Cómo verificar la autenticidad del software de Windows con firmas digitales

Cada vez que descarga un programa de Internet, debe confiar en que el desarrollador no es malicioso. No hay forma de evitar eso. Pero esto no es un problema, por lo general, especialmente con software y desarrolladores conocidos.

Sin embargo, los sitios web que alojan software son más vulnerables. Los atacantes pueden subvertir la seguridad de un sitio web y reemplazar programas con su propia versión maliciosa. Esto se ve y funciona exactamente como el original, excepto que tiene una puerta trasera insertada. Con esta puerta trasera, los atacantes pueden controlar varias partes de su informática diaria normal. Su computadora está insertada en una botnet o, peor aún, la utilidad espera hasta que use su tarjeta de crédito / débito y robe sus credenciales. Debe tener especial cuidado al descargar software importante, como un sistema operativo, billetera de criptomonedas o similar.

Las firmas digitales pueden salvar el día

Los escritores de software pueden firmar sus productos. A menos que un atacante pueda robar su clave privada, no hay forma conocida de que alguien pueda falsificar esta firma. Son numerosos los casos en los que miles de usuarios han descargado programas maliciosos, y en casi todos los casos, si hubieran comprobado las firmas digitales, se habrían dado cuenta de que no eran válidas, evitando así la situación. Es relativamente fácil reemplazar el software en un sitio web vulnerable, pero es increíblemente difícil robar una clave privada que está correctamente almacenada y aislada del acceso a Internet.

Puede leer mucho más sobre firmas digitales aquí. Este artículo trata lo mismo, excepto que utilizará las utilidades de Windows para validar las descargas.

Cómo utilizar Gpg4win para verificar firmas digitales

Vaya a esta página y descargar e instalar Gpg4win. Las personas inteligentes se preguntarán: “¿Pero cómo sé que esto es legítimo?” Y es una buena pregunta. Si esto se rompe, todos los pasos posteriores serían inútiles.

Afortunadamente, el desarrollador pasó por todos los problemas para conseguir que su software fuera firmado por una autoridad de certificación. Y detalla el pasos para verificar su programa en su sitio web. Aunque se utiliza una criptografía similar para verificar la validez, el método general es diferente. Para ello se utilizan certificados digitales.

Verificar sumas de comprobación de archivos

Digamos que quieres descarga la billetera Bitcoin Core. Descargue el ejecutable x64 de Windows (exe, no zip). Luego, haga clic en “Verificar firmas de liberación” para descargar el archivo “SHA256SUMS.asc”. El primer paso es verificar el hash del archivo de instalación. Puede leer más sobre hashes aquí.

Vaya a su carpeta de descargas, y con Gpg4win instalado, ahora puede hacer clic derecho en un archivo y aparecerá un nuevo menú contextual. Haga clic con el botón derecho en el archivo de configuración de Bitcoin (el exe que descargó) y seleccione “Más opciones de GpgEX -> Crear sumas de comprobación”, como en la imagen de abajo.

Comprobar firmas de software Sumas de comprobación con clic derecho

Abra “sha256sum.txt” que se ha generado y “SHA256SUMS.asc” que descargó. Compare las sumas de comprobación SHA256. Deberían ser una combinación perfecta.

Comprobar firmas de software Comparar sumas de comprobación Sha256

Verificar la firma del archivo que enumera las sumas de verificación

Si bien acaba de descargar un archivo de configuración y una lista de sumas de verificación del mismo sitio web, si un atacante reemplaza el archivo de configuración, también podría reemplazar fácilmente la lista de sumas de verificación. Sin embargo, lo que no puede hacer es falsificar una firma. Eso puede ser validado por una clave pública conocida (legítima). Primero, necesita descargar esta clave.

La siguiente imagen muestra cómo se ve una firma.

Comprobar firmas de software Ejemplo de firma en línea

Esta es una firma en línea (incluida en el mismo archivo que valida). A veces esto se separará, se incluirá en un archivo separado. Si cambia solo una letra en este archivo de texto, la firma deja de ser válida. Esta es una forma de saber que el desarrollador aprobó y firmó estos contenidos específicos y exactos con las sumas de verificación correctas.

Importar clave pública del desarrollador

Tiene las claves públicas disponibles para descargar en “Claves de firma de lanzamiento de Bitcoin Core” en la página de descarga de Bitcoin. Como medida de precaución, puede descargarlos de otra fuente. Si un atacante reemplazó las claves legítimas por las suyas, es probable que encontremos las claves correctas (y huellas digitales) en todos los demás lugares donde se han publicado o discutido.

Haga clic con el botón derecho en “SHA256SUMS.asc” y seleccione “Descifrar y verificar”. El programa le dirá que aún no tiene la clave pública. Haga clic en “Buscar”.

Comprobar firmas de software Buscar clave pública

La búsqueda puede tardar un poco. Anote la cadena en el campo “Buscar”.

Verifique las firmas del software Huella digital de la clave

Puede copiar esto y pegarlo en Google para ver si esta huella digital de clave pública ha sido discutida en hilos de foros / sitios web legítimos, etc. Cuantos más lugares la encuentre, más seguro estará de que pertenece al propietario previsto.

Haga clic en la clave y luego impórtela. Puede hacer clic en “No” en el mensaje que aparece a continuación (tome medidas para certificar la clave) si no sabe cómo hacerlo o no desea hacerlo ahora.

Finalmente, haga clic en “Mostrar registro de auditoría”.

Verificar firmas de software Mostrar registro de auditoría

Debería ver el texto que se ha resaltado en la siguiente imagen, “Buena firma”.

Compruebe las firmas del software Firma correcta

Intente cambiar solo una letra en “SHA256SUMS.asc” y obtendrá lo que se muestra en la siguiente imagen.

Compruebe las firmas del software Firma incorrecta

Conclusión

Pocos desarrolladores te dan la posibilidad de comprobar que su software proviene de ellos. Pero normalmente los programas que tratan con datos sensibles o son muy importantes te ofrecerán esta opción. Úselo y podría salvarlo de problemas algún día.

¿Es útil este artículo?

¡Compártelo en redes sociales!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *