Jan Reister commited on 2009-02-04 14:56:48
Zeige 1 geänderte Dateien mit 121 Einfügungen und 0 Löschungen.
... | ... |
@@ -0,0 +1,121 @@ |
1 |
+## translation metadata |
|
2 |
+# Based-On-Revision: 18276 |
|
3 |
+# Last-Translator: jan at seul dot org |
|
4 |
+ |
|
5 |
+#include "head.wmi" TITLE="Verica della firma" CHARSET="UTF-8" |
|
6 |
+ |
|
7 |
+<div class="main-column"> |
|
8 |
+ |
|
9 |
+<h2>Verifica della firma dei file rilasciati</h2> |
|
10 |
+<hr /> |
|
11 |
+ |
|
12 |
+<p>Ciascun file nella <a href="<page download>">pagina di download</a> è accompagnato da |
|
13 |
+un file con lo stesso nome e l'estensione ".asc".</p> |
|
14 |
+ |
|
15 |
+<p>Si tratta di firme PGP per permettere di verificare che il file scaricato |
|
16 |
+sia esattamente quello desiderato.</p> |
|
17 |
+ |
|
18 |
+<p>Naturalmente bisogna avere le nostre chiavi pgp nel proprio keyring: se non |
|
19 |
+sai qual'è la chiave pgp, non puoi esser certo che l'abbiamo firmata proprio noi. Le chiavi che |
|
20 |
+usiamo epr firmare sono quella di Roger (0x28988BF5) e di Nick (0x165733EA, o la |
|
21 |
+subkey 0x8D29319A). Alcuni pacchetti binari potrebbero essere firmati da Andrew |
|
22 |
+(0x31B0974B), Peter (0x94C09C7F, o la subkey 0xAFA44BDD), Matt |
|
23 |
+(0x5FA14861), o Jacob (0x9D0FACE4).</p> |
|
24 |
+ |
|
25 |
+<p>Puoi anche importare le chiavi direttamente da GnuPG:</p> |
|
26 |
+ |
|
27 |
+<pre>gpg --keyserver subkeys.pgp.net --recv-keys 0x28988BF5</pre> |
|
28 |
+ |
|
29 |
+<p>o cercarle con</p> |
|
30 |
+ |
|
31 |
+<pre>gpg --keyserver subkeys.pgp.net --search-keys 0x28988BF5</pre> |
|
32 |
+ |
|
33 |
+<p>e quando ne scegli una, verrà aggiunta al tuo keyring.</p> |
|
34 |
+ |
|
35 |
+<p>I fingerprints delle chiavi sono:</p> |
|
36 |
+ |
|
37 |
+<pre> |
|
38 |
+pub 1024D/28988BF5 2000-02-27 |
|
39 |
+ Key fingerprint = B117 2656 DFF9 83C3 042B C699 EB5A 896A 2898 8BF5 |
|
40 |
+uid Roger Dingledine <arma@mit.edu> |
|
41 |
+ |
|
42 |
+pub 3072R/165733EA 2004-07-03 |
|
43 |
+ Key fingerprint = B35B F85B F194 89D0 4E28 C33C 2119 4EBB 1657 33EA |
|
44 |
+uid Nick Mathewson <nickm@alum.mit.edu> |
|
45 |
+uid Nick Mathewson <nickm@wangafu.net> |
|
46 |
+uid Nick Mathewson <nickm@freehaven.net> |
|
47 |
+ |
|
48 |
+pub 1024D/31B0974B 2003-07-17 |
|
49 |
+ Key fingerprint = 0295 9AA7 190A B9E9 027E 0736 3B9D 093F 31B0 974B |
|
50 |
+uid Andrew Lewman (phobos) <phobos@rootme.org> |
|
51 |
+ |
|
52 |
+pub 1024D/94C09C7F 1999-11-10 |
|
53 |
+ Key fingerprint = 5B00 C96D 5D54 AEE1 206B AF84 DE7A AF6E 94C0 9C7F |
|
54 |
+uid Peter Palfrader |
|
55 |
+uid Peter Palfrader <peter@palfrader.org> |
|
56 |
+uid Peter Palfrader <weasel@debian.org> |
|
57 |
+ |
|
58 |
+pub 1024D/5FA14861 2005-08-17 |
|
59 |
+ Key fingerprint = 9467 294A 9985 3C9C 65CB 141D AF7E 0E43 5FA1 4861 |
|
60 |
+uid Matt Edman <edmanm@rpi.edu> |
|
61 |
+uid Matt Edman <Matt_Edman@baylor.edu> |
|
62 |
+uid Matt Edman <edmanm2@cs.rpi.edu> |
|
63 |
+sub 4096g/EA654E59 2005-08-17 |
|
64 |
+ |
|
65 |
+pub 1024D/9D0FACE4 2008-03-11 [expires: 2010-03-11] |
|
66 |
+ Key fingerprint = 12E4 04FF D3C9 31F9 3405 2D06 B884 1A91 9D0F ACE4 |
|
67 |
+uid Jacob Appelbaum <jacob@appelbaum.net> |
|
68 |
+sub 4096g/D5E87583 2008-03-11 [expires: 2010-03-11] |
|
69 |
+</pre> |
|
70 |
+ |
|
71 |
+<p>(Naturalmente, se vuoi essere certo che siano proprio loro |
|
72 |
+devi confrontare le firme da più fonti, o meglio ancora fare key signing |
|
73 |
+e costruitre un percorso di fiducia a queste chiavi.)</p> |
|
74 |
+ |
|
75 |
+<p>Se usi GnuPG, metti il file .asc ed il file scaricato nella stessa |
|
76 |
+directory e dai "gpg --verify (quelchesia).asc (quelchesia)". Risponderà |
|
77 |
+qualcosa come "Good signature" o "BAD signature" usando questi |
|
78 |
+comandi:</p> |
|
79 |
+ |
|
80 |
+<pre> |
|
81 |
+gpg --verify tor-0.1.0.17.tar.gz.asc tor-0.1.0.17.tar.gz |
|
82 |
+gpg: Signature made Wed Feb 23 01:33:29 2005 EST using DSA key ID 28988BF5 |
|
83 |
+gpg: Good signature from "Roger Dingledine <arma@mit.edu>" |
|
84 |
+gpg: aka "Roger Dingledine <arma@mit.edu>" |
|
85 |
+gpg: WARNING: This key is not certified with a trusted signature! |
|
86 |
+gpg: There is no indication that the signature belongs to the owner. |
|
87 |
+Primary key fingerprint: B117 2656 DFF9 83C3 042B C699 EB5A 896A 2898 8BF5 |
|
88 |
+</pre> |
|
89 |
+ |
|
90 |
+<p> |
|
91 |
+Noterai che c'è un avviso perché non hai assegnato una fiducia a |
|
92 |
+questo utente. Significa che il programma ha verificato che l'utente ha apposto quella firma. |
|
93 |
+E' l'utente a decidere se quella chiave appartiene veramente agli sviluppatori. Il modo |
|
94 |
+migliore è incontrarli e scambiare i gpg fingerprint. Si possono anche firmare le |
|
95 |
+chiavi. Se vedi le chiavi di Roger o Nick, altre persone hanno detto in sostanza |
|
96 |
+"abbiamo verificato che questo è Roger/Nick". Così se ti fidi di quella |
|
97 |
+terza parte, hai stabilito un livello di fiducia per arma/nick. |
|
98 |
+</p> |
|
99 |
+ |
|
100 |
+<p>Tutto ciò significa che puoi ignorare il messaggio o assegnare un livello di fiducia.</p> |
|
101 |
+ |
|
102 |
+<p>Ad esempio, questo è un esempio di verifica <em>FALLITA</em>. Significa |
|
103 |
+che la firma ed il contenuto del file non corrispondono:</p> |
|
104 |
+ |
|
105 |
+<pre> |
|
106 |
+gpg --verify tor-0.1.0.17.tar.gz.asc |
|
107 |
+gpg: Signature made Wed Feb 23 01:33:29 2005 EST using DSA key ID 28988BF5 |
|
108 |
+gpg: BAD signature from "Roger Dingledine <arma@mit.edu>" |
|
109 |
+</pre> |
|
110 |
+ |
|
111 |
+<p>Se vedi un messaggio come questo sopra, non devi fidarti del |
|
112 |
+contenuto del file.</p> |
|
113 |
+ |
|
114 |
+<p>Se usi Tor su Debian leggi le istruzioni per |
|
115 |
+<a |
|
116 |
+href="https://wiki.torproject.org/noreply/TheOnionRouter/TorOnDebian">importare |
|
117 |
+le chiavi in apt</a>.</p> |
|
118 |
+ |
|
119 |
+</div><!-- #main --> |
|
120 |
+ |
|
121 |
+#include <foot.wmi> |
|
0 | 122 |