Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 02-01-2018 10:06:04

papy-tux
Membre
Distrib. : Debian Jessie
Noyau : Linux 4.9.0-0.bpo.1-amd64
(G)UI : xfwm4
Inscription : 22-05-2014

Vérification authenticité fichier avec GPG

Bonjour,

Sur un site internet, je voudrai récupérer un fichier et contrôler son authenticité grace à sa signature GPG

Le site internet : https://f-droid.org/packages/org.fdroid.fdroid/

Le fichier (c'est l'application FDroid https://f-droid.org/repo/org.fdroid.fdroid_1001000.apk

La signature GPG https://f-droid.org/repo/org.fdroid.fdr … 00.apk.asc

Je ne sais pas comment utiliser la signature pour faire cette vérification d'authenticité.

Merci pour votre aide

Hors ligne

#2 02-01-2018 10:54:06

MicP
Membre
Distrib. : debian stable
Noyau : Linux 3.16.0-4-amd64
(G)UI : Xfce
Inscription : 29-02-2016

Re : Vérification authenticité fichier avec GPG

Bonjour

gpg --verify org.fdroid.fdroid_1001000.apk.asc org.fdroid.fdroid_1001000.apk



gpg: Signature faite le lun. 04 déc. 2017 07:49:52 CET avec la clef RSA d'identifiant DD5DCE7A
gpg: Bonne signature de « F-Droid <admin@f-droid.org> »
gpg: Attention : cette clef n'est pas certifiée avec une signature de confiance.
gpg:             Rien n'indique que la signature appartient à son propriétaire.
Empreinte de clef principale : 37D2 C987 89D8 3119 4839  4E3E 41E7 044E 1DBA 2E89
   Empreinte de la sous-clef : 802A 9799 0161 1234 6E1F  EFF4 7A02 9E54 DD5D CE7A
 

Dernière modification par MicP (02-01-2018 10:54:34)

Hors ligne

#3 02-01-2018 12:53:38

papy-tux
Membre
Distrib. : Debian Jessie
Noyau : Linux 4.9.0-0.bpo.1-amd64
(G)UI : xfwm4
Inscription : 22-05-2014

Re : Vérification authenticité fichier avec GPG

Merci MicP pour ton aide

Finalement, est-ce que je peux faire confiance à ce fichier? Je ne comprends pas bien la remarque :

Attention : cette clef n'est pas certifiée avec une signature de confiance.
gpg:             Rien n'indique que la signature appartient à son propriétaire.



Edit à toto : Mis le code sous balise simple Autre code du forum puisqu'il n'y a pas de commande mais simplement un résultat.

Hors ligne

#4 02-01-2018 13:18:40

MicP
Membre
Distrib. : debian stable
Noyau : Linux 3.16.0-4-amd64
(G)UI : Xfce
Inscription : 29-02-2016

Re : Vérification authenticité fichier avec GPG

L'intégrité du fichier est vérifiée => le fichier corresponds bien à celui qui a été signé avec la clef RSA  dont l'identifiant est DD5DCE7A

Pour que la confiance puisse être établie entre celui qui a généré cette signature et la tienne,
il te faudrait rencontrer physiquement lors d'une signing key party celui qui a généré cette clef et que vous signiez vos clefs respectives

Voir aussi :

Le manuel de GNU Privacy Guard : Concepts

GPG - les concepts en clair et pédagogiquement

Dernière modification par MicP (02-01-2018 13:31:41)

Hors ligne

#5 02-01-2018 14:55:58

papy-tux
Membre
Distrib. : Debian Jessie
Noyau : Linux 4.9.0-0.bpo.1-amd64
(G)UI : xfwm4
Inscription : 22-05-2014

Re : Vérification authenticité fichier avec GPG

Je pense que je vais remettre à plus tard la rencontre physique!!

Sur la page https://f-droid.org/en/docs/Release_Cha … ning_Keys/, on retrouve

GPG signing key: “F-Droid <admin@f-droid.org>”
Primary key fingerprint: 37D2 C987 89D8 3119 4839 4E3E 41E7 044E 1DBA 2E89
Subkey fingerprint: 802A 9799 0161 1234 6E1F EFF4 7A02 9E54 DD5D CE7A

donc les valeurs fournies par gpg --verify

Empreinte de clef principale : 37D2 C987 89D8 3119 4839  4E3E 41E7 044E 1DBA 2E89
   Empreinte de la sous-clef : 802A 9799 0161 1234 6E1F  EFF4 7A02 9E54 DD5D CE7A

Est-ce que cela apporte un niveau de sécurité supplémentaire d'avoir cette information ou c'est redondant?

PS Merci pour les liens, je vais m'y plonger

Hors ligne

Pied de page des forums