la chiave con cui fare la verifica, vedi l'esempio di OO e file "KEYS"

Manca il file con la chiave con cui fare la verifica, vedi l'esempio di OO e file "KEYS"

Non saprei quale file fornire. Sul sito c'è solo il file da installare e il file .asc

Senza chiave non puoi verificare nulla. E' come l'Hash ma con un file in più, in quel caso lo paragoni ad una stringa, in questo caso hai bisogno di un software ma il principio è lo stesso. Il programma controlla la chiave se corrisponde alla signature e se la signature corrisponde al file. Puoi solo controllare il file .asc

gpg --list-packets file.asc