Vérification de l'intégrité de l'image Trisquel, vérifier que la signature appartient au bon propriétaire

7 replies [Last post]
rytege
Offline
Joined: 10/05/2017

Bonjour,
Je me demande comment vérifier l'intégrité de l'image Trisquel.
En effet, après avoir fait un gpg --verify je ne peux m'assurer que la signature appartient bien à son propriétaire. En effet selon cet article https://gnupg.org/download/integrity_check.html j'arrive au 3è cadre (décrit après "If you instead see").
Je veux être sûr et arriver à voir le contenu du 4è cadre, comme indiqué en dessous du texte "Ideally, you'll see something like".
Comment faire cela, comment comparer les empreintes ?
D'avance merci pour vos retours.

Mangy Dog

I am a member!

I am a translator!

Offline
Joined: 03/15/2015

Bonjour rytege

La documention ci-dessous fournit les informations nécessaire pour importer et vérifier la clef PGP publique de Trisquel

Conseil pour télécharger Trisquel :
https://trisquel.info/fr/wiki/conseil-pour-t%C3%A9l%C3%A9charger-trisquel

Pour comparer et vérifier les empreintes
Trisquel GNU/Linux (Trisquel GNU/Linux signing key) <name at domain>
On peut consulter les serveurs PGP de clefs publique
http://pgp.key-server.io/pks/lookup?search=0xE6C27099CA21965B734AEA31B4EFB9F38D8AEBF1&fingerprint=on&op=vindex

L'empreinte :
E6C2 7099 CA21 965B 734A EA31 B4EF B9F3 8D8A EBF1

rytege
Offline
Joined: 10/05/2017

Merci Mangy Dog,
Justement comment vérifier que la signature appartient au bon propriétaire ? J'ai bien la ligne suivante :

````
gpg: Rien n'indique que la signature appartient à son propriétaire.
````

mais il est indiqué sur la page de conseil pour télécharger Trisquel : "*il faut vérifier que cette clé publique appartient bien à l'un des membres de l'équipe de développement de Trisquel en utilisant la toile de confiance des signatures de GPG. (D'où le message de la cinquième ligne)*"
Comment puis-je faire de mon coté cette vérification suite au message de la cinquième ligne.

Merci d'avance :-)

Mangy Dog

I am a member!

I am a translator!

Offline
Joined: 03/15/2015

Comment puis-je faire de mon coté cette vérification suite au message de la cinquième ligne.
En vérifant que les empreintes correspondent à la clef (comme mentionné ci-haut)

Je t'invite à lire :
https://guide.boum.org/tomes/2_en_ligne/3_outils/07_utiliser_openpgp/08_verifier_une_signature/
et
https://guide.boum.org/tomes/2_en_ligne/3_outils/07_utiliser_openpgp/02_verifier_lauthenticite_dune_cle/

rytege
Offline
Joined: 10/05/2017

Merci pour ces documentations, je les avais déjà lues. Cela consiste à vérifier le bon "numéro" indiqué par l'empreinte par des moyens externes (tel que le téléphone par exemple) et ainsi exclure une attaque de l'homme du milieu.

Mais comme indiqué dans la documentation ci-après : https://gnupg.org/download/integrity_check.html, on voit bien dans le 4è cadre que la signature est bonne et on sait que le propriétaire correspond à la bonne personne. Comment puis-je faire de mon coté pour avoir avec gpg ce même message ?

D'avance merci.

(Qui me dit que tu n'es pas un homme du milieu ? :-p)

Mangy Dog

I am a member!

I am a translator!

Offline
Joined: 03/15/2015

Dans le cas de l'iso Trisquel la vérification des empreintes est sufisant, car pour obtenir
4eme cadre il faut "faire confiance"et "signer"la clef avec pgp, mais
Vous ne devez jamais signer la clé de quelqu'un que vous n'avez pas rencontré personnellement. La signature d'une clé, basée sur autre chose qu'une rencontre directe, détruit l'utilité du réseau de confiance.

La toile de confiance :

Comme de nombreux développeurs se rencontrent lors de manifestations commerciales ou de conférences, celles-ci sont devenues une façon simple de faire signer des clés GnuPG et d'étendre le réseau de confiance.

http://www.debian.org/events/keysigning.fr.html
https://fr.wikipedia.org/wiki/Toile_de_confiance

rytege
Offline
Joined: 10/05/2017

Ha OK. Merci Mangy Dog. Je n'avais pas compris qu'il fallait signer la clé pour avoir le 4è cadre, et qu'il ne faut signer la clé que lorsque l'on connait vraiment la personne.
Merci :D

Mangy Dog

I am a member!

I am a translator!

Offline
Joined: 03/15/2015

un autre exemple ici avec Tails (qui n'est pas libre du aux firmwares blobs dans le noyau)
https://tails.boum.org/install/download/openpgp/index.fr.html
Vérifier l'image ISO
Alors l'image ISO est tout de même correctement signée par la clé que vous avez téléchargé. Pour supprimer cet avertissement vous devez authentifier la clé de signature via la Toile de Confiance OpenPGP.

Un bon moyen de se familiariser avec GnuPG est d'utilser l'extension Enigmail avec Thunderbird/Icedove, et les logiciels Seahorse Nautilus
ou GPA(GnuPrivacy Assistant) pour gérer son trousseau de clefs.

https://wiki.gnome.org/action/show/Apps/Seahorse?action=show&redirect=Seahorse
https://gnupg.org/software/gpa/index.html

@plus ;-)