IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
next up previous contents index index
suivant: Réinstallation de lilo sans monter: Astuces précédent: Manipulation des images ISO   Table des matières   Index

Sous-sections

Signature et vérification d'intégrité des fichiers via MD5/GnuPG

via MD5

Pour créer une empreinte il suffit de tapper la commande:
md5sum image.iso
bc94f333a9090cc298ab
ou pour plusieurs fichiers
md5sum *.iso
bc94f333a9090cc298ab
fc94sdfsfd300cc298ab
il est possible également de générer le md5 checksum et de le stocker dans un fichier par:
md5sum *.iso > fichier.md5
ensuite pour vérifier:
md5sum -c fichier.md5

via GnuPG

Les signatures PGP reposent sur une méthode appelée chiffrage à clef publique. Cette méthode permet à un développeur ou un groupe de développeurs de signer de manière électronique un fichier ou un message en utilisant une clef secrète ou clef privée. La clef privée ne devra et ne sera jamais divulguée publiquement. Pour vérifier une signature, nous utiliserons la petite soeur de la clef privée appelée clef publique. Cette dernière est disponible pour tous et habituellement répertoriée dans un serveur de clefs. Dans notre exemple, nous avons besoin de la clef publique correspondant au projet de Kernel Linux. Les développeurs du kernel étant des personnes très consciencieuses, une page spécifique a été mise en place signalant le numéro de clef à utiliser (http://www.kernel.org/signature.php) : 0x517D0F0E. Pour poursuivre, il vous faudra utiliser le logiciel GnuPG. C'est cet utilitaire qui vous permettra de récupérer la clef publique et de vous en servir pour vérifier la signature de l'archive /linux-2.4.4.tar.gz/. Commençons donc par récupérer la clef auprès du serveur de clefs :
        $ gpg --keyserver wwwkeys.pgp.net --recv-keys 0x517D0F0E
        gpg: requête de la clé 517D0F0E de wwwkeys.pgp.net...
        gpg: clé 517D0F0E: clé publique importée
        gpg:        Quantité totale traitée: 1
        gpg:                       importée: 1
        
        Ceci fait, nous pouvons vérifier la validité de l'archive en combinant
        toutes les informations (clef public, archive et fichier signature) :
        
        $ gpg --verify linux-2.4.4.tar.gz.sign linux-2.4.4.tar.gz
        gpg: Signature faite sam 28 avr 2001 03:48:04 CEST avec une clé DSA ID 517D0F0E
        gpg: Bonne signature de "Linux Kernel Archives Verification Key <ftpadmin@kernel.org>"
        ...
"Bonne signature...", c'est parfait, notre archive a été vérifiée avec succès. Nous pouvons faire confiance en son contenu. En réalité, ceci n'est pas tout à fait exact. Bien qu'il soit extrêmement difficile de "casser" une telle clef, il est toujours possible que quelqu'un ait piraté le serveur *www.kernel.org* pour y glisser un faux numéro de clef ou encore *wwwkeys.pgp.net* pour fournir une fausse clef publique. Bien sûr, ceci ne passerait pas inaperçu : pas plus que quelques heures et des alertes seraient lancées de toute part. Sachez seulement que cela reste toujours possible et qu'il n'existe pas de sécurité absolue. Notez qu'il existe des interfaces utilisateur très conviviales pour GnuPG ainsi que des modules vous permettant d'automatiser les vérifications depuis votre client ftp et/ou mail. Les serveurs de clefs sont nombreux sur Internet et théoriquement tous reliés entre eux. Si vous désirez récupérer une clef publique afin de vérifier la signature de l'auteur, il vous suffira de faire une simple recherche avec son nom. Certes, dans la plupart des cas, l'auteur spécifie son numéro de clef sur sa homepage ...
next up previous contents index index
suivant: Réinstallation de lilo sans monter: Astuces précédent: Manipulation des images ISO   Table des matières   Index