In questa guida vedremo come eseguire la verifica della firma in formato GPG, tramite il Terminale di macOS.
Operazioni preliminari
Utilizzeremo il tool da linea di comando, per fare ciò assicuriamoci di avere Homebrew installato (qui la guida in caso non lo abbiate installato sul vostro sistema).
Installazione pacchetto gnupg
Adesso apriamo il Terminale di macOS, e installiamo il pacchetto GPG:
brew install gnupg
Attendiamo la fine dell’installazione.
Verifica della firma
Per verificare una firma GPG abbiamo bisogno di tre cose:
- Il file che vogliamo controllare (nel nostro esempio KeePassX-2.0.3.dmg)
- La firma in formato .sig (nel nostro esempio KeePassX-2.0.3.dmg.sig)
- La chiave pubblica in formato .asc di chi ha firmato il file (nel nostro esempio 0x83135D45.asc)
Mettiamo tutto nella stessa cartella, qui l’esempio preso in oggetto:
Navighiamo la cartella che contiene i suddetti file:
cd /Users/utente/cartella_con_file
Adesso importiamo la chiave .asc:
gpg --import 0x83135D45.asc
Tramite la chiave pubblica abbiamo ottenuto due informazioni importanti:
- Il fingerprint, in questo caso FE22C6FD83135D45
- Il nome di chi ha firmato il file, in questo caso Felix Geyer
Adesso possiamo verificare il fingerprint, tramite il comando:
gpg --fingerprint FE22C6FD83135D45
Verifichiamo che effettivamente corrisponda a Felix Geyer:
Adesso possiamo finalmente verificare l’integrità del file tramite la firma (.sig) di riferimento.
Bisogna dare in pasto al prossimo comando, in ordine, la firma e poi il file:
gpg --verify KeePassX-2.0.3.dmg.sig KeePassX-2.0.3.dmg
Vediamo se è presente il sig. Geyer:
Perfetto, il file è stato correttamente firmato da Felix Geyer, possiamo dunque ritenerlo legittimo.