Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 05/06/2020, à 17:43

descat85

Vérification iso xubuntu avec GPG [résolu]

Bonjour,


En me référant à ce post post j'ai vérifié la signature de l'iso téléchargé via un torrent. (xubuntu 20.04)

............@.................:~/Téléchargements$ gpg --keyserver hkp://keyserver.ubuntu.com --recv-keys 0xD94AA3F0EFE21092
gpg: key D94AA3F0EFE21092: 2 duplicate signatures removed
gpg: key D94AA3F0EFE21092: 66 signatures not checked due to missing keys
gpg: clef D94AA3F0EFE21092 : clef publique « Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com> » importée
gpg: aucune clef de confiance ultime n'a été trouvée
gpg: Quantité totale traitée : 1
gpg:               importées : 1
............@.................:~/Téléchargements$ gpg --verify SHA256SUMS.gpg SHA256SUMS
gpg: Signature faite le jeu. 23 avril 2020 15:49:03 CEST
gpg:                avec la clef RSA D94AA3F0EFE21092
gpg: Bonne signature de « Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com> » [inconnu]
gpg: Attention : cette clef n'est pas certifiée avec une signature de confiance.
gpg:          Rien n'indique que la signature appartient à son propriétaire.
Empreinte de clef principale : 8439 38DF 228D 22F7 B374  2BC0 D94A A3F0 EFE2 1092
............@.................:~/Téléchargements$

J'ai téléchargé les fichiers SHA256SUM et SHA256SUM.gpg sur ce lien miroir

Comme j'utilise ce genre de vérification depuis peu je voulais m’assurer ici que ma démarche est bonne et  savoir également si le fait que le lien sur lequel j'ai téléchargé les fichiers SHA256SUM et SHA256SUM.gpg ne soit pas un https ne pose pas de problème de sécurité.

Merci d'avance

Dernière modification par descat85 (Le 06/06/2020, à 15:40)

Hors ligne

#2 Le 05/06/2020, à 18:36

Vobul

Re : Vérification iso xubuntu avec GPG [résolu]

Oui c'est la bonne clé (tu peux la trouver également sur cette page).

Mais pour faire les choses dans les règles de l'art il faudrait avoir un web of trust. Genre quelqu'un que tu as vu en vrai et t'as vérifié son identité qui te file sa clé, que tu trust. Et ce quelqu'un (ou à un niveau plus profond) trust à son tour la clé de signature ubuntu car il connait un dev ubuntu qui lui a confirmé que c'était bien la bonne.

Pas besoin d'être trop parano non plus, la possibilité que quelqu'un upload une iso néfaste et parvienne à changer la clé sur tous les sites ubuntu qui la mentionnent /ou à la signer avec la bonne clé est quand même très faible. Surtout qu'il faudrait également changer les SHASUMS.

Vobul
Utilisez le retour utilisable de commandes !!!
J'aime la langue française, mais je parle franglais, deal with it.
RTFM

Hors ligne

#3 Le 06/06/2020, à 15:39

descat85

Re : Vérification iso xubuntu avec GPG [résolu]

Ok merci pour la réponse!

Hors ligne

Pages : 1