Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 07/02/2024, à 13:23

Jerboa_81

GPG - Check Fingerpint of the GPG Signatures

Bonjour à tous.

Sous Ubuntu 23, comment puis-je vérifier les signatures GPG importées ?
(Comme "ThomasV.asc" pour Electrum)

Electrum.org:
"When you import a key, you should check its fingerprint using independent sources, such as here, or use the Web of Trust."

Je vous remercie d'avance.

Hors ligne

#2 Le 07/02/2024, à 13:26

xubu1957

Re : GPG - Check Fingerpint of the GPG Signatures

Bonjour,

Essaye :

apt-key list

Conseils pour les nouveaux demandeurs et pas qu'eux
Important : Pensez à passer vos sujets en [Réso|u] lorsque ceux-ci le sont, au début du titre en cliquant sur Modifier sous le premier message, et un bref récapitulatif de la solution à la fin de celui-ci. Merci.                   Membre de Linux-Azur

En ligne

#3 Le 07/02/2024, à 13:32

Jerboa_81

Re : GPG - Check Fingerpint of the GPG Signatures

Ca affiche les clés pour apt...

Mon but, c'est de vérifier, auprès d'un organisme de confiance, une clé GPG téléchargée sur un site.

Je ne comprend pas le rapport avec les clés d'apt ?

Hors ligne

#4 Le 07/02/2024, à 13:35

xubu1957

Re : GPG - Check Fingerpint of the GPG Signatures

Si tu vois des idées dans > Verifying the PGP Signature to electrum?

Conseils pour les nouveaux demandeurs et pas qu'eux
Important : Pensez à passer vos sujets en [Réso|u] lorsque ceux-ci le sont, au début du titre en cliquant sur Modifier sous le premier message, et un bref récapitulatif de la solution à la fin de celui-ci. Merci.                   Membre de Linux-Azur

En ligne

#5 Le 07/02/2024, à 18:19

Jerboa_81

Re : GPG - Check Fingerpint of the GPG Signatures

Voici ce que j'ai trouvé:

gpg --list-keys
gpg --keyserver keys.openpgp.org --locate-keys <ID_de_la_clé>

Et, peut-être vérifier avec:

gpg --keyserver keys.openpgp.org --search-keys <nom_utilisateur_ou_id_clé>


Vous trouvez cela correcte ?
Vous avez une meilleur méthode à proposer ?

Bien à vous.


PS:
L'idée, ce serait quand-même de pouvoir faire un CheckSum sur la clé téléchargée et celle hébergée sur le serveur...
https://keys.openpgp.org/
http://keyserver.ubuntu.com/

MAIS, quand je vais rechercher la clé sur les serveurs, ce que, à mon avis, je ne fais pas bien,
j'obtiens un hash différent...

Dernière modification par Jerboa_81 (Le 07/02/2024, à 19:28)

Hors ligne

#6 Le 07/02/2024, à 22:13

Nuliel

Re : GPG - Check Fingerpint of the GPG Signatures

Bonjour,
Fingerprint c'est différent de hash

Un .asc pour moi c'est une signature d'un document. La clé c'est autre chose. Pour vérifier la signature tu as besoin d'avoir importé la clé publique de la personne qui a signé le message. Tu peux effectivement comparer le fingerprint de cette clé avec un fingerprint de référence (en voyant de visu la personne et partager le fingerprint ou en le récupérant depuis un serveur de clé gpg, mais dans ce dernier cas tu as probablement déjà récupéré la clé publique depuis le serveur)

Il y a

gpg --fingerprint <identifiant>

en remplaçant par le nom de la clé (tu as --list-keys pour avoir le nom) pour récupérer le fingerprint.
Tu auras un fingerprint sous la forme

7A8F B076 96CC 09A6 1088  A50D B5AF F234 2F3C 1A23

Il y a aussi des commandes dans le genre de

gpg --keyid-format long --keyserver hkp://keyserver.ubuntu.com --recv-keys 0x46181433FBB75451 0xD94AA3F0EFE21092

pour récupérer une clé depuis un serveur de clé.

Dernière modification par Nuliel (Le 07/02/2024, à 22:14)

[ poster un retour de commande ] [ poster une photo ]

Hors ligne

Pages : 1