logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 07-07-2023 00:52:45

ubub
Membre
Distrib. : Debian
(G)UI : xfce
Inscription : 14-05-2019

[Réso-lu] Qu'est-ce qu'un paquet signé ?

Bonjour,
aujourd'hui j'ai téléchargé un deb signé sous forme de :
xxxx_amd64_signed.deb
je me demandais ce que signifiait "signed" ?
j'ai déja lu ça dans des description de noyaux signés pour être utilisé avec SecureBoot si j'ai bien compris, mais là, celui-ci n'est pas sensé avoir à faire avec le noyau (pour son installation ?--fallait accepter les termes de la license de machin, cisco en l'occurence, non-free total) .
Donc, quelle est la signification de ce signed ?

Dernière modification par ubub (07-07-2023 23:37:09)

Hors ligne

#2 07-07-2023 11:26:45

vv222
Administrateur
Distrib. : Debian Sid
(G)UI : sway
Inscription : 18-11-2013
Site Web

Re : [Réso-lu] Qu'est-ce qu'un paquet signé ?

Les noms des fichiers .deb sont totalement arbitraires, donc sans savoir précisément de quel paquet il s’agit ça va être compliqué de répondre.

Jouer sous Debian ? Facile !

Ceterum censeo Barum esse delendam

En ligne

#3 07-07-2023 11:48:30

ubub
Membre
Distrib. : Debian
(G)UI : xfce
Inscription : 14-05-2019

Re : [Réso-lu] Qu'est-ce qu'un paquet signé ?

eh oui ....

Packet_Tracer821_amd64_signed.deb


un simulateur de construction de réseau fait par Cisco ...
J'ao cherché dans la case Linux, ait vu Ubuntu avec .deb ; me suis dit c'est bon... j'ai vu amd64 me suis dit parfait...
Ai vu signed, me suis demandé pourquoi, pour faire sérieux ou cacher une anguille sous roche ...
je vais chercher la page de cisco ;
ça doit être par là : https://skillsforall.com/ ; j'ai une connexion à la noix, j'arrive pas à afficher la page, mais c'est vers là ...

Dernière modification par ubub (07-07-2023 11:58:27)

Hors ligne

#4 07-07-2023 16:28:42

èfpé
Membre
Inscription : 10-07-2016

Re : [Réso-lu] Qu'est-ce qu'un paquet signé ?

ubub a écrit :

Donc, quelle est la signification de ce signed ?


En l'occurrence, il s'agit d'un paquet Debian signé OpenPGP (file-roller affiche un fichier _gpgorigin) :
https://blog.packagecloud.io/how-to-gpg … positories
Le fichier venant de la Networking Academy est nommé différemment, mais il s'agit du même fichier.

debsig-verify --verbose CiscoPacketTracer_821_Ubuntu_64bit.deb

debsig: Starting verification for: CiscoPacketTracer_821_Ubuntu_64bit.deb
debsig: Could not open Origin directory /etc/debsig/policies/A79F41DB296FE068: No such file or directory


La vérification n'est pas documentée ; et la clé publique A79F41DB296FE068 ne semble pas publiée.

edit: la signature (fichier binaire de 438 octets) a été générée par debsigs, dpkg-sig est hors sujet.

Dernière modification par èfpé (09-07-2023 11:28:42)

Hors ligne

#5 07-07-2023 17:57:05

ubub
Membre
Distrib. : Debian
(G)UI : xfce
Inscription : 14-05-2019

Re : [Réso-lu] Qu'est-ce qu'un paquet signé ?

En l'occurrence, il s'agit d'un paquet Debian signé OpenPGP


C'est à dire ? ce paquet serait fait par Debian ? ou aurait juste une signature pour se faire adopter par le système ?
La marche à suivre pour ubuntu était apt install ledit_paquet_signed.deb
J'ai essayé et ma Debian a pas voulu, que nenni, connais pas, installe pas avec apt ...
peut-être que si la clé publique est introuvable, ça va pas aider.
Peut-être juste acceptée chez *buntu ..?
Sinon, d'où sortent ces commandes ? j'ai lu le man de debsig-verify , pas regardé dpkg -sig, et survolé le document opengpg sur les deb signatures,(merci). yes.gif

bash: dpkg-sig : commande introuvable
sudo: dpkg-sig : commande introuvable
bash: debsig-verify : commande introuvable

Hors ligne

#6 07-07-2023 18:08:59

Jean-Pierre Pinson
Adhérent(e)
Lieu : Orléans
Distrib. : Debian Sid 64bits Ordi.: Thinkpad T400
Noyau : de cerise
(G)UI : xfce
Inscription : 04-03-2017

Re : [Réso-lu] Qu'est-ce qu'un paquet signé ?

Guide de sécurité du Debian
Suivant
7.5. La signature de paquet dans Debian --> https://www.debian.org/doc/manuals/secu … gn.fr.html

Debian ne fournit pas de paquets signés, mais fournit un mécanisme disponible depuis Debian 4.0 Etch pour vérifier l'intégrité des paquets téléchargé

Dernière modification par Jean-Pierre Pinson (07-07-2023 18:15:55)


Debian sid
Bureau : xfce
Ordinateur : Thinkpad T400 libreboot

Hors ligne

#7 07-07-2023 18:23:30

ubub
Membre
Distrib. : Debian
(G)UI : xfce
Inscription : 14-05-2019

Re : [Réso-lu] Qu'est-ce qu'un paquet signé ?

... je fais une m.à.j y'en a pour 3h (à peu près!) je suis bloqué pour installer dpkg-sig et debsig-verify ....
Mais, même sans ces outils, pourquoi ce retour? :

gpg --verify Packet_Tracer821_amd64_signed.deb



gpg: aucune donnée OpenPGP valable n'a été trouvée.
gpg: impossible de vérifier la signature.
Veuillez vérifier que le fichier de signature (.sig ou .asc)
est bien le premier fichier indiqué sur la ligne de commande.



?? je fais quoi de travers ? ça peut pas fonctionner avec un .deb ? faut que ce soit un .asc ou je ne sais ? comment on l'extrait alors ? (ce serait relou comme méthode...)

Hors ligne

#8 07-07-2023 18:46:42

èfpé
Membre
Inscription : 10-07-2016

Re : [Réso-lu] Qu'est-ce qu'un paquet signé ?

ubub a écrit :

C'est-à-dire ? ce paquet serait fait par Debian ?


Non, ce paquet n'est pas un paquet fait par Debian, c'est un paquet fait pour Debian (et dérivées).
La signature OpenPGP permet de vérifier l'authenticité et l'intégrité de ce fichier, elle émane de Cisco.

ubub a écrit :

J'ai essayé et ma Debian a pas voulu,


C'est-à-dire ? J'ai simulé l'installation sur ma Debian 11 et n'ai vu aucun souci ; donc que retourne :

apt install ./Packet_Tracer821_amd64_signed.deb -s


Cette simulation (cf. option -s), doit être exécutée dans le répertoire contenant le paquet à installer.

ubub a écrit :

Sinon, d'où sortent ces commandes ?


Les commandes dpkg-sig (Debian 11) et debsig-verify sont fournies par les paquets du même nom.

Hors ligne

#9 07-07-2023 19:11:31

ubub
Membre
Distrib. : Debian
(G)UI : xfce
Inscription : 14-05-2019

Re : [Réso-lu] Qu'est-ce qu'un paquet signé ?

voilà la commande que j'ai exécuté : (cf bash_history)

sudo apt install Packet_Tracer821_amd64_signed.deb


il manque le ./ au nom_du_deb ?.
j'attends la fin de la mise à jour (bientôt j'espère) pour reprendre la main et réessayer

Hors ligne

#10 07-07-2023 19:32:31

ubub
Membre
Distrib. : Debian
(G)UI : xfce
Inscription : 14-05-2019

Re : [Réso-lu] Qu'est-ce qu'un paquet signé ?

~/Téléchargements$ sudo apt -s install ./Packet_Tracer821_amd64_signed.deb


Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances... Fait
Lecture des informations d'état... Fait      
Note : sélection de « packettracer » au lieu de « ./Packet_Tracer821_amd64_signed.deb »
packettracer est déjà la version la plus récente (8.2.1).


effectivement, pas de grincements  ..
Je me souviens plus le message exact ..
beh si, retest :

sudo apt -s install Packet_Tracer821_amd64_signed.deb


Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances... Fait
Lecture des informations d'état... Fait      
E: Impossible de trouver le paquet Packet_Tracer821_amd64_signed.deb
 


ça me fera penser à bien renseigner le chemin la prochaine fois smile

Hors ligne

#11 07-07-2023 19:54:42

èfpé
Membre
Inscription : 10-07-2016

Re : [Réso-lu] Qu'est-ce qu'un paquet signé ?

en #7, ubub a écrit :

Mais, même sans ces outils, pourquoi ce retour ?


Parce que si tu veux utiliser la commande gpg tu dois, au préalable, extraire les fichiers de l'archive :

ar -vx CiscoPacketTracer_821_Ubuntu_64bit.deb

x - debian-binary
x - control.tar.xz
x - data.tar.xz
x - _gpgorigin


gpg --verify _gpgorigin


Or l'approche 'gpg --verify' est envisageable pour une signature générée par dpkg-sig ; cf. HOWTO.
Et comme la clé publique n'est pas fournie par Cisco non plus cette signature ne sert à rien du tout.

en #9, ubub a écrit :

il manque le ./ au nom_du_deb ?


Oui : cela indique à la commande apt que le paquet à installer se trouve dans le répertoire de travail.
La commande dpkg n'en a pas besoin ; mais contrairement à apt, elle ne gère pas les dépendances.

Dernière modification par èfpé (09-07-2023 11:34:42)

Hors ligne

#12 07-07-2023 20:05:17

ubub
Membre
Distrib. : Debian
(G)UI : xfce
Inscription : 14-05-2019

Re : [Réso-lu] Qu'est-ce qu'un paquet signé ?

La commande dpkg ne gère pas les dépendances.


n'empêche, elle m'a indiqué deux paquets à installer pour finaliser ...

Hors ligne

#13 07-07-2023 20:08:40

ubub
Membre
Distrib. : Debian
(G)UI : xfce
Inscription : 14-05-2019

Re : [Réso-lu] Qu'est-ce qu'un paquet signé ?

Merci en tout cas pour toutes ces infos,
...moi qui voulai me replonger dans gpg .... perfect  !
merci.gif

Hors ligne

#14 07-07-2023 20:58:18

bendia
Chadministrateur
Distrib. : openSUSE Tumbleweed, Buster
Noyau : Linux 5.9.1-2-default + Linux 4.19.0-12-amd64
(G)UI : Gnome + Console et un peu Fluxbox
Inscription : 20-03-2012
Site Web

Re : [Réso-lu] Qu'est-ce qu'un paquet signé ?

èfpé a écrit :

Et comme la clé publique n'est pas fournie par Cisco non plus cette signature ne sert à rien du tout.

Si, à mettre un gros doute sur la provenance du paquet hmm


Ben
___________________
La seule question bête, c'est celle qu'on ne pose pas.

Hors ligne

#15 07-07-2023 21:35:44

ubub
Membre
Distrib. : Debian
(G)UI : xfce
Inscription : 14-05-2019

Re : [Réso-lu] Qu'est-ce qu'un paquet signé ?

à mettre un gros doute sur la provenance du paquet


... pas que sur sa provenance ....
sur son action ...
après tout c'est un outil de cours, non libre j'imagine, fait par des pros du réseau ...
marche sans internet, mais a besoin d'aller voir cisco pour s'assurer que tu es bien inscrit, et après avoir déja signé moults licences et autorisations diverses, ça se lance ...
Y'a-t-il un moyen de rendre inopérant un paquet spécifique ?
Ça m'aurait plus plu une appimage ou snap ou flaptruc, flatpack ?;; qui serait resté dans son "conteneur" si j'ai compris, qu'un machin qui se greffe sur le système ... va falloir que je relance le test richard S. serait fier de toi ...
Je pense que le moyen le plus simple, ça va être l'éradication ...
J'ai joué avec, c'était bien et instructif, maintenant que j'ai l'archive, je peux virer je pense ... pas garder un truc comme ça qui me dépasse ...


dpkg-sig y'a pas pour bookworm, mais y'a pour SiD ?...

Hors ligne

#16 08-07-2023 10:54:42

èfpé
Membre
Inscription : 10-07-2016

Re : [Réso-lu] Qu'est-ce qu'un paquet signé ?

ubub a écrit :

dpkg-sig y'a pas pour bookworm,


En fait dpkg-sig est déprécié/obsolète... et n'a de plus jamais été supporté 'officiellement' par dpkg.
Il apparaît aussi que la signature du paquet a été générée par debsigs, je corrige donc le post #11.

Hors ligne

Pied de page des forums