Verificare firma GPG su macOS

In questa guida vedremo come eseguire la verifica della firma in formato GPG, tramite il Terminale di macOS.

Operazioni preliminari

Utilizzeremo il tool da linea di comando, per fare ciò assicuriamoci di avere Homebrew installato (qui la guida in caso non lo abbiate installato sul vostro sistema).

Installazione pacchetto gnupg

Adesso apriamo il Terminale di macOS, e installiamo il pacchetto GPG:

brew install gnupg

Attendiamo la fine dell’installazione.

Verifica della firma

Per verificare una firma GPG abbiamo bisogno di tre cose:

  1. Il file che vogliamo controllare (nel nostro esempio KeePassX-2.0.3.dmg)
  2. La firma in formato .sig (nel nostro esempio KeePassX-2.0.3.dmg.sig)
  3. La chiave pubblica in formato .asc di chi ha firmato il file (nel nostro esempio 0x83135D45.asc)

Mettiamo tutto nella stessa cartella, qui l’esempio preso in oggetto:

Navighiamo la cartella che contiene i suddetti file:

cd /Users/utente/cartella_con_file

Adesso importiamo la chiave .asc:

gpg --import 0x83135D45.asc


Tramite la chiave pubblica abbiamo ottenuto due informazioni importanti:

  1. Il fingerprint, in questo caso FE22C6FD83135D45
  2. Il nome di chi ha firmato il file, in questo caso Felix Geyer

Adesso possiamo verificare il fingerprint, tramite il comando:

gpg --fingerprint FE22C6FD83135D45

Verifichiamo che effettivamente corrisponda a Felix Geyer:

gpg-fingerprint

Adesso possiamo finalmente verificare l’integrità del file tramite la firma (.sig) di riferimento.
Bisogna dare in pasto al prossimo comando, in ordine, la firma e poi il file:

gpg --verify KeePassX-2.0.3.dmg.sig KeePassX-2.0.3.dmg

Vediamo se è presente il sig. Geyer:

verifica-file

Perfetto, il file è stato correttamente firmato da Felix Geyer, possiamo dunque ritenerlo legittimo.