Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 27/08/2016, à 14:04

Tuxnet192

Signature GPG non valide, faut t'il s'en inquité ?

Bonjour à tous,

Avant toute chose, je tien a signaler que je suis débutant avec cette technologie GPG (GNU Privacy Guard)
Je ne suis donc pas sur d'avoir effectuer la vérification de signature d'archive TOR correctement.

Reprenons la procédure, prenons pour exemple une archive TOR6.0.4_EN Téléchargé directement sur le site : https://www.torproject.org/download/dow … sy.html.en (les liens externes sont t'il autorisé ? si non désolé pour le dérangement et n'hesitez pas à suppr mon link)

la Clé (visible sur le lien SIG) au 27/08/2016 - 14h00 :

-----BEGIN PGP SIGNATURE-----
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=UH9B
-----END PGP SIGNATURE-----

Une fois l'archive téléchargé, je la laisse dans mon dossier et ne l'extrait pas avant d'avoir vérifié la clé : (ce qui suis est un extrait de l'article : https://doc.ubuntu-fr.org/tor)
1/

gpg --keyserver x-hkp://pool.sks-keyservers.net --recv-keys 0x4E2C6E8793298290

  [Premiere question, si j'ai bien compris on se co au serveur de clé; et on recupere la clé avec ID : 0x4E2C6E8793298290 , seulement voila, comment fait t'on pour reperer quel clé correspond a quel archive ?? ya t'il une reference quelques part ?]

2/

gpg --fingerprint 0x4E2C6E8793298290
retourne : pub   4096R/93298290 2014-12-15 [expire : 2020-08-24]
      Empreinte de la clef = EF6E 286D DA85 EA2A 4BA7  DE68 4E2C 6E87 9329 8290
uid                  Tor Browser Developers (signing key) <torbrowser@torproject.org>
sub   4096R/F65C2036 2014-12-15 [expire : 2017-08-25]
sub   4096R/D40814E0 2014-12-15 [expire : 2017-08-25]

[La clé est encodé en SHA4096 ? en tout cas jusqu'ici rien ne semble douteux]

Ensuite étape final : vérification de l'archive
3/

gpg --verify ~/Desktop/tor-browser-linux64-4.5_en-US.tar.xz{.asc*,}

Dans mon cas, je rentre gpg --verify ~/MONDOSSIERDL/tor-browser-linux64-6.0.4_en-US.tar.xz{.asc*,}
[Ceci vas donc recuperer la clé portant le nom tor-browser-linux64-6.0.4_en-US.tar.xz.asc (= le code PGP copié collé) Dans l'absolue, j'aurai pu renommé la clé : key.asc , cela aurai t'il fonctionné ? GPG aurait'il correctement associé key.asc avec mon archive tor-br-linuxetc.tar.xz ?]

Suite à cela le resultat de la commande m'affiche :

gpg: Signature faite le lun. 15 août 2016 15:19:50 CEST avec la clef RSA d'identifiant D145etc
gpg: Bonne signature de « Tor Browser Developers (signing key) <torbrowser@torproject.org> »
gpg: Attention : cette clef n'est pas certifiée avec une signature de confiance.
gpg:          Rien n'indique que la signature appartient à son propriétaire.
Empreinte de clef principale : EF6E etc
     Empreinte de la sous-clef : BA1E etc

Si j'en crois la commande la signature n'est pas fiable, que peut t'on en conclure ? Que l'archive est potentielement compromise ?  Que j'ai mal fait la manipulation  ? tongue
Pour ceux qui connaissent un peu mieux GPG, quel niveau de crédibilité peut'on accorder à ce protocole ? (en est ce un ?)

Merci par avance pour vos lecture/réponse

Bien cordialement,
Tux


PS : Est t'il possible de vérifié la clé manuellement ? (affichage de la signature de l'archive sur la console par exemple (je sais je suis un peu tatillon tongue))

Dernière modification par Tuxnet192 (Le 27/08/2016, à 14:09)

Hors ligne

#2 Le 27/08/2016, à 16:30

jplemoine

Re : Signature GPG non valide, faut t'il s'en inquité ?

Ça te dit juste que la signature est valide mais que les champs sont rentrés manuellement.
Donc que la signature est valide pour l'adresse <torbrowser@torproject.org> mais que rien ne te dit que c'est effectivement "Tor Browser Developers".


Membre de l'ALDIL (Association Lyonnaise pour le Développement de l'Informatique Libre)
- En pro, après 20 ans de développement, administrateur Linux / Unix depuis Avril 2019.
- En privé, sous Ubuntu-Xubuntu depuis 2009.

Hors ligne

#3 Le 07/09/2016, à 22:47

grandtoubab

Re : Signature GPG non valide, faut t'il s'en inquité ?

Notice that there is a warning because you haven't assigned a trust index to this person. This means that GnuPG verified that the key made that signature, but it's up to you to decide if that key really belongs to the developer. The best method is to meet the developer in person and exchange key fingerprints.
https://www.torproject.org/docs/verifyi … es.html.en

Va falloir te déplacer pour être certain que ça vient du bon developpeur lol lol


Linux tout seul sur HP Pavilion DV7 et Acer Aspire T650, Canon MG3650 en wifi
Debian 11 Bullseye Gnome/Xorg, Gnome/Wayland avec SDDM
https://bidouilledebian.wordpress.com/
ON M'A VU DANS LE VERCORS, SAUTER A L'ELASTIQUE..... J'AI DANS LES BOTTES DES MONTAGNES DE QUESTIONS....

Hors ligne