Sous-sections
Signature et vérification d'intégrité des fichiers via MD5/GnuPGvia MD5Pour créer une empreinte il suffit de tapper la commande:md5sum image.iso bc94f333a9090cc298ab ou pour plusieurs fichiers md5sum *.iso bc94f333a9090cc298ab fc94sdfsfd300cc298ab il est possible également de générer le md5 checksum et de le stocker dans un fichier par: md5sum *.iso > fichier.md5 ensuite pour vérifier: md5sum -c fichier.md5 via GnuPGLes signatures PGP reposent sur une méthode appelée chiffrage à clef publique. Cette méthode permet à un développeur ou un groupe de développeurs de signer de manière électronique un fichier ou un message en utilisant une clef secrète ou clef privée. La clef privée ne devra et ne sera jamais divulguée publiquement. Pour vérifier une signature, nous utiliserons la petite soeur de la clef privée appelée clef publique. Cette dernière est disponible pour tous et habituellement répertoriée dans un serveur de clefs. Dans notre exemple, nous avons besoin de la clef publique correspondant au projet de Kernel Linux. Les développeurs du kernel étant des personnes très consciencieuses, une page spécifique a été mise en place signalant le numéro de clef à utiliser (http://www.kernel.org/signature.php) : 0x517D0F0E. Pour poursuivre, il vous faudra utiliser le logiciel GnuPG. C'est cet utilitaire qui vous permettra de récupérer la clef publique et de vous en servir pour vérifier la signature de l'archive /linux-2.4.4.tar.gz/. Commençons donc par récupérer la clef auprès du serveur de clefs :
$ gpg --keyserver wwwkeys.pgp.net --recv-keys 0x517D0F0E
gpg: requête de la clé 517D0F0E de wwwkeys.pgp.net...
gpg: clé 517D0F0E: clé publique importée
gpg: Quantité totale traitée: 1
gpg: importée: 1
Ceci fait, nous pouvons vérifier la validité de l'archive en combinant
toutes les informations (clef public, archive et fichier signature) :
$ gpg --verify linux-2.4.4.tar.gz.sign linux-2.4.4.tar.gz
gpg: Signature faite sam 28 avr 2001 03:48:04 CEST avec une clé DSA ID 517D0F0E
gpg: Bonne signature de "Linux Kernel Archives Verification Key <ftpadmin@kernel.org>"
...
"Bonne signature...", c'est parfait, notre archive a été vérifiée avec
succès. Nous pouvons faire confiance en son contenu. En réalité, ceci
n'est pas tout à fait exact. Bien qu'il soit extrêmement difficile de
"casser" une telle clef, il est toujours possible que quelqu'un ait
piraté le serveur *www.kernel.org* pour y glisser un faux numéro de clef
ou encore *wwwkeys.pgp.net* pour fournir une fausse clef publique. Bien
sûr, ceci ne passerait pas inaperçu : pas plus que quelques heures et
des alertes seraient lancées de toute part. Sachez seulement que cela
reste toujours possible et qu'il n'existe pas de sécurité absolue.
Notez qu'il existe des interfaces utilisateur très conviviales pour
GnuPG ainsi que des modules vous permettant d'automatiser les
vérifications depuis votre client ftp et/ou mail. Les serveurs de clefs
sont nombreux sur Internet et théoriquement tous reliés entre eux. Si
vous désirez récupérer une clef publique afin de vérifier la signature
de l'auteur, il vous suffira de faire une simple recherche avec son nom.
Certes, dans la plupart des cas, l'auteur spécifie son numéro de clef
sur sa homepage ...
|
