Contenu | Rechercher | Menus

Annonce

Ubuntu 16.04 LTS
Commandez vos DVD et clés USB Ubuntu-fr !

Pour en savoir un peu plus sur l'équipe du forum.

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

#1 Le 16/04/2017, à 16:45

Petit Lynx

Comment vérifier la signature d'un fichier (hors d'un mail) avec Gnupg

Bonjour,

Voici ce qui est dis dans le Wiki Ubuntu:

L'application GnuPG sert à chiffrer des données : vous pouvez vous en servir pour communiquer en toute sécurité (courriel, messagerie instantanée, etc.) et pour chiffrer vos fichiers (qui pourront d'ailleurs être également déchiffrés sous d'autres systèmes d'exploitation comme Windows).

La question est comment je fait pour vérifier la signature d'un fichier qui n'arrive pas par mail?

exemple concret:
je suis intéressé par "LibreOffice Viewer" pour Android, qu'on peut télécharger, sans "google truc" (avec l’ordinateur, Ubuntu étant, je suppose, plus sur qu'Android), sur le site officiel (je suppose) de LibreOffice https://www.libreoffice.org/download/android-viewer/ qui renvois vers celle-ci:
http://downloadarchive.documentfoundati … wer-v8_v9/
Le site ne dispose pas d'une "authentification", mais il indique les résultats de hachage et un clef PGP... Ok!

Les résultats de hachage me permettent de vérifier si le fichier n'a pas été abîmé durant le téléchargement, mais ne garantissent pas son origine, puisque le site n'a pas "d’authentification" (comme Mozilla). Donc si j'ai bien compris, pour être certain que le fichier vienne bien de "LibreOffice" et pas d'un pirate X ou Y, je dois vérifier que ce fichier soit bien signé avec cette clef.
Mais on fait comment?


Ubuntu 16.04 64 bits
Le "Hardware", c'est la partie qui prends les coups quand le "Software" plante...

Hors ligne

#2 Le 16/04/2017, à 17:50

cinaptix

Re : Comment vérifier la signature d'un fichier (hors d'un mail) avec Gnupg

Bonjour,

En règle générale, la vérification de la signature d'un fichier signé suppose qu'on dispose de la clé publique correspondant à la clé privée qui a permis le chiffrement du hash dudit fichier.
Sous GNU/Linux, la vérification s'effectue automatiquement lorsqu'on installe à partir d'un PPA et qu'on a la clé.
Pour Android je pense que c'est pareil si on installe un programme par la procédure habituelle (sous réserve).

Voilà ce qu'on obtient avec les données dont on dispose en l'occurence :

$ gpg --verify LibreOfficeViewer-release-signed_v8_arm.apk.asc
gpg: les données signées sont supposées être dans « LibreOfficeViewer-release-signed_v8_arm.apk »
gpg: Signature faite le ven. 25 nov. 2016 16:01:37 CET avec la clef RSA d'identifiant AFEEAEA3
gpg: Impossible de vérifier la signature : clef publique introuvable

La clé publique indiquée correspond à ça :

Search results for '0xafeeaea3'

Type bits/keyID     Date       User ID

pub  4096R/AFEEAEA3 2010-10-11 LibreOffice Build Team (CODE SIGNING KEY) <build@documentfoundation.org>

Dernière modification par cinaptix (Le 16/04/2017, à 18:10)


« Software is like sex, it's better when it's free. »  Linus Torvalds
Xubuntu 16.04 (64 bits) - CM Gigabyte GA-B85M-D3H - Pentium G3420 à 3,2 Ghz - RAM 8 Go à 1600 Mhz
CG nVidia GT 610 - SSD 64 Go (pour le système) + HDD 500 Go (pour les données).

Hors ligne

#3 Le 16/04/2017, à 20:43

Petit Lynx

Re : Comment vérifier la signature d'un fichier (hors d'un mail) avec Gnupg

Cinaptix a écrit :

Pour Android je pense que c'est pareil si on installe un programme par la procédure habituelle (sous réserve).

Je pense à peu prêt la même chose, mais je suppose que la procédure "habituelle" c'est d’utiliser Google Store.
Comme je fais à une installation manuelle pour installer du logiciel libre et que j'ai désactivé google store et Google service, pour éviter d'avoir un moteur de recherche de pillage de vie privée dans mon téléphone, je suppose que les vérifications, c'est à moi de les faire avant de lancer l'installation.

Si j'ai bien compris, là tu as vérifié la signature en elle-même, mais pas le que le fichier soit signé, c'est bien ça?


Ubuntu 16.04 64 bits
Le "Hardware", c'est la partie qui prends les coups quand le "Software" plante...

Hors ligne

#4 Le 17/04/2017, à 09:20

cinaptix

Re : Comment vérifier la signature d'un fichier (hors d'un mail) avec Gnupg

Toutafé !
Et si on creuse un peu, on voit que cette clé est simplement auto-signée et aucunement authentifiée par un tiers de confiance. Ce qui ne veut pas dire que c'est une fausse clé, bien sûr.
Je pense que si la somme de contrôle est bonne, il n'y a pas de problème.

Dernière modification par cinaptix (Le 17/04/2017, à 09:24)


« Software is like sex, it's better when it's free. »  Linus Torvalds
Xubuntu 16.04 (64 bits) - CM Gigabyte GA-B85M-D3H - Pentium G3420 à 3,2 Ghz - RAM 8 Go à 1600 Mhz
CG nVidia GT 610 - SSD 64 Go (pour le système) + HDD 500 Go (pour les données).

Hors ligne

#5 Le 17/04/2017, à 11:46

Petit Lynx

Re : Comment vérifier la signature d'un fichier (hors d'un mail) avec Gnupg

Ok, donc, j'ai compris que je dois disposer de la véritable clef publique de la personne (ou de l'organisation) qui a signé le fichier, pour vérifier la signature du fichier. Ensuite, j'ai pas compris la procédure normale, gpg peut vérifier la signature du fichier (comment?) ou je dois regarder le résultat de "hachage"?

Comment tu vois que la clef est auto-signée?


Ubuntu 16.04 64 bits
Le "Hardware", c'est la partie qui prends les coups quand le "Software" plante...

Hors ligne

#6 Le 17/04/2017, à 16:24

cinaptix

Re : Comment vérifier la signature d'un fichier (hors d'un mail) avec Gnupg

Dans un terminal, taper man gpg pour avoir la doc.
La commande gpg --verify <nom_du_fichier> permet de vérifier une signature si on dispose de la clé publique.
Si on applique cette commande au fichier récupéré sur internet on s'aperçoit, qu'il a été signé avec la clé RSA d'identifiant AFEEAEA3
Pour récupérer une clé on peut chercher dans un serveur de clé sur internet comme par exemple http://pgp.mit.edu/
Pour AFEEAEA3 (rechercher pour 0xAFEEAEA3) on obtient ça :
http://pgp.mit.edu/pks/lookup?search=0x … 3&op=index
puis ça :
http://pgp.mit.edu/pks/lookup?op=vindex … EFAFEEAEA3
et là on voit que c'est une clé auto-signée ([selfsig]).
Pour gérer tout ce qui est clé (en général) on peut le faire en ligne de commande (pffff ! sad) ou avec gpa (dans les dépôts) en mode graphique pour presque tout.
Pour l'installation d'un fichier .apk > http://www.frandroid.com/comment-faire/ … al-android
thunar-gtkhash est une extension (pour thunar) qui permet de calculer les sommes de contrôle à comparer avec celles qui sont données à coté du fichier à télécharger. Ici : http://downloadarchive.documentfoundati … mirrorlist
Encore un lien pour un logiciel spécifique pour vérifier les signatures de fichier .apk. Je n'ai pas testé.  http://appvet.github.io/android-sigverifier-tool/

Dernière modification par cinaptix (Le 17/04/2017, à 16:30)


« Software is like sex, it's better when it's free. »  Linus Torvalds
Xubuntu 16.04 (64 bits) - CM Gigabyte GA-B85M-D3H - Pentium G3420 à 3,2 Ghz - RAM 8 Go à 1600 Mhz
CG nVidia GT 610 - SSD 64 Go (pour le système) + HDD 500 Go (pour les données).

Hors ligne

#7 Le 17/04/2017, à 23:43

Petit Lynx

Re : Comment vérifier la signature d'un fichier (hors d'un mail) avec Gnupg

Merci pour toutes ces explications.

Si j'installe gpa, pas de risque de conflit avec "seahorse" installé par défaut?


Ubuntu 16.04 64 bits
Le "Hardware", c'est la partie qui prends les coups quand le "Software" plante...

Hors ligne

#8 Le 18/04/2017, à 09:08

cinaptix

Re : Comment vérifier la signature d'un fichier (hors d'un mail) avec Gnupg

gpa fonctionne sans problème sous xubuntu et toutes les interfaces. Je n'en dirai pas autant pour seahorse prévu pour ubuntu et qui ne permet pas d'en faire autant.


« Software is like sex, it's better when it's free. »  Linus Torvalds
Xubuntu 16.04 (64 bits) - CM Gigabyte GA-B85M-D3H - Pentium G3420 à 3,2 Ghz - RAM 8 Go à 1600 Mhz
CG nVidia GT 610 - SSD 64 Go (pour le système) + HDD 500 Go (pour les données).

Hors ligne

#9 Le 18/04/2017, à 14:27

Petit Lynx

Re : Comment vérifier la signature d'un fichier (hors d'un mail) avec Gnupg

Merci, je l'ai installé.
Effectivement, avec gpa, il semble (plus facile) de signer ou de vérifier la signature d'un fichier.


Ubuntu 16.04 64 bits
Le "Hardware", c'est la partie qui prends les coups quand le "Software" plante...

Hors ligne

#10 Le 19/04/2017, à 14:52

Petit Lynx

Re : Comment vérifier la signature d'un fichier (hors d'un mail) avec Gnupg

Bonjour.
Désolé, mais j'ai toujours des difficultés pour télécharger les signatures/clefs publiques.

Avec thunderbird, le téléchargement de la clef publique d'Edward, le robot de test de signature mail, s'est téléchargée sans problème.

Par contre, quand je teste des fichiers avec gpa (ou/et en ligne de code), ça n'arrive ni à pas télécharger, ni à consulter les clefs publiques. J'ai essayé avec 3 fichiers différents, avec gpa, quand je met la clef publique téléchargée dans le même dossier, il reconnais effectivement que le fichier et la signature correspondent, par contre, il me répond que la clef publique est inconnue

En ligne de commande:

gpg2 --search-keys Mozilla@e.mozilla.org
gpg: pas de serveur de clefs connu (utilisez l'option --keyserver)
gpg: échec de recherche au sein du serveur de clefs : Aucun serveur de clefs disponible

Quelque-chose n'est pas configuré ou c'est mal écrit?


Ubuntu 16.04 64 bits
Le "Hardware", c'est la partie qui prends les coups quand le "Software" plante...

Hors ligne