La firma digitale allegata al programma non è necessaria per il suo funzionamento, ma per il controllo dell'autenticità del programma.
Il controllo dell'autenticità del programma dovrebbe essere effettuato su ogni programma, prima di eseguirlo sul proprio computer.
È infatti sempre possibile che qualche nodo internet fra questo server e il vostro computer inietti all'interno del programma un virus, così come non si può escludere che un hacker sia riuscito a entrare sul server dal quale lo scaricate per iniettare un virus nel programma. Il controllo della firma digitale esclude queste possibilità.

Il controllo di autenticità semi-automatico usato da Windows™ è Authenticode™, mentre io utilizzo PGP, il che implica utilizzare programmi di terze parti per la verifica dell'autenticità.

A prescindere dal programma utilizzato i passi da seguire sono sempre gli stessi:

A titolo di esempio spiego, passo passo, come eseguire la verifica con gpg4win, una versione grafica di GPG, per Windows, che a sua volta è una versione free di PGP.
  1. Scaricare gpg4win qui.
  2. Verificare la firma digitale di gpg4win:
    • Nelle versioni più vecchie di Windows™ cliccare col tasto destro sul file e scegliere Proprietà->Firme digitali->Dettagli e procedere solo se l'autore certificato del file è "Intevation GmbH".
    • Nelle versioni più moderne di Windows™ è sufficiente fare doppio click per aprire il file e la verifica del file avverrà automaticamente: proseguire solo se l'autore certificato del file è "Intevation GmbH".
  3. Eseguire l'installatore e installare gpg4win accettando tutte le opzioni predefinite.
  4. Scaricare la firma e caricarla in gpg4win cliccandoci sopra con il tasto destro->More GpgEX options->Import keys
  5. Questa parte non è strettamente necessaria, se gpg4win contiene solo la mia chiave o solo chiavi di cui si abbia fiducia, ma evita che ci sia un avviso "giallo" nella fase successiva di verifica del file.
    Ora è necessario dare fiducia alla chiave appena scaricata. Potremo fidarci del semplice fatto che sia stata scaricata tramite https da keyserver.pgp.com, oppure verificare accuratamente, tramite me o un intermediario, la fingerprint della chiave pubblica, che dovrebbe essere (sempre che non abbiano hackerato il mio sito):
    5ED8C4660A5C63A9DBD398E750FE8963A345E5F3 (notare che le ultime cifre corrispondono al KeyID della chiave).
    • Aprire gpg4win->Kleopatra (l'interfaccia grafica di gpg4win) dal menù avvio.
    • File->New certificate->Create a personal PGP key pair
    • Finire la procedura seguendo le istruzioni a schermo (la chiave creata potrà eventualmente essere usata anche per altri scopi, noi la useremo solo per firmare la mia chiave).
    • Andare su Other certificates->Certify certificate e seguire le istruzioni a video, affermando di aver verificato la fingerprint (se siamo assolutamente certi dell'autenticità del file della chiave pubblica, ciò è implicito).
    • Uscire da Kleopatra.
  6. Cliccare sul file della firma, ".sig" col tasto destro, e premere More GpgEX options->Verify
  7. Se non si è effettuata l'operazione al punto 5, il risultato sarà un avviso in giallo (perché il programma non è sicuro che siamo sicuri della chiave pubblica scaricata, che però verrà visualizzata). Altrimenti, il risultato sarà un avviso in verde che dice che tutte le verifiche sono andate a buon fine. Non procedere se il risultato è diverso da quello aspettato, per esempio un avviso in rosso di firma digitale non valida (non corrispondente al file).
  8. Soffermarsi un attimo ad ammirare il risultato ottenuto.
Completata la procedura, siamo certi che il file scaricato è autentico. Molti altri siti utilizzano questa tecnica, quindi imparare ad usarla non è uno spreco di tempo.