Como verificar integridade de downloads

Como verificar integridade de downloads

Como referimos no nosso artigo sobre a segurança do TrueCrypt, a última versão funcional deste software (TrueCrypt v. 7.1a) já só se encontra disponível em sites de terceiros. No entanto, já foram identificados sites a distribuir versões adulteradas do software. Se pretende utilizar o TrueCrypt (ou qualquer outro software que descarregue a partir de sites de terceiros) é, por isso, importante que verifique se efectivamente descarregou a versão original do software. Para tal, pode utilizar o software Gpg4win. Se ainda não instalou o Gpg4win no seu computador, comece por consultar a primeira parte do nosso guia sobre como encriptar emails.

Para verificar a integridade do ficheiro de instalação de um software utilizando o Gpg4win, necessita da chave pública do desenvolvedor do software, do ficheiro cuja integridade pretende verificar e a assinatura digital que o desenvolvedor do software criou para esse ficheiro.

A criação e a validação da assinatura digital de um ficheiro é semelhante à criação e à validação da assinatura digital de uma mensagem. No que diz respeito ao TrueCrypt, os seus desenvolvedores criaram uma assinatura digital para o executável da versão 7.1a do software com a sua chave privada. Utilizando a chave pública dos desenvolvedores do TrueCrypt, que estes distribuíram junto com o seu software, podemos verificar a integridade desse mesmo executável.

Para ilustrar este artigo, iremos precisamente proceder à verificação da integridade do executável da versão 7.1a do TrueCrypt, disponibilizado pela equipa que organizou a primeira auditoria a este software. O executável pode ser descarregado aqui, e a assinatura digital do mesmo pode ser descarregada aqui. A chave pública dos desenvolvedores do TrueCrypt ainda está disponível no seu site oficial, podendo ser descarregada aqui. É importante que descarregue a chave pública dos desenvolvedores do software de um site diferente do site onde descarregar o próprio software e a assinatura digital, uma vez que, se um site estiver distribuir uma versão adulterada de um software, poderá também estar a distribuir uma assinatura digital e uma chave pública falsas. Isto porque, é possível assinar digitalmente o ficheiro adulterado com uma chave privada que, superficialmente, aparenta ser a verdadeira chave dos desenvolvedores do software (apesar de não ter o mesmo ID, possui o mesmo nome, email e data de criação). E, ao verificar a integridade do ficheiro utilizando uma assinatura digital e uma chave pública falsas, é evidente que o resultado irá ser positivo, apesar de se tratar de uma versão adulterada do software. Sempre que possível, deve, por isso, descarregar a chave pública dos desenvolvedores do software a partir do seu site oficial.

Como validar chave dos desenvolvedores do TrueCrypt

1º. Abra o GNU Privacy Assistant (GPA) e aceda ao “Keyring”.

2º. Clique em “Import”.

Verificar integridade downloads

3º. Seleccione a localização da chave pública dos desenvolvedores do TrueCrypt (ficheiro “TrueCrypt-key.asc”) e clique em “Open”.

Verificar integridade downloads

4º. Surgirá uma mensagem a informar que a chave pública foi importada. Clique em “Close”.

Verificar integridade downloads

5º. Clique com o botão direito do rato sobre a chave dos desenvolvedores do TrueCrypt e, de seguida, clique em “Sign Keys”.

Verificar integridade downloads

6º. Surgirá uma janela para confirmar que pretende assinar a chave. Clique em “Yes” para o fazer.

Verificar integridade downloads

7º. Ser-lhe-à pedido para inserir a sua palavra-passe. Faça-o e clique em “OK”.

Verificar integridade downloads

8º. A chave dos desenvolvedores do TrueCrypt encontra-se validada. Já poderá verificar se o executável do TrueCrypt que descarregou é original.

Verificar integridade downloads

Como verificar integridade do ficheiro TrueCrypt 7.1a.exe

1º. No GNU Privacy Assistant (GPA), clique em “Files”.

Verificar integridade downloads

2º. Clique em “Open”.

Verificar integridade downloads

3º. Seleccione a localização da assinatura digital do executável da versão 7.1a do TrueCrypt (ficheiro “TrueCrypt 7.1a.exe.sig”) e clique em “Open”.

Verificar integridade downloads

4º. Clique em “Verify”.

Verificar integridade downloads

5º. Se a assinatura digital for válida, surgirá a mensagem “Valid”, o que significa que se trata do ficheiro original. Se o ficheiro tiver sido adulterado, a assinatura será inválida, surgindo a mensagem “Bad”.

Verificar integridade downloads