Vérifier les signatures d'ISO

Je commence à comprendre pourquoi en pratique personne (sauf quelques barbus endurcis) ne vérifie les signatures GPG des ISO qu’il télécharge…
Vérifier les hash une fois qu’on connaît l’outil sha256sum c’est facile (même si bon la page de download qui dit de le faire renvoie vers un lien censé expliquer comment, mais dit juste d’utiliser sha***sum sans plus de précisions ni d’instructions, ce qui est un peu problématique puisque Debian s’ouvre aux débutants maintenant), et remplacer par sha512sum n’est pas compliqué.

Par contre, toujours aucune explication de comment on vérifie les signatures, la page dit juste qu’il faut le faire avec GPG et en utilisant le debian-keyring…

salut

télécharger les 4 fichiers SHA512SUMS.sign SHA512SUMS SHA256SUMS.sign SHA256SUMS + l’iso

gpg --verify SHA512SUMS.sign SHA512SUMS
gpg --verify SHA256SUMS.sign SHA256SUMS
sha512sum -c /tmp/SHA512SUMS --ignore-missing
sha256sum -c /tmp/SHA256SUMS --ignore-missing

les lignes gpg doivent contenir un

gpg: Bonne signature de « Debian CD signing key <debian-cd@lists.debian.org> » [inconnu]
gpg: Attention : cette clef n'est pas certifiée avec une signature de confiance.
gpg:             Rien n'indique que la signature appartient à son propriétaire.

pour chaque iso, on voit écrit Réussi, exemple :

sha256sum -c /tmp/*SHA256SUMS --ignore-missing
debian-live-11.7.0-amd64-cinnamon+nonfree.iso: Réussi
debian-live-11.7.0-amd64-xfce+nonfree.iso: Réussi
2 J'aime

On peut aussi utiliser Gtkhash pour vérifier les signatures des isos en mode graphique :

image

1 J'aime

Oui et non

tu vérifies les sha256 et sha512, mais pas la clé gpg

Y a t’il un process qui permet de tous faire correctement ?

Bonjour, @Lien_Rag

J’ai longtemps pesté après ça… Et, à force de fouiner, de lire…, j’ai opté pour l’application GTKHash qui fait tout le travail pour nous et, sauf erreur de ma part, très très bien. Disponible sur la plupart des GnuLinux avec de bons tutos en ligne… Avant, je galérais, je suis loin d’être un barbu :slightly_smiling_face:

J’ai trouvé ceci qui devrait aider pour vérifier les sha et la clé gpg.

Vérifier l’intégrité d’un fichier sous Ubuntu, Linux Mint et Debian :

https://www.numetopia.fr/verifier-lintegrite-dun-fichier-sous-ubuntu/

Gtkhash,n c’est bien sauf que tu ne peux pas comparer tes résultats aux résultas attendus, donc pour moi un script (clic droit sur le fichier->script->md5_sha_sha256_sha512 ) suffit; avec dedans :

#!/bin/bash

#teste si un fichier au moins est sélectionné
if [ $# -eq 0 ]; then
	zenity --error --title="error" --text="Vous devez sélectionner un fichier"
	exit 1
fi

if [ $# -ne 0 ]; then
	repertoire=$NAUTILUS_SCRIPT_CURRENT_URI
	br_md5=$(md5sum "$1")
	br_md5=`echo $br_md5 |cut -d" " -f1`
	br_sha=$(shasum "$1")
	br_sha=`echo $br_sha |cut -d" " -f1`
	br_sha256=$(sha256sum "$1")
	br_sha256=`echo $br_sha256 |cut -d" " -f1`
	br_sha512=$(sha512sum "$1")
	br_sha512=`echo $br_sha512 |cut -d" " -f1`
	zenity --error --title="résultat " --text="répertoire : $repertoire \nfichier : $1\n md5 : ${br_md5} \n sha : $br_sha \n sha256 : $br_sha256 \n sha512 : $br_sha512"
fi