Topic: <P> Come verificare un pacchetto di installazione di Mozilla Thunderbird

[michro]

Originale en-US
https://support.mozilla.org/en-US/kb/verifying-thunderbird-software-package

Traduzione
https://support.mozilla.org/it/kb/verificare-pacchetto-installazione-thunderbird

[michro]

Link originale en-US https://support.mozilla.org/en-US/kb/verifying-thunderbird-software-package
Qui di seguito il testo completo dell'articolo (in grassetto le parti di link da tradurre, il resto lasciare inalterato), ho messo la versione leggermente modificata (correzioni di formattazione e sintassi) che non è ancora stata approvata ma che lo sarà sicuramente in quanto tutte le modifiche apportate sono corrette.
@Miki, per la traduzione segui il testo sottostante

After [https://www.thunderbird.net/download/?downloaded=True&download_channel=esr downloading an installation package] from the thunderbird.net website or directly from the [https://archive.mozilla.org/pub/thunderbird/releases/ software archive], you may verify that the download has completed correctly, and optionally that it is an authentic package from Mozilla.

For each release, a root folder can be found, which contains subdirectories for individual operating systems, which contain installation package files. In the root folder of a specific release, you can find a text file named ''SHA256SUMS''.

To perform the verification follow these steps:
* Choose your installation package, based on your operating system and your language, and download it.
* Use a tool to calculate the ''SHA256'' hashsum (which is a kind of checksum) for the file you have downloaded, and keep it on your screen for comparison.
* Go back to your browser and view the file ''SHA256'' for the release you have downloaded.
* Find the line that contains the language and name of the file that you have downloaded. In the same line, the expected hashsum for the file is shown. Ensure this hashsum matches the output you got from the tool used to calculate the ''SHA256'' hashsum.
If you view the file ''SHA256SUM'' using a recent version of Firefox, and you view the file on the https://archive.mozilla.org site, and the hashsums match, chances are very high that your download is correct and authentic.

If you would also like to check that you view the correct ''SHA256SUMS'' file (for example, because you have downloaded these files from a mirror) you may check that the file carries the digital signature of the Mozilla Software Release team.

Download both files ''SHA256SUMS'' and ''SHA256SUMS.asc''.

To check the signature, you may use the GnuPG software, and in addition, you must obtain Mozilla's most recent and official public key that is used for signing this file.

The GnuPG software is usually already included on Linux distributions. For other operating systems you should be able to find HOWTO documents that describe how to install and use GPG4WIN for Windows or GPGTools for macOS.

Use GnuPG or similar software to import Mozilla's public key, which is usually announced on Mozilla's security blog. At the time of writing this document, the most recent version can be found here:
https://blog.mozilla.org/security/2023/05/11/updated-gpg-key-for-signing-firefox-releases/

Now tell GnuPG to check the signature in the ''SHA256SUMS.asc'' file against the data in the ''SHA256SUMS'' file with the following command:

<code>$ gpg --verify SHA256SUMS.asc'''</code>

'''gpg: assuming signed data in 'SHA256SUMS''''

'''gpg: Signature made Di 26 Sep 2023 20:49:02 CEST'''

'''gpg: using RSA key ADD7079479700DCADFDD5337E36D3B13F3D93274'''

'''gpg: Good signature from "Mozilla Software Releases <release@mozilla.com>" [unknown]'''

'''gpg: WARNING: This key is not certified with a trusted signature!'''

'''gpg: There is no indication that the signature belongs to the owner.'''

'''Primary key fingerprint: 14F2 6682 D091 6CDD 81E3 7B6D 61B7 B526 D98F 0353
'''Subkey fingerprint: ADD7 0794 7970 0DCA DFDD 5337 E36D 3B13 F3D9 3274'''

In the above example, there are 8 lines of output.

Lines 7 and 8 tell you which key was used to create the digital signature. You may compare the fingerprint(s) shown on those lines with the fingerprint shown on the Mozilla security blog post. If they match, you have successfully verified the ''SHA256SUMS'' file.

[miki64]

Dopo aver [https://www.thunderbird.net/download/?downloaded=True&download_channel=esr scaricato un pacchetto di installazione] dal sito web thunderbird.net o direttamente dall'[archivio software https://archive.mozilla.org/pub/thunderbird/releases/], si può verificare che il download sia stato completato correttamente e, facoltativamente, che si tratti di un pacchetto autentico di Mozilla.

Per ogni versione si trova una cartella principale, che contiene delle sottodirectory per i singoli sistemi operativi e che contengono a loro volta i file del pacchetto di installazione. Nella cartella principale di una specifica versione si trova un file di testo chiamato ''SHA256SUMS''.

Per eseguire la verifica, procedere come segue:
* Scegliere il pacchetto di installazione, in base al proprio sistema operativo e alla propria lingua, e scaricarlo.
* Utilizzare uno strumento per calcolare l'hashsum (o, più correntemente, hash) ''SHA256'' (che è una sorta di checksum) del file scaricato e tenerlo in evidenza per il confronto.
* Tornare al browser e visualizzare il file ''SHA256'' della versione scaricata.
* Trovare la riga che contiene la lingua e il nome del file scaricato. Nella stessa riga è indicato l'hashsum previsto per il file. Assicurarsi che questo hashsum corrisponda a quello ottenuto dallo strumento utilizzato per calcolare l'hashsum ''SHA256''.
Se si visualizza il file ''SHA256SUM'' utilizzando una versione recente di Firefox e si visualizza il file sul sito https://archive.mozilla.org e gli hashsum corrispondono, le probabilità che il download sia corretto e autentico sono molto alte.
Se si desidera verificare che il file ''SHA256SUMS'' sia corretto (ad esempio perché è stato scaricato da un mirror), è possibile controllare che il file riporti la firma digitale del team Mozilla Software Release.

Scaricare entrambi i file ''SHA256SUMS'' e ''SHA256SUMS.asc''.

Per verificare la firma, è possibile utilizzare il software GnuPG; inoltre, è necessario ottenere la chiave pubblica ufficiale e più recente di Mozilla, utilizzata per firmare questo file.

Il software GnuPG è solitamente già incluso nelle distribuzioni Linux. Per altri sistemi operativi si dovrebbero trovare delle guide che descrivono come installare e utilizzare GPG4WIN per Windows o GPGTools per macOS.

Utilizzare GnuPG o un software simile per importare la chiave pubblica di Mozilla, che di solito viene annunciata sul blog sulla sicurezza di Mozilla. Al momento della stesura di questo documento, la versione più recente è disponibile qui:
https://blog.mozilla.org/security/2023/05/11/updated-gpg-key-for-signing-firefox-releases/

Con il seguente comando si imposta GnuPG per controllare la firma nel file ''SHA256SUMS.asc'' con i dati nel file ''SHA256SUMS''

<code>$ gpg --verify SHA256SUMS.asc'''</code>

'''gpg: assuming signed data in 'SHA256SUMS''''

'''gpg: Signature made Di 26 Sep 2023 20:49:02 CEST'''

'''gpg: using RSA key ADD7079479700DCADFDD5337E36D3B13F3D93274'''

'''gpg: Good signature from "Mozilla Software Releases <release@mozilla.com>" [unknown]'''

'''gpg: WARNING: This key is not certified with a trusted signature!'''

'''gpg: There is no indication that the signature belongs to the owner.'''

'''Primary key fingerprint: 14F2 6682 D091 6CDD 81E3 7B6D 61B7 B526 D98F 0353
'''Subkey fingerprint: ADD7 0794 7970 0DCA DFDD 5337 E36D 3B13 F3D9 3274'''

Nell'esempio precedente, ci sono 8 righe di risultato (output).

Le righe 7 e 8 indicano la chiave utilizzata per creare la firma digitale. È possibile confrontare l'impronta digitale mostrata in queste righe con l'impronta digitale mostrata nel post del blog sulla sicurezza di Mozilla. Se corrispondono, la verifica del file ''SHA256SUMS'' è riuscita.

[michro]

Grazie mille Miki!
Ho messo online la tua traduzione https://support.mozilla.org/it/kb/verificare-pacchetto-installazione-thunderbird e ti ho aggiunto ai collaboratori

Mi sono permesso di fare alcune modifiche di formattazione inserendo i due titoli paragrafi (che in originale non ci sono), creando un elenco numerato dei passaggi, formattando in modo leggermente diverso le righe dei risultati del confronto nella parte finale dell'articolo (ad esempio, non utilizzando il grassetto ma i tag "<code>"). Spero che vadano bene, in caso contrario ditemi la vostra opinione.

Nell'ultimo passaggio dell'articolo hai utilizzato "impronta digitale" al posto di "fingerprint". Che sia il caso di utilizzare "fingerprint" visto che compare nelle righe 7 e 8 della verifica GnuPG e nelle impostazioni ad esempio di Firefox compare come "fingerprint" (non tradotto)?

Resto in attesa di QA tuo e anche di @Iceberg se passa da queste parti

[Iceberg]

Per me va bene.
Forse, in questo passo:

Se si visualizza il file SHA256SUM utilizzando una versione recente di Firefox e si visualizza il file sul sito https://archive.mozilla.org

Considerato che si parla di Firefox, inserire un più diretto link alla pagina Firefox?

Codice: [Seleziona]

https://archive.mozilla.org/pub/firefox/
o
https://archive.mozilla.org/pub/firefox/releases/
Un attimo.
L'articolo è per Thunderbird, a essere impreciso è questo passo dove si parla di Firefox.

Se si visualizza il file SHA256SUM utilizzando una versione recente di Firefox e si visualizza il file sul sito https://archive.mozilla.org e gli hashsum corrispondono

Difatti all'inizio il link "archivio software" manda qui:
https://archive.mozilla.org/pub/thunderbird/releases/
Pertanto potrebbe essere preferibile?

Se si visualizza il file SHA256SUM utilizzando una versione recente di Thunderbird e si visualizza il file sul sito https://archive.mozilla.org/pub/thunderbird/releases e gli hashsum corrispondono

[michro]

Secondo me sì.

Se si visualizza il file SHA256SUM utilizzando una versione recente di Thunderbird e si visualizza il file sul sito https://archive.mozilla.org/pub/thunderbird/releases/ e gli hashsum corrispondono, ecc.

Non ho capito fin dalla prima lettura perché, essendo un articolo per Thunderbird, mettessero riferimenti a Firefox…

Nell'introduzione il link "archivio software" ovvero https://archive.mozilla.org/pub/thunderbird/releases/ indirizza alla pagina delle versioni di Thunderbird, ma qual è il link corretto per Thunderbird rispetto a quel https://archive.mozilla.org ?

https://archive.mozilla.org reindirizza alla pagina "Index of" dove c'è il link "Dir pub" che indirizza a tutte le directory di tutti i programmi e scendendo verso il basso c'è la directory "Dir thunderbird/" che porta a https://archive.mozilla.org/pub/thunderbird/ e lì? Presumo la directory sia "Dir releases" che non è altro che https://archive.mozilla.org/pub/thunderbird/releases/ Quindi?

[Iceberg]

Quindi ripeterei il link iniziale, quello specifico per le versioni di Thunderbird.
https://archive.mozilla.org/pub/thunderbird/releases/

Sbaglio o non esiste il gemello: Come verificare un pacchetto di installazione di Mozilla Firefox?
Forse avrebbero dovuto farne uno generico: Come verificare un pacchetto di installazione dei prodotti Mozilla. E in questo caso il link generico ci stava; ma visto che si parla di Thunderbird che Thunderbird sia.

[michro]

Ok, fatto

In effetti potevano fare un articolo generico ma evidentemente gli en-US che scrivono gli articoli per tutti gli altri prodotti Mozilla la pensano diversamente da quelli Thunderbird

[Iceberg]

Bene, ma qui ancora si legge Firefox.

Se si visualizza il file SHA256SUM utilizzando una versione recente di Firefox e si visualizza il file sul sito https://archive.mozilla.org/pub/thunderbird/releases/ e gli hashsum

[michro]

Ach! Mi era sfuggito… Sostituito con Thunderbird. Grazie

[miki64]

Eccomi rientrato... OK, tutto bene quello che avete fatto, Iceberg ha anticipato i miei dubbi su Firefox/Thunderbird. 

In effetti, potevano fare un articolo generico ma pare che la mano destra non sappia che cosa fa la mano sinistra...