naked'Crew

Language:

Vérification de l’authenticité de l'iso

append delete tfc

Salut,

quelques infos, le contenu du dossier :

%
 
nakedeb-1.4.3-deb11.3-amd64-nonfree.iso  
nakedeb-1.4.3-deb11.3-amd64-nonfree.md5  
nakedeb-1.4.3-deb11.3-amd64-nonfree.md5.sig

%

vérif. de l'intégrité par:

%

md5sum nakedeb-1.4.3-deb11.3-amd64-nonfree.iso

%

et comparaison -> ok.

Mais,

%

gpg --verify nakedeb-1.4.3-deb11.3-amd64-nonfree.md5.sig

%

me renvoie:

%

gpg: les données signées sont supposées être dans « nakedeb-1.4.3-deb11.3-amd64-nonfree.md5 »
gpg: Signature faite le dim. 27 mars 2022 01:32:55 CET
gpg:                avec la clef EDDSA 786C33525AEFF81C0F27F34D6D81E339ED8A9EFE
gpg: Impossible de vérifier la signature : Pas de clef publique

%

Que dois-je en penser?

Reply RSS

Replies

append delete #1. arpinux

gpg: Impossible de vérifier la signature : Pas de clef publique

veut dire que tu n'as pas la clé publique : https://arpinux.org/arpinux.pub.asc

une fois ma clé publique sur ton système, tu pourras vérifier ;)

append delete #2. tfc

Merci pour ta réactivité,

j'ai téléchargé la clef publique dans le dossier en question (celui où se trouvent les fichiers), mais après:

%

gpg --verify nakedeb-1.4.3-deb11.3-amd64-nonfree.md5.sig

%

la réponse est la même, je ne dois pas m'y prendre de la bonne façon.

append delete #3. arpinux

re :)

une clé publique ne se gère pas comme une signature md5. tu dois l'ajouter à ton trousseau de clé publiques/privées avec la commande gpg garnie de l'option import
(source : https://www.gnupg.org/howtos/fr/GPGMiniHowto-3.html)

%
gpg --import [fichier]
%

une fois la clé ajoutée à ton trousseau, tu peux vérifier l'authenticité de l'ISO.

merci pour ta question, c'est pas bien clair dans ma doc, je vais travailler le sujet :)

append delete #4. tfc

Après l'importation de la clef et réponse positive de la manip, voilà ce que j'obtiens maintenant:

%

gpg: les données signées sont supposées être dans « nakedeb-1.4.3-deb11.3-amd64-nonfree.md5 »
gpg: Signature faite le dim. 27 mars 2022 01:32:55 CET
gpg:                avec la clef EDDSA 786C33525AEFF81C0F27F34D6D81E339ED8A9EFE
gpg: Bonne signature de « arpinux <contact@arpinux.org> » [inconnu]
gpg:                 alias « nakedev <nakedev@arpinux.org> » [inconnu]
gpg:                 alias « arnault perret <contact@arpinux.org> » [inconnu]
gpg:                 alias « [jpeg image of size 19791] » [inconnu]
gpg: Attention : cette clef n'est pas certifiée avec une signature de confiance.
gpg:             Rien n'indique que la signature appartient à son propriétaire.
Empreinte de clef principale : 786C 3352 5AEF F81C 0F27  F34D 6D81 E339 ED8A 9EFE

%

:: @tfc ajouté le 17 May ’22 · 17:14

à noter que j'ai procédé à un redémarrage pour la forme.

append delete #5. arpinux

la clé est bien reconnue, mais elle n'est pas certifiée dans ton trousseau. cad que tu n'as pas noté cette clé comme étant de confiance. si tu le fais car oui, c'est bien ma clé et c'est bien moi, alors tu n'auras plus l'avertissement.

append delete #6. tfc

Ok,
merci pour tout.

Reply

(Leave this as-is, it’s a trap!)

There is no need to “register”, just enter the same name + password of your choice every time.

Pro tip: Use markup to add links, quotes and more.

Your friendly neighbourhood moderators: arpinux