Verifica integrità con Kleopatra, come?

[Robby The Robot]

Non sono sicuro della sezione, spero sia quella giusta.

Avrei bisogno di verificare l'integrità di una immagine .iso (Linux Mint) da Windows, usando Kleopatra. Non riesco a trovare una guida chiara su come si deve procedere.
Qualcuno potrebbe aiutarmi?
Ho scaricato la iso, i file sha256sum.txt e sha256sum.txt.gpg.

Grazie

[Ryddyck]

Ti può tornare utile https://www.youtube.com/watch?v=Go7CBYWosLc e https://linuxmint.com/verify.php (sostanzialmente la verifica di integrità così spiegata sarebbe doppia - sia sulla iso che sul file di testo contenente l'hash).
Se però non vuoi fare tutta quella procedura e verificare direttamente l'hash dell'iso puoi utilizzare hashtab (free) http://implbits.com/products/hashtab/ - si integra facilmente in Windows e poi basta selezionare il file, click destro -> Proprietà -> Hash del file e ti calcola l'hash (tra le opzioni spunti quello che ti serve ed in questo caso sha256) e lo confronti con l'hash che trovi nel file di testo "sha256sum.txt".

[Robby The Robot]

Grazie mille per la risposta.

Prima di postare la discussione avevo già consultato entrambi i link che hai postato, quella sul sito di LM è la procedura da eseguire su Linux, io volevo farlo su Windows. Il video lo avevo visto ma ad un certo punto mi sono perso.
Comunque, procedendo a tentoni sono riuscito a verificare che l'hash SHA256 della iso corrisponde a quello sul file sha256sum.txt.
E' la seconda verifica (quella sul file .txt) che non capisco se è valida.
Ora ho provato a farla su Linux via terminale e questo è l'output:

Codice:

gpg --verify sha256sum.txt.gpg sha256sum.txt
gpg: Signature made Wed 25 Jan 2017 08:06:26 PM CET using RSA key ID A25BAE09
gpg: Good signature from "Linux Mint ISO Signing Key <[email protected]>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 27DE B156 44C6 B3CF 3BD7  D291 300F 846B A25B AE09

E' il Warning che non capisco.

[Ryddyck]

È corretto, alla fine ti sta restituendo quello richiesto dal team di linux mint sia per l'hash dell'iso che per quello del file anche se ti dice nel warning che il file non è stato firmato effettivamente.
Ora provo a verificare io su windows...

EDIT: restituisce lo stesso risultato

o anche provando ad importare la chiave

Leggi qui https://forums.linuxmint.com/viewtop...26678#p1197876

[Robby The Robot]

Quei messaggi di Kleopatra li avevo già ottenuti prima di postare la discussione, ma anche lì sembra esserci lo stesso errore (infatti è evidenziato in giallo).
Da quello che ho capito, dipende dal fatto che non ho "certificato il certificato" con una mia chiave.
Se ho ben capito quindi, se l'hash della iso corrisponde a quello nel file .txt e verificando questo file con il .gpg ottengo (su Linux) l'output:

Codice:

gpg --verify sha256sum.txt.gpg sha256sum.txt
gpg: Signature made Wed 25 Jan 2017 08:06:26 PM CET using RSA key ID A25BAE09
gpg: Good signature from "Linux Mint ISO Signing Key <[email protected]>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 27DE B156 44C6 B3CF 3BD7  D291 300F 846B A25B AE09

oppure (su Windows) una schermata di Kleopatra simile a quella postata (anche con la banda gialla), la verifica è andata a buon fine.

Il link è interessante, gli ho dato una scorsa veloce, praticamente è esattamente la mia situazione.
Appena ho il tempo, lo devo rileggere con attenzione.

Grazie ancora per l'aiuto.

[Ryddyck]

Soluzione trovata, un po' più lunga di quel che pensavo (devi creare un tuo certificato in pratica) https://forums.linuxmint.com/viewtop...?f=42&t=229292

[Robby The Robot]

Appena sono di nuovo sul PC con Windows seguo tutta la procedura.
Grazie.

[Robby The Robot]

Ho rifatto tutta la procedura su Windows, come già avevamo intuito il "problema" è che si deve dichiarare di fidarsi dell'autenticità del certificato controfirmandolo con una propria chiave.
La cosa è quindi (più o meno) risolta.
Il "più o meno" viene da un dubbio che ho (probabilmente dovuto alla mia non completa comprensione dei concetti che stanno dietro):
ok, ho verificato che l'hash corrisponde e che il file .txt è firmato con la chiave giusta (verifica fatta visivamente con l'ID e fingerprint).
Ma se qualcuno riesce a sostituire una ISO originale con una modificata con un malware (e la cosa è già successa proprio con Linux Mint) cosa gli impedisce di sostituire anche i file .txt e .gpg e modificare la pagina sul sito di Mint ove sono riportati ID e fingerprint della chiave?
Capisco che forse è una cosa improbabile ma non credo sia impossibile.
Ulteriori chiarimenti, se ci saranno, saranno molto graditi.

Grazie.

[Ryddyck]

Beh non è impossibile ma improbabile, dovrebbero cambiare le iso su tutti i server (abbastanza difficile anche pensare di farlo contemporaneamente)/effettuare dei redirect sul sito ufficiale che rimanda ad iso modificate su altri server e poi ovviamente cambiare sia l'hash per verificarne l'integrità (che è abbastanza semplice) e poi autenticare anche quell'hash (molto meno semplice della verifica dell'integrità).
A mio avviso sarebbe più facile entrare a far parte del team di sviluppo ed inserire backdoor o altro da mantenere anche tra i vari aggiornamenti...

[Robby The Robot]

E' abbastanza improbabile, ne convengo.
Però, come ho detto, già una volta le iso di LM sono state manomesse.
Non so come hanno fatto, forse hanno alterato solo quelle di alcuni server...

Comunque, per il momento diamo per buona l'iso che ho scaricato

[Ryddyck]

Puoi approfondire se vuoi http://blog.linuxmint.com/?p=2994
http://www.techrepublic.com/article/...arger-problem/

[Robby The Robot]

Proverò a dare una lettura al secondo link (il primo lo avevo letto all'epoca).