Sous-sections
Signature et vérification d'intégrité des fichiers via MD5/GnuPGvia MD5Pour créer une empreinte il suffit de tapper la commande:md5sum image.iso bc94f333a9090cc298ab ou pour plusieurs fichiers md5sum *.iso bc94f333a9090cc298ab fc94sdfsfd300cc298ab il est possible également de générer le md5 checksum et de le stocker dans un fichier par: md5sum *.iso > fichier.md5 ensuite pour vérifier: md5sum -c fichier.md5 via GnuPGLes signatures PGP reposent sur une méthode appelée chiffrage à clef publique. Cette méthode permet à un développeur ou un groupe de développeurs de signer de manière électronique un fichier ou un message en utilisant une clef secrète ou clef privée. La clef privée ne devra et ne sera jamais divulguée publiquement. Pour vérifier une signature, nous utiliserons la petite soeur de la clef privée appelée clef publique. Cette dernière est disponible pour tous et habituellement répertoriée dans un serveur de clefs. Dans notre exemple, nous avons besoin de la clef publique correspondant au projet de Kernel Linux. Les développeurs du kernel étant des personnes très consciencieuses, une page spécifique a été mise en place signalant le numéro de clef à utiliser (http://www.kernel.org/signature.php) : 0x517D0F0E. Pour poursuivre, il vous faudra utiliser le logiciel GnuPG. C'est cet utilitaire qui vous permettra de récupérer la clef publique et de vous en servir pour vérifier la signature de l'archive /linux-2.4.4.tar.gz/. Commençons donc par récupérer la clef auprès du serveur de clefs :$ gpg --keyserver wwwkeys.pgp.net --recv-keys 0x517D0F0E gpg: requête de la clé 517D0F0E de wwwkeys.pgp.net... gpg: clé 517D0F0E: clé publique importée gpg: Quantité totale traitée: 1 gpg: importée: 1 Ceci fait, nous pouvons vérifier la validité de l'archive en combinant toutes les informations (clef public, archive et fichier signature) : $ gpg --verify linux-2.4.4.tar.gz.sign linux-2.4.4.tar.gz gpg: Signature faite sam 28 avr 2001 03:48:04 CEST avec une clé DSA ID 517D0F0E gpg: Bonne signature de "Linux Kernel Archives Verification Key <ftpadmin@kernel.org>" ..."Bonne signature...", c'est parfait, notre archive a été vérifiée avec succès. Nous pouvons faire confiance en son contenu. En réalité, ceci n'est pas tout à fait exact. Bien qu'il soit extrêmement difficile de "casser" une telle clef, il est toujours possible que quelqu'un ait piraté le serveur *www.kernel.org* pour y glisser un faux numéro de clef ou encore *wwwkeys.pgp.net* pour fournir une fausse clef publique. Bien sûr, ceci ne passerait pas inaperçu : pas plus que quelques heures et des alertes seraient lancées de toute part. Sachez seulement que cela reste toujours possible et qu'il n'existe pas de sécurité absolue. Notez qu'il existe des interfaces utilisateur très conviviales pour GnuPG ainsi que des modules vous permettant d'automatiser les vérifications depuis votre client ftp et/ou mail. Les serveurs de clefs sont nombreux sur Internet et théoriquement tous reliés entre eux. Si vous désirez récupérer une clef publique afin de vérifier la signature de l'auteur, il vous suffira de faire une simple recherche avec son nom. Certes, dans la plupart des cas, l'auteur spécifie son numéro de clef sur sa homepage ... |