#1 Le 05/06/2020, à 17:43
- descat85
Vérification iso xubuntu avec GPG [résolu]
Bonjour,
En me référant à ce post post j'ai vérifié la signature de l'iso téléchargé via un torrent. (xubuntu 20.04)
............@.................:~/Téléchargements$ gpg --keyserver hkp://keyserver.ubuntu.com --recv-keys 0xD94AA3F0EFE21092
gpg: key D94AA3F0EFE21092: 2 duplicate signatures removed
gpg: key D94AA3F0EFE21092: 66 signatures not checked due to missing keys
gpg: clef D94AA3F0EFE21092 : clef publique « Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com> » importée
gpg: aucune clef de confiance ultime n'a été trouvée
gpg: Quantité totale traitée : 1
gpg: importées : 1
............@.................:~/Téléchargements$ gpg --verify SHA256SUMS.gpg SHA256SUMS
gpg: Signature faite le jeu. 23 avril 2020 15:49:03 CEST
gpg: avec la clef RSA D94AA3F0EFE21092
gpg: Bonne signature de « Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com> » [inconnu]
gpg: Attention : cette clef n'est pas certifiée avec une signature de confiance.
gpg: Rien n'indique que la signature appartient à son propriétaire.
Empreinte de clef principale : 8439 38DF 228D 22F7 B374 2BC0 D94A A3F0 EFE2 1092
............@.................:~/Téléchargements$
J'ai téléchargé les fichiers SHA256SUM et SHA256SUM.gpg sur ce lien miroir
Comme j'utilise ce genre de vérification depuis peu je voulais m’assurer ici que ma démarche est bonne et savoir également si le fait que le lien sur lequel j'ai téléchargé les fichiers SHA256SUM et SHA256SUM.gpg ne soit pas un https ne pose pas de problème de sécurité.
Merci d'avance
Dernière modification par descat85 (Le 06/06/2020, à 15:40)
Hors ligne
#2 Le 05/06/2020, à 18:36
- Vobul
Re : Vérification iso xubuntu avec GPG [résolu]
Oui c'est la bonne clé (tu peux la trouver également sur cette page).
Mais pour faire les choses dans les règles de l'art il faudrait avoir un web of trust. Genre quelqu'un que tu as vu en vrai et t'as vérifié son identité qui te file sa clé, que tu trust. Et ce quelqu'un (ou à un niveau plus profond) trust à son tour la clé de signature ubuntu car il connait un dev ubuntu qui lui a confirmé que c'était bien la bonne.
Pas besoin d'être trop parano non plus, la possibilité que quelqu'un upload une iso néfaste et parvienne à changer la clé sur tous les sites ubuntu qui la mentionnent /ou à la signer avec la bonne clé est quand même très faible. Surtout qu'il faudrait également changer les SHASUMS.
Vobul
Utilisez le retour utilisable de commandes !!!
J'aime la langue française, mais je parle franglais, deal with it.
RTFM
Hors ligne
#3 Le 06/06/2020, à 15:39
- descat85
Re : Vérification iso xubuntu avec GPG [résolu]
Ok merci pour la réponse!
Hors ligne