Devo verificare il file di installazione PGP hash?

1

Diciamo che scaricherò un programma di installazione per un programma su Windows e l'editore ha rilasciato la firma PGP per il file.

Il file di installazione non ha certificati di firma del codice.

Se mi collego al sito web del publisher con https e controllo che l'URL sia corretto, pensi che dovrei comunque verificare l'hash?

Da quello che ho capito, lo scopo di questo è assicurarsi che il download non sia stato intercettato da terzi e assicurarsi di aver scaricato il file corretto.

È ancora una minaccia anche se mi collego con https e controllo l'URL?

    
posta Emre Kenci 20.02.2015 - 16:44
fonte

1 risposta

1

Sì, dovresti verificarlo.

Se un utente malintenzionato può sostituire il file di installazione sul server con una versione malevola, https (TLS) non ti proteggerà perché stai scaricando dal sito corretto, ma stai ricevendo un file dannoso.

Se il publisher ha mantenuto la propria chiave privata veramente privata, anche se l'utente malintenzionato ha compromesso il server, l'utente malintenzionato non può creare un nuovo hash firmato, poiché ciò richiede la chiave di firma (privata). (Ovviamente, l'implicazione è che l'editore non deve mantenere la chiave di firma sul server, ma possiamo sperare che i publisher lo sappiano.)

    
risposta data 20.02.2015 - 17:18
fonte

Leggi altre domande sui tag