Para uma determinada versão de software publicada pela Mozilla, como posso verificar criptograficamente a autenticidade e integridade do arquivo que baixei antes de executá-lo para instalar esse programa?
Hoje eu queria baixar o firefox e o thunderbird para Windows, mas a página de download não dizia nada sobre como verificar o lançamento após o download.
Eu esperava ver uma mensagem me informando a impressão digital de sua chave de assinatura de lançamento, um link para documentação adicional e links para [a] um arquivo de manifesto (por exemplo SHA256SUMS, ) e [b] uma assinatura separada desse arquivo de manifesto (por exemplo SHA256SUMS.asc, SHA256SUMS.sig, , SHA256SUMS.gpg, etc)
Como posso realizar essa verificação com produtos mozilla, como firefox e thunderbird?
As versões do Windows são assinadas usando o Authenticode, portanto, a assinatura é incorporada ao executável e o sistema operacional a verifica automaticamente na inicialização em relação a uma lista mantida pela Microsoft de autoridades de certificação X.509. Os arquivos individuais extraídos em 'C:\Program Files' também são assinados por Authenticode quando possível.
Você pode exibir os detalhes da assinatura na janela "Propriedades" do arquivo ou usando
sigcheck(de Sysinternals ), ou usandoGet-AuthenticodeSignature(cmdlet do PowerShell), ou usandosigntool verify(parte do kit de desenvolvedor do Windows) ou usandoosslsigncode verify(disponível em muitas distribuições Linux).As versões do Linux (fonte e pré-compilado) são assinadas usando PGP, com uma assinatura separada disponível na mesma URL +
.ascsufixo. Eles estão em https://ftp.mozilla.org/pub/firefox/releases/ :(O artigo " Downloading the source code " da Mozilla aponta para https://archive.mozilla.org , mas esse é basicamente o mesmo servidor com o mesmo conteúdo.)
É claro que, para que o PGP seja útil , você precisa encontrar outra maneira de verificar a chave de assinatura em vez de apenas pegá-la no mesmo diretório. Parece que a Mozilla publica suas chaves de lançamento em seu blog .
Contanto que você esteja lidando com arquivos únicos, um manifesto "SUMS" separado é basicamente redundante - ele apenas adiciona várias etapas extras para verificação sem fazer nada para a segurança real. Você obtém exatamente o mesmo valor ao verificar uma assinatura feita diretamente no arquivo que deseja verificar.
No entanto, o servidor FTP da Mozilla inclui manifestos SHA256SUMS contendo todos os arquivos pertencentes à versão (incluindo Windows e macOS), juntamente com uma assinatura PGP.