[Réso-lu] Qu'est-ce qu'un paquet signé ?

ubub · 07-07-2023 00:52:45

Bonjour,
aujourd'hui j'ai téléchargé un deb signé sous forme de :
xxxx_amd64_signed.deb
je me demandais ce que signifiait "signed" ?
j'ai déja lu ça dans des description de noyaux signés pour être utilisé avec SecureBoot si j'ai bien compris, mais là, celui-ci n'est pas sensé avoir à faire avec le noyau (pour son installation ?--fallait accepter les termes de la license de machin, cisco en l'occurence, non-free total) .
Donc, quelle est la signification de ce signed ?

Dernière modification par ubub (07-07-2023 23:37:09)

vv222 · 07-07-2023 11:26:45

Les noms des fichiers .deb sont totalement arbitraires, donc sans savoir précisément de quel paquet il s’agit ça va être compliqué de répondre.

ubub · 07-07-2023 11:48:30

eh oui ....

Packet_Tracer821_amd64_signed.deb

un simulateur de construction de réseau fait par Cisco ...
J'ao cherché dans la case Linux, ait vu Ubuntu avec .deb ; me suis dit c'est bon... j'ai vu amd64 me suis dit parfait...
Ai vu signed, me suis demandé pourquoi, pour faire sérieux ou cacher une anguille sous roche ...
je vais chercher la page de cisco ;
ça doit être par là : https://skillsforall.com/ ; j'ai une connexion à la noix, j'arrive pas à afficher la page, mais c'est vers là ...

Dernière modification par ubub (07-07-2023 11:58:27)

èfpé · 07-07-2023 16:28:42

ubub a écrit :

Donc, quelle est la signification de ce signed ?

En l'occurrence, il s'agit d'un paquet Debian signé OpenPGP (file-roller affiche un fichier _gpgorigin) :
→ https://blog.packagecloud.io/how-to-gpg … positories
Le fichier venant de la Networking Academy est nommé différemment, mais il s'agit du même fichier.

debsig-verify --verbose CiscoPacketTracer_821_Ubuntu_64bit.deb

debsig: Starting verification for: CiscoPacketTracer_821_Ubuntu_64bit.deb

debsig: Could not open Origin directory /etc/debsig/policies/A79F41DB296FE068: No such file or directory

La vérification n'est pas documentée ; et la clé publique A79F41DB296FE068 ne semble pas publiée.

edit: la signature (fichier binaire de 438 octets) a été générée par debsigs, dpkg-sig est hors sujet.

Dernière modification par èfpé (09-07-2023 11:28:42)

ubub · 07-07-2023 17:57:05

En l'occurrence, il s'agit d'un paquet Debian signé OpenPGP

C'est à dire ? ce paquet serait fait par Debian ? ou aurait juste une signature pour se faire adopter par le système ?
La marche à suivre pour ubuntu était apt install ledit_paquet_signed.deb
J'ai essayé et ma Debian a pas voulu, que nenni, connais pas, installe pas avec apt ...
peut-être que si la clé publique est introuvable, ça va pas aider.
Peut-être juste acceptée chez *buntu ..?
Sinon, d'où sortent ces commandes ? j'ai lu le man de debsig-verify , pas regardé dpkg -sig, et survolé le document opengpg sur les deb signatures,(merci).

bash: dpkg-sig : commande introuvable

sudo: dpkg-sig : commande introuvable

bash: debsig-verify : commande introuvable

Jean-Pierre Pinson · 07-07-2023 18:08:59

Guide de sécurité du Debian
Suivant
7.5. La signature de paquet dans Debian --> https://www.debian.org/doc/manuals/secu … gn.fr.html

Debian ne fournit pas de paquets signés, mais fournit un mécanisme disponible depuis Debian 4.0 Etch pour vérifier l'intégrité des paquets téléchargé

Dernière modification par Jean-Pierre Pinson (07-07-2023 18:15:55)

ubub · 07-07-2023 18:23:30

... je fais une m.à.j y'en a pour 3h (à peu près!) je suis bloqué pour installer dpkg-sig et debsig-verify ....
Mais, même sans ces outils, pourquoi ce retour? :

gpg --verify Packet_Tracer821_amd64_signed.deb

gpg: aucune donnée OpenPGP valable n'a été trouvée.

gpg: impossible de vérifier la signature.

Veuillez vérifier que le fichier de signature (.sig ou .asc)

est bien le premier fichier indiqué sur la ligne de commande.

?? je fais quoi de travers ? ça peut pas fonctionner avec un .deb ? faut que ce soit un .asc ou je ne sais ? comment on l'extrait alors ? (ce serait relou comme méthode...)

èfpé · 07-07-2023 18:46:42

ubub a écrit :

C'est-à-dire ? ce paquet serait fait par Debian ?

Non, ce paquet n'est pas un paquet fait par Debian, c'est un paquet fait pour Debian (et dérivées).
La signature OpenPGP permet de vérifier l'authenticité et l'intégrité de ce fichier, elle émane de Cisco.

ubub a écrit :

J'ai essayé et ma Debian a pas voulu,

C'est-à-dire ? J'ai simulé l'installation sur ma Debian 11 et n'ai vu aucun souci ; donc que retourne :

apt install ./Packet_Tracer821_amd64_signed.deb -s

Cette simulation (cf. option -s), doit être exécutée dans le répertoire contenant le paquet à installer.

ubub a écrit :

Sinon, d'où sortent ces commandes ?

Les commandes dpkg-sig (Debian 11) et debsig-verify sont fournies par les paquets du même nom.

ubub · 07-07-2023 19:11:31

voilà la commande que j'ai exécuté : (cf bash_history)

sudo apt install Packet_Tracer821_amd64_signed.deb

il manque le ./ au nom_du_deb ?.
j'attends la fin de la mise à jour (bientôt j'espère) pour reprendre la main et réessayer

ubub · 07-07-2023 19:32:31

~/Téléchargements$ sudo apt -s install ./Packet_Tracer821_amd64_signed.deb

Lecture des listes de paquets... Fait

Construction de l'arbre des dépendances... Fait

Lecture des informations d'état... Fait      

Note : sélection de « packettracer » au lieu de « ./Packet_Tracer821_amd64_signed.deb »

packettracer est déjà la version la plus récente (8.2.1).

effectivement, pas de grincements ..
Je me souviens plus le message exact ..
beh si, retest :

sudo apt -s install Packet_Tracer821_amd64_signed.deb

Lecture des listes de paquets... Fait

Construction de l'arbre des dépendances... Fait

Lecture des informations d'état... Fait      

E: Impossible de trouver le paquet Packet_Tracer821_amd64_signed.deb

ça me fera penser à bien renseigner le chemin la prochaine fois

èfpé · 07-07-2023 19:54:42

en #7, ubub a écrit :

Mais, même sans ces outils, pourquoi ce retour ?

Parce que si tu veux utiliser la commande gpg tu dois, au préalable, extraire les fichiers de l'archive :

ar -vx CiscoPacketTracer_821_Ubuntu_64bit.deb

x - debian-binary

x - control.tar.xz

x - data.tar.xz

x - _gpgorigin

gpg --verify _gpgorigin

Or l'approche 'gpg --verify' est envisageable pour une signature générée par dpkg-sig ; cf. HOWTO.
Et comme la clé publique n'est pas fournie par Cisco non plus cette signature ne sert à rien du tout.

en #9, ubub a écrit :

il manque le ./ au nom_du_deb ?

Oui : cela indique à la commande apt que le paquet à installer se trouve dans le répertoire de travail.
La commande dpkg n'en a pas besoin ; mais contrairement à apt, elle ne gère pas les dépendances.

Dernière modification par èfpé (09-07-2023 11:34:42)

ubub · 07-07-2023 20:05:17

La commande dpkg ne gère pas les dépendances.

n'empêche, elle m'a indiqué deux paquets à installer pour finaliser ...

ubub · 07-07-2023 20:08:40

Merci en tout cas pour toutes ces infos,
...moi qui voulai me replonger dans gpg .... perfect !

bendia · 07-07-2023 20:58:18

èfpé a écrit :

Et comme la clé publique n'est pas fournie par Cisco non plus cette signature ne sert à rien du tout.

Si, à mettre un gros doute sur la provenance du paquet

ubub · 07-07-2023 21:35:44

à mettre un gros doute sur la provenance du paquet

... pas que sur sa provenance ....
sur son action ...
après tout c'est un outil de cours, non libre j'imagine, fait par des pros du réseau ...
marche sans internet, mais a besoin d'aller voir cisco pour s'assurer que tu es bien inscrit, et après avoir déja signé moults licences et autorisations diverses, ça se lance ...
Y'a-t-il un moyen de rendre inopérant un paquet spécifique ?
Ça m'aurait plus plu une appimage ou snap ou flaptruc, flatpack ?;; qui serait resté dans son "conteneur" si j'ai compris, qu'un machin qui se greffe sur le système ... va falloir que je relance le test richard S. serait fier de toi ...
Je pense que le moyen le plus simple, ça va être l'éradication ...
J'ai joué avec, c'était bien et instructif, maintenant que j'ai l'archive, je peux virer je pense ... pas garder un truc comme ça qui me dépasse ...

dpkg-sig y'a pas pour bookworm, mais y'a pour SiD ?...

èfpé · 08-07-2023 10:54:42

ubub a écrit :

dpkg-sig y'a pas pour bookworm,

En fait dpkg-sig est déprécié/obsolète... et n'a de plus jamais été supporté 'officiellement' par dpkg.
Il apparaît aussi que la signature du paquet a été générée par debsigs, je corrige donc le post #11.

Debian-facile

#1 07-07-2023 00:52:45

[Réso-lu] Qu'est-ce qu'un paquet signé ?

#2 07-07-2023 11:26:45

Re : [Réso-lu] Qu'est-ce qu'un paquet signé ?

#3 07-07-2023 11:48:30

Re : [Réso-lu] Qu'est-ce qu'un paquet signé ?

#4 07-07-2023 16:28:42

Re : [Réso-lu] Qu'est-ce qu'un paquet signé ?

#5 07-07-2023 17:57:05

Re : [Réso-lu] Qu'est-ce qu'un paquet signé ?

#6 07-07-2023 18:08:59

Re : [Réso-lu] Qu'est-ce qu'un paquet signé ?

#7 07-07-2023 18:23:30

Re : [Réso-lu] Qu'est-ce qu'un paquet signé ?

#8 07-07-2023 18:46:42

Re : [Réso-lu] Qu'est-ce qu'un paquet signé ?

#9 07-07-2023 19:11:31

Re : [Réso-lu] Qu'est-ce qu'un paquet signé ?

#10 07-07-2023 19:32:31

Re : [Réso-lu] Qu'est-ce qu'un paquet signé ?

#11 07-07-2023 19:54:42

Re : [Réso-lu] Qu'est-ce qu'un paquet signé ?

#12 07-07-2023 20:05:17

Re : [Réso-lu] Qu'est-ce qu'un paquet signé ?

#13 07-07-2023 20:08:40

Re : [Réso-lu] Qu'est-ce qu'un paquet signé ?

#14 07-07-2023 20:58:18

Re : [Réso-lu] Qu'est-ce qu'un paquet signé ?

#15 07-07-2023 21:35:44

Re : [Réso-lu] Qu'est-ce qu'un paquet signé ?

#16 08-07-2023 10:54:42

Re : [Réso-lu] Qu'est-ce qu'un paquet signé ?

Pied de page des forums