La lezione Xubuntu: come scaricare Linux senza rischi con gpg e checksum

La comunità open source ha spesso dibattuto sull’efficacia dei checksum ovvero degli hash dei file, ad esempio delle immagini ISO delle principali distribuzioni Linux, come strumento di sicurezza. Un caso recente, ovvero la compromissione del sito ufficiale del progetto Xubuntu ha riacceso la discussione: criminali informatici hanno sostituito link torrent legittimi con pacchetti ZIP contenenti un eseguibile malevolo chiamato “Xubuntu – Safe Downloader”.

I checksum servono a verificare l’integrità dei dati, ossia a confermare che il file scaricato corrisponda a quello presente sul server. La verifica sull’hash dei file scaricati aiutano a rilevare errori di trasmissione, file corrotti o problemi durante il download ma non sostituisce l’uso di certificati, firme digitali o altre misure di autenticazione.

La differenza tra integrità e sicurezza

Niente impedisce a un aggressore che fosse riuscito a violare una piattaforma di hosting a sostituire le informazioni sui checksum esibite dagli sviluppatori del progetto software.

Ecco perché strumenti come le firme GPG/PGP sono necessari per garantire provenienza e autenticità: un file firmato con GPG può essere verificato solo se si possiede la chiave pubblica corretta.

La compromissione di alcuni server Xubuntu ha dimostrato chiaramente un punto fondamentale: i checksum non proteggono contro attacchi mirati sulla supply chain: un aggressore può modificare sia il file che il checksum pubblicato. Servono quindi misure più robuste:

• Firme digitali con chiavi verificate.
• Distribuzione dei file su canali multipli.
• Monitoraggio tramite strumenti di certificate transparency e repository sicuri.

Il fatto è che nel caso di Xubuntu, progetto derivato da Ubuntu che usa il desktop environment Xfce, leggero e veloce, sono comunque disponibili strumenti utili ad effettuare tutti i controlli sulla “genuinità” dei download.

Una guida per scaricare le distribuzioni Linux in totale sicurezza

Come abbiamo sottolineato in precedenza, i checksum (quindi il controllo dell’hash delle ISO Linux) rimangono uno strumento fondamentale per verificare l’integrità dei dati, ma non devono essere considerati una misura di sicurezza completa. La sicurezza digitale richiede un approccio stratificato: firme digitali, chiavi verificate, distribuzione sicura e consapevolezza dell’utente.

La risposta (con l’approccio giusto) è contenuta nel documento di supporto How to verify your Ubuntu download, sviluppato e aggiornato da Canonical.

Date un’occhiata al repository ufficiale delle immagini ISO di Ubuntu e delle sue varianti, incluse Xubuntu, Kubuntu, Lubuntu e così via. Qui si possono:

• Scaricare le ISO ufficiali di Ubuntu e delle derivate.
• Trovare versioni stabili, beta o di sviluppo.
• Accedere ai file di controllo e firma (SHA256SUMS, SHA256SUMS.gpg) per verificare l’integrità e l’autenticità delle ISO scaricate. Sono reperibili nelle sottocartelle release.

È la fonte ufficiale e sicura per ottenere qualsiasi immagine del sistema Ubuntu.

Nel caso di Xubuntu, sarebbe bastato scaricare i file SHA256SUMS e SHA256SUMS.gpg seguendo la guida di Canonical, salvarli in una stessa cartella insieme con il file ISO della distribuzione quindi lanciare i comandi seguenti:

gpg --keyid-format long --verify SHA256SUMS.gpg SHA256SUMS

sha256sum -c SHA256SUMS 2>&1 | grep OK

La prima istruzione accerta che il file dei checksum sia autentico; il secondo attesta che il file ISO è a sua volta originale estraendo le informazioni contenute nel file dei checksum. Ottenendo il nome del file ISO seguito dal messaggio OK, si è certi dell’autenticità del file contenente la distribuzione Linux.