trisquel 10.0.1 échec pour vérifier le fichier iso

17 replies [Last post]
savonneuse
Offline
Joined: 10/02/2022

Bonjour. J'essaie de passer de xubuntu à trisquel pour aller plus loin dans le libre.
J'ai téléchargé trisquel 10.0.1 pour l'installer.
Je suis ce qui est indiqué sur la page conseils et j'essaie donc de vérifier le fichier iso.
Quand je fais la commande dans le terminal pour récupérer la clé publique, j'ai la mention suivante :

gpg: échec de réception depuis le serveur de clefs : Sans nom

Pourtant je retrouve la clé dans mon gestionnaire de clés.

Si je continue et que je demande dans le terminal de vérifier le fichier iso j'ai le résultat :

gpg: les données signées sont supposées être dans « trisquel_10.0.1_amd64.iso »
gpg: Signature faite le jeu. 26 mai 2022 14:14:24 CEST
gpg: avec la clef RSA 60364C9869F92450421F0C22B138CA450C05112F
gpg: Impossible de vérifier la signature : Pas de clef publique

J'ai réessayer plusieurs fois et j'ai toujours le même résultat. Je ne suis pas du tout un spécialiste.

Est-ce que cela dit quelque-chose à quelqu'un ?

Sasaki
Offline
Joined: 08/11/2014

Salut,

pour info il y a deux vérifications différentes :

- avec GPG vérifier que l'image téléchargée est bien la bonne, celle qui a été mise en ligne par l'équipe de trisquel, et pas que tu as été trompé en téléchargeant une fausse image de trisquel. Pour t'aider il faudrait savoir si tu as déjà la clé publique et ton image iso dans le même dossier ? La voici https://archive.trisquel.info/trisquel/trisquel-archive-signkey.gpg

- vérifier que le fichier téléchargé n'a pas été abîmé pendant le téléchargement. Je fais ça avec md5. Télécharger le fichier md5 correspondant à ton image iso trisquel_10.0.1_sources.iso.md5 sur http://cdimage.trisquel.info/trisquel-images/
En suite je fais md5sum trisquel_10.0.1_sources.iso et je compare à l'oeil le résultat de cette commande avec le contenu du fichier md5.

savonneuse
Offline
Joined: 10/02/2022

Merci !

Pour GPG j'ai bien la clé publique et l'image iso dans le même dossier. Dans ce dossier il y a aussi le fichier de téléchargement.

J'ai téléchargé le fichier md5 et fais la commande. J'ai :

md5sum: trisquel_10.0.1_sources.iso: Aucun fichier ou dossier de ce type

Mystère !

prospero
Offline
Joined: 05/20/2022

Tu dois exécuter la commande md5sum sur le fichier iso que tu as téléchargé.

Par exemple si tu as téléchargé le fichier trisquel_10.0.1_amd64.iso, c'est ce nom que tu dois donner en paramètre à la commande, et pas trisquel_10.0.1_sources.iso. Chaque fichier iso a un md5 différent.

Sasaki
Offline
Joined: 08/11/2014

Ah oui j'ai voulu t'aider et je t'ai induit en erreur en copiant-collant trop rapidement. En effet tu as téléchargé trisquel_10.0.1_amd64.iso, c'est donc sur ce fichier que tu dois faire ton md5.
Plus possible d'éditer mon post ci-dessus.

savonneuse
Offline
Joined: 10/02/2022

Merci !

La vérification md5 fonctionne.

C'est déjà ça de fait !

savonneuse
Offline
Joined: 10/02/2022

Je pense à quelque-chose à laquelle j'aurais pu penser avant.

Quand je fais la commande pour récupérer la clé publique de trisquel :
gpg --keyserver keys.gnupg.net --recv-keys 0xE6C27099CA21965B734AEA31B4EFB9F38D8AEBF1

j'ai comme résultat :
gpg: échec de réception depuis le serveur de clefs : Sans nom

Pourtant j'ai bien récupéré la clé dans mon trousseau

?

prospero
Offline
Joined: 05/20/2022

Les instructions de la documentation FR datent d'au moins deux siècles...

Essaye avec les instructions de la version EN, qui elles semblent être à jour :

https://trisquel.info/en/wiki/verify-trisquel-download

EDIT: version rafraîchie des instructions. Le réseau de serveurs de clé derrière keys.gnupg.net est obsolète.

Avron

I am a translator!

Offline
Joined: 08/18/2020

Je viens d'essayer avec pgp.mit.edu, ça n'a pas marché.

Ca a marché avec pgp.surf.nl. D'habitude, keyserver.ubunutu.com marche mais là non.

Ca devient difficile d'utiliser les serveurs de clés.

prospero
Offline
Joined: 05/20/2022

As-tu retenté avec pgp.mit.edu ? Cela fonctionne souvent à la deuxième tentative, ce serveur semble être réputé pour être lent mais sûr.

J'ai rajouté un paragraphe sur la récupération de la clé directement depuis la page de téléchargement, cela permet de contourner les soucis de serveurs de clé. Le RGPD a créé une contrainte juridique à cause de l'impossibilité de supprimer les données sur les infrastructures préexistantes, ce qui rend la chose encore plus difficile à gérer. Sans parler des soucis de vandalisme.

Les trois serveurs recommandés suite à l'obsolescence de keys.gnupg.net (en fait SKS) sont keyserver.ubuntu.com, keys.openpgp.org et pgp.mit.edu. Plus d'info ici (en anglais). Note que pgp.surf.nl est basé sur SKS, plutôt à éviter donc.

Raistlin
Offline
Joined: 04/06/2020

"Les instructions de la documentation FR datent d'au moins deux siècles..."

Est-ce que n'importe qui peut mettre celles-ci à jour ou faut-il un laisser passer réservé aux membres du personnel ? Dans le premier cas je veux bien essayer... plutôt en 2023.

prospero
Offline
Joined: 05/20/2022

"EDIT" signifie que le message a été modifié (édité).

"version rafraîchie des instructions" signifie...que les instructions ont été rafraîchies.

Mais 2023 sera probablement le bon moment pour remplacer "10.0.1" par "11.0". Tous les utilisateurs du forum peuvent modifier les pages de la documentation mais il vaut mieux en discuter ici avant pour essayer de se coordonner.

Il existe une page avec un "coordinateur" ou une "coordinatrice" par langue. Notre coordinateur.rice francophone actuel.le semble être fiorile.

Raistlin
Offline
Joined: 04/06/2020

"EDIT" signifie que le message a été modifié (édité).

"version rafraîchie des instructions" signifie...que les instructions ont été rafraîchies.

Ah désolé je pensais que tu parlais de la version anglophone. Merci pour ces éléments.

savonneuse
Offline
Joined: 10/02/2022

Merci pour les conseils. Effectivement ça marche.
Par contre je ne comprends pas comment faire pour la toile de confiance. J'ai l'impression que la page en anglais dit que la clé est de confiance d'office ? :

"The Trisquel GPG key is installed at a system level, so you need to add it to the user that will verify the key.

First we need to make sure the GPG ID we will be using is the correct one as we'll be assigning absolute trust, Trisquel's images are signed with the main key B138CA450C05112F.

We can confirm it belongs to trisquel with:

$ apt-key finger B138CA450C05112F

pub rsa4096 2017-01-07 [SC]

6036 4C98 69F9 2450 421F 0C22 B138 CA45 0C05 112F

uid [unknow] Trisquel GNU/Linux

sub rsa4096 2017-01-07 [E]

Now that we are sure the GPG ID is the correct one, we add it to the local user gpg keys:

$ gpg --keyserver pgp.mit.edu --recv-keys B138CA450C05112F

Now we apply absolute trust,

$ echo -e "5\ny\n" | gpg --command-fd 0 --expert --edit-key B138CA450C05112F trust"

prospero
Offline
Joined: 05/20/2022

> Par contre je ne comprends pas comment faire pour la toile de confiance.

Pour résumer, tu peux ignorer cette étape, elle n'apporte rien à la vérification de la signature du fichier iso proprement dite.

Il est en général déconseillé de signer quoi que ce soit sans savoir exactement ce que l'on signe, cela vaut aussi pour les clés de chiffrement. Comme l'indique le mini manuel d'utilisation de GPG, "vous devez donc n'accorder votre confiance qu'avec le plus grand soin si vous ne voulez pas compromettre la sécurité de votre cryptosystème et des cryptosystèmes de tous ceux qui vous font confiance ! " À lire sur https://gnupg.org/howtos/fr/GPGMiniHowto-1.html#ss1.4.

savonneuse
Offline
Joined: 10/02/2022

OK merci. Si je comprends bien il faudrait que je rencontre directement la personne qui a signé au départ ?

Au fait : j'avais essayé pgp.mit.edu et ça a marché.

Merci à tout le monde.

Je mets en résolu où la discussion n'est pas finie ?

prospero
Offline
Joined: 05/20/2022

> il faudrait que je rencontre directement la personne qui a signé au départ ?

Oui, c'est l'idée, en fait la personne propriétaire de la clé et qui l'utilise pour signer les fichiers iso. Debian semble même organiser des séances de signature de clés lors de leurs conférences, précisément à cette fin : https://www.debian.org/events/keysigning.fr.html.

> Je mets en résolu où la discussion n'est pas finie ?

Ici les fils de discussion sont laissés à refroidir environ six mois, après quoi ils sont automatiquement vérouillés et entreposés en chambre froide. Il est toujours possible de poster tant que ce délai n'est pas atteint, bien que réchauffer un fil déjà bien froid soit en général déconseillé.

savonneuse
Offline
Joined: 10/02/2022

OK merci.