12 Dez Como verificar integridade de downloads
Como referimos no nosso artigo sobre a segurança do TrueCrypt, a última versão funcional deste software (TrueCrypt v. 7.1a) já só se encontra disponível em sites de terceiros. No entanto, já foram identificados sites a distribuir versões adulteradas do software. Se pretende utilizar o TrueCrypt (ou qualquer outro software que descarregue a partir de sites de terceiros) é, por isso, importante que verifique se efectivamente descarregou a versão original do software. Para tal, pode utilizar o software Gpg4win. Se ainda não instalou o Gpg4win no seu computador, comece por consultar a primeira parte do nosso guia sobre como encriptar emails.
Para verificar a integridade do ficheiro de instalação de um software utilizando o Gpg4win, necessita da chave pública do desenvolvedor do software, do ficheiro cuja integridade pretende verificar e a assinatura digital que o desenvolvedor do software criou para esse ficheiro.
A criação e a validação da assinatura digital de um ficheiro é semelhante à criação e à validação da assinatura digital de uma mensagem. No que diz respeito ao TrueCrypt, os seus desenvolvedores criaram uma assinatura digital para o executável da versão 7.1a do software com a sua chave privada. Utilizando a chave pública dos desenvolvedores do TrueCrypt, que estes distribuíram junto com o seu software, podemos verificar a integridade desse mesmo executável.
Para ilustrar este artigo, iremos precisamente proceder à verificação da integridade do executável da versão 7.1a do TrueCrypt, disponibilizado pela equipa que organizou a primeira auditoria a este software. O executável pode ser descarregado aqui, e a assinatura digital do mesmo pode ser descarregada aqui. A chave pública dos desenvolvedores do TrueCrypt ainda está disponível no seu site oficial, podendo ser descarregada aqui. É importante que descarregue a chave pública dos desenvolvedores do software de um site diferente do site onde descarregar o próprio software e a assinatura digital, uma vez que, se um site estiver distribuir uma versão adulterada de um software, poderá também estar a distribuir uma assinatura digital e uma chave pública falsas. Isto porque, é possível assinar digitalmente o ficheiro adulterado com uma chave privada que, superficialmente, aparenta ser a verdadeira chave dos desenvolvedores do software (apesar de não ter o mesmo ID, possui o mesmo nome, email e data de criação). E, ao verificar a integridade do ficheiro utilizando uma assinatura digital e uma chave pública falsas, é evidente que o resultado irá ser positivo, apesar de se tratar de uma versão adulterada do software. Sempre que possível, deve, por isso, descarregar a chave pública dos desenvolvedores do software a partir do seu site oficial.
Como validar chave dos desenvolvedores do TrueCrypt
1º. Abra o GNU Privacy Assistant (GPA) e aceda ao “Keyring”.
2º. Clique em “Import”.
3º. Seleccione a localização da chave pública dos desenvolvedores do TrueCrypt (ficheiro “TrueCrypt-key.asc”) e clique em “Open”.
4º. Surgirá uma mensagem a informar que a chave pública foi importada. Clique em “Close”.
5º. Clique com o botão direito do rato sobre a chave dos desenvolvedores do TrueCrypt e, de seguida, clique em “Sign Keys”.
6º. Surgirá uma janela para confirmar que pretende assinar a chave. Clique em “Yes” para o fazer.
7º. Ser-lhe-à pedido para inserir a sua palavra-passe. Faça-o e clique em “OK”.
8º. A chave dos desenvolvedores do TrueCrypt encontra-se validada. Já poderá verificar se o executável do TrueCrypt que descarregou é original.
Como verificar integridade do ficheiro TrueCrypt 7.1a.exe
1º. No GNU Privacy Assistant (GPA), clique em “Files”.
2º. Clique em “Open”.
3º. Seleccione a localização da assinatura digital do executável da versão 7.1a do TrueCrypt (ficheiro “TrueCrypt 7.1a.exe.sig”) e clique em “Open”.
4º. Clique em “Verify”.
5º. Se a assinatura digital for válida, surgirá a mensagem “Valid”, o que significa que se trata do ficheiro original. Se o ficheiro tiver sido adulterado, a assinatura será inválida, surgindo a mensagem “Bad”.
