Vérification de CD iso debian avec gpg et sha

guiguitarux · Août 29, 2018, 10:05pm

Bonjour à tous,

J’ai voulu aller plus loin que la simple vérification d’une image iso debian téléchargée depuis un serveur web (http).

voilà les manipulations faites (après avoir ouvert le port nécessaire au téléchargement des clés gpg (port 11371) ).

pingouain@debian:~/Téléchargements/netinst$ ls -l
total 297992
-rw-r--r-- 1 pingouain pingouain 305135616 août  15 09:18 debian-9.5.0-amd64-netinst.iso
-rw-r--r-- 1 pingouain pingouain       489 août  15 09:13 SHA512SUMS
-rw-r--r-- 1 pingouain pingouain       833 août  15 09:13 SHA512SUMS.sign
pingouain@debian:~/Téléchargements/netinst$

pingouain@debian:~/Téléchargements/netinst$ sha512sum debian-9.5.0-amd64-netinst.iso 
efe75000c066506326c74a97257163b3050d656a5be8708a6826b0f810208d0a58f413c446de09919c580de8fac6d0a47774534725dd9fdd00c94859e370f373  debian-9.5.0-amd64-netinst.iso
pingouain@debian:~/Téléchargements/netinst$ cat SHA512SUMS
efe75000c066506326c74a97257163b3050d656a5be8708a6826b0f810208d0a58f413c446de09919c580de8fac6d0a47774534725dd9fdd00c94859e370f373  debian-9.5.0-amd64-netinst.iso
16b5a3f806c7f9b17cb79925fe84ca788a05649f036e678ac6f609908c6fdba4b5896831c44efb4139d6d31eadf8701f9668eda19316a2da6da09c675488d40f  debian-9.5.0-amd64-xfce-CD-1.iso
d2e9bfa6541d7429abcbfa583c44a788ea5f41d82560a6ae24e1656255cb16bad70c21b7c0ec7201a2de176fc31eacf062b1c7fbe1f28baf8d08e9ea959ca63d  debian-mac-9.5.0-amd64-netinst.iso
pingouain@debian:~/Téléchargements/netinst$

pingouain@debian:~/Téléchargements/netinst$ gpg --verify SHA512SUMS.sign debian-9.5.0-amd64-netinst.iso 
gpg: Signature made sam. 14 juil. 2018 17:52:49 GMT
gpg:                using RSA key DF9B9C49EAA9298432589D76DA87E80D6294BE9B
gpg: Can't check signature: Pas de clef publique
pingouain@debian:~/Téléchargements/netinst$

pingouain@debian:~/Téléchargements/netinst$ gpg --keyserver keyring.debian.org --recv-keys DF9B9C49EAA9298432589D76DA87E80D6294BE9B
gpg: key DA87E80D6294BE9B: public key "Debian CD signing key <debian-cd@lists.debian.org>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg:               imported: 1
pingouain@debian:~/Téléchargements/netinst$

pingouain@debian:~/Téléchargements/netinst$ gpg --verify SHA512SUMS.sign debian-9.5.0-amd64-netinst.iso 
gpg: Signature made sam. 14 juil. 2018 17:52:49 GMT
gpg:                using RSA key DF9B9C49EAA9298432589D76DA87E80D6294BE9B
gpg: BAD signature from "Debian CD signing key <debian-cd@lists.debian.org>" [unknown]
pingouain@debian:~/Téléchargements/netinst$

Il me semble avoir appliqué la bonne procédure et pourtant, le résultat est indiqué BAD signature from “Debian CD signing key debian-cd@lists.debian.org” [unknown]

une idée ?

pourtant la somme de contrôle est bonne

dindoun · Août 20, 2018, 8:46pm

pour l’instant même résultat que toi avec debian-live-9.4.0-i386-xfce+nonfree.iso
Seule différence la date.
C’est vraiment chiant les docs sur ce problème. A chaque fois on trouve des codes venus de nulle part.

Si j’ai bien compris

tu vérifies ton iso en comparant le résultat de sha512sum debian-9.5.0-amd64-netinst.iso avec le code écrit dans le fichier SHA512SUMS
tu vérifies que le fichier SHA512SUMS est correct avec gpg --verify SHA512SUMS.sign SHA512SUMS
Il est habituel (normal ?:!? ) d’avoir not certified écrit

guiguitarux · Août 27, 2018, 8:45pm

la page de man dit ça :

   gpg --verify sigfile [datafile]
          Verify the signature of the file but do not output the data unless requested.  The second form  is  used  for  detached  signatures,
          where sigfile is the detached signature (either ASCII armored or binary) and datafile are the signed data; if this is not given, the
          name of the file holding the signed data is constructed by cutting off the extension (".asc" or ".sig") of sigfile or by asking  the
          user  for  the filename.  If the option --output is also used the signed data is written to the file specified by that option; use -
          to write the signed data to stdout.

guiguitarux · Août 29, 2018, 8:26pm

re salut ,

Bon avec ma page de man, j’étais à côté de la plaque. j’ai trouvé une réponse :

$ gpg --verify SHA512SUMS.sign SHA512SUMS

ça, ça le fait.

Si je comprends bien, ça certifie juste que la personne qui a mis à disposition l’image CD vient de lui. Ce qui n’a rien à voir avec la somme de contrôle des données qui définit l’intégrité du CD.
Cela a du sens, après si je suis vraiment à côté de la plaque, dites-le moi. C’est important de vérifier que ce qui va nous servir d’outil de production provient du bon endroit !