Dopo aver scaricato un pacchetto di installazione dal sito web thunderbird.net o direttamente dall'archivio software di Mozilla, si può verificare che il download sia stato completato correttamente e, facoltativamente, che si tratti di un pacchetto autentico di Mozilla.
Per ogni versione si trova una cartella principale, che contiene delle sottodirectory per i singoli sistemi operativi e che contengono a loro volta i file del pacchetto di installazione. Nella cartella principale di una specifica versione si trova un file di testo chiamato SHA256SUMS.
Verificare se il pacchetto di installazione è stato scaricato correttamente e che si tratti di un pacchetto autentico di Mozilla
Per eseguire la verifica, procedere come segue:
- Scegliere il pacchetto di installazione, in base al proprio sistema operativo e alla propria lingua, e scaricarlo.
- Utilizzare uno strumento per calcolare l'hashsum (o, più correntemente, hash) SHA256 (che è una sorta di checksum) del file scaricato e tenerlo in evidenza per il confronto.
- Tornare al browser e visualizzare il file SHA256 della versione scaricata.
- Trovare la riga che contiene la lingua e il nome del file scaricato. Nella stessa riga è indicato l'hashsum previsto per il file. Assicurarsi che questo hashsum corrisponda a quello ottenuto dallo strumento utilizzato per calcolare l'hashsum SHA256.
Se si visualizza il file SHA256SUM utilizzando una versione recente di Thunderbird e si visualizza il file sul sito https://archive.mozilla.org/pub/thunderbird/releases/ e gli hashsum corrispondono, le probabilità che il download sia corretto e autentico sono molto alte.
Verificare se si tratta di un pacchetto autentico firmato digitalmente da Mozilla (facoltativo)
Se si desidera verificare che il file SHA256SUMS sia corretto (ad esempio perché è stato scaricato da un mirror), è possibile controllare che il file riporti la firma digitale del team Mozilla Software Release.
- Scaricare entrambi i file SHA256SUMS e SHA256SUMS.asc.
- Per verificare la firma, è possibile utilizzare il software GnuPG; inoltre, è necessario ottenere la chiave pubblica ufficiale e più recente di Mozilla, utilizzata per firmare questo file.
- Il software GnuPG è solitamente già incluso nelle distribuzioni Linux. Per gli altri sistemi operativi si dovrebbero trovare delle guide che descrivono come installare e utilizzare GPG4WIN per Windows o GPGTools per macOS.
- Utilizzare GnuPG o un software simile per importare la chiave pubblica di Mozilla, che di solito viene annunciata sul blog sulla sicurezza di Mozilla. Al momento della stesura di questo documento, la versione più recente è disponibile alla pagina GPG key for signing Firefox Releases del blog Mozilla Security.
- Con il seguente comando si imposta GnuPG per confrontare la firma nel file SHA256SUMS.asc con i dati nel file SHA256SUMS:
$ gpg --verify SHA256SUMS.asc
- Dal confronto si otterranno i risultati seguenti:
gpg: assuming signed data in 'SHA256SUMS'
gpg: Signature made Di 26 Sep 2023 20:49:02 CEST
gpg: using RSA key ADD7079479700DCADFDD5337E36D3B13F3D93274
gpg: Good signature from "Mozilla Software Releases <[email protected]>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 14F2 6682 D091 6CDD 81E3 7B6D 61B7 B526 D98F 0353
Subkey fingerprint: ADD7 0794 7970 0DCA DFDD 5337 E36D 3B13 F3D9 3274
Nell'esempio precedente, ci sono 8 righe di risultato (output).
Le righe 7 e 8 indicano la chiave utilizzata per creare la firma digitale. È possibile confrontare l'impronta digitale mostrata in queste righe con l'impronta digitale mostrata nel post del blog sulla sicurezza di Mozilla. Se corrispondono, la verifica del file SHA256SUMS è riuscita.