Vérifier une clé PGP

De Centre de Recherche sur les Anciennes Civilisations
Sauter à la navigation Sauter à la recherche

Avant de télécharger Tor

Pour plus d'informations, consultez le guide sur le site officiel de Tor : https://support.torproject.org/fr/tbb/how-to-verify-signature/

Pour suivre ce guide, l'un des trois programmes suivants doit être utilisé :

  • GNU Privacy Assistant—livré avec le paquetage binaire GPG pour presque toutes les plateformes. Il se trouve généralement dans le même répertoire que la commande gpg. *'Kleopatra—livré avec GnuPG4win (http://gpg4win.org). Il a une interface plus agréable, mais est plus enclin à planter. Il devrait être disponible dans le menu Quick Start après l'installation du programme.*gpg via l'interface de ligne de commande—toujours disponible, mais légèrement plus lourd et sujet aux erreurs. Sur la plupart des systèmes, allez à l'invite de commande et tapez la commande gpg. Sous Windows, la commande est placée dans le répertoire %SystemDrive%\Progra~1\GNU\GnuPG\pub après son installation.

La plupart des paquets exécutables binaires de Tor sont signés par Erinn Clark et peuvent être vérifiés en utilisant sa clé publique PGP.

  1. Obtenir la clé publique PGP
    La clé publique peut être obtenue de plusieurs façons:
    • Le plus simple est d'utiliser hkp://keys.gnupg.net, qui est le serveur de clés par défaut. L'empreinte de la clé publique d'Erinn est 8738 A680 B84B 3031 A630 F2DB 416F 0610 63FE E659. Son ID de clé est 0x' suivi des 8 derniers caractères de l'empreinte digitale &ndash ; à savoir, 0x63FEE659.
      • GNU Privacy Assistant :
        1. Dans le Key Manager, cliquez sur le bouton Preferences (ou sélectionnez-le dans le menu Edit). L'adresse hkp://keys.gnupg.net doit être indiquée dans le champ Serveur de clés par défaut. Cliquez sur OK.
        2. Cliquez sur le menu Serveur et sélectionnez Récupérer les clés. Une petite boîte de dialogue devrait apparaître. Entrez 0x63FEE659 pour Key ID. Cliquez sur OK.
        3. Si la clé est trouvée, elle sera automatiquement importée dans votre trousseau.
      • Kleopatra :
        1. Cliquez sur le menu Settings et sélectionnez Configure Kleopatra. Lorsque la fenêtre de configuration apparaît, allez dans la section Directory Services. Vous devriez voir “hkp://keys.gnupg.net&rdquo ; listé avec le schéma “hkp&rdquo ; et la case “OpenGPG&rdquo ; cochée. Cliquez sur OK.
        2. Avec la fenêtre principale en focus, cliquez sur le bouton Lookup Certificates on Server (avec une image de jumelles), ou sélectionnez-le dans le menu File. La fenêtre de recherche de certificats devrait apparaître.
        3. Entrez 0x63FEE659 dans le champ Rechercher et cliquez sur Rechercher.
        4. Si la clé est trouvée, sélectionnez-la et cliquez sur Importer pour l'importer dans votre trousseau.
      • Ligne de commande:
        Tapez gpg --keyserver hkp://keys.gnupg.net --recv-keys 0x63fee659

    • 'Obtenir la clé d'Erinn en personne
      C'est considéré comme le plus sûr, bien qu'elle soit une personne physique et qu'elle ne puisse pas toujours donner sa clé aux milliers de personnes qui utilisent Tor régulièrement.
      Erinn étant un développeur Debian, vous pourrez peut-être la rencontrer lors d'une conférence sur les logiciels libres, les logiciels à source ouverte ou les technologies de l'information Linux. Avec un peu de chance, il y aura un panneau quelque part affichant une copie papier de sa clé. Dans ce cas, vous pouvez la transcrire dans un fichier clé (voir ci-dessous). Si ce n'est pas le cas, vous pouvez peut-être convenir d'un autre moyen de la transférer (comme une key-signing party).

    • 'Importer la clé à partir d'un fichier de clés
      Généralement, le fichier de clés est obtenu soit en personne (voir ci-dessus), soit en demandant à quelqu'un d'autre de l'exporter à partir d'un trousseau de clés (gpg --export -a 0x63fee659 > erinn_clark.asc), soit par l'intermédiaire d'une URL dédiée (par exemple, http://www.cacert.org/certs/cacert.asc), soit par copier-coller à partir d'une page web (par exemple, http://dev.mysql.com/doc/refman/5.0/fr/checking-gpg-signature.html).

      Il existe un fichier clé à l'adresse http://deb.torproject.org/archive-key.asc qui est utilisé pour vérifier les checksums des Debian et Ubuntu GNU/Linux versions of Tor et Vidalia. Pour les autres systèmes d'exploitation (tels que Windows ou Mac OS), la clé doit être obtenue en utilisant une autre méthode.

      Une fois que l'utilisateur a un fichier clé, la clé peut être importée de la manière suivante :
      • GNU Privacy Assistant :
        1. Dans le Gestionnaire de clés, cliquez sur le bouton Importer. Un sélecteur de fichier devrait apparaître.
        2. Localisez le fichier et cliquez sur Ouvrir. La clé devrait être automatiquement importée.
      • Kleopatra :
        • Glisser-déposer le fichier dans la fenêtre principale. Un menu contextuel apparaît. Choisissez Importer des certificats, ou
        • Cliquez sur le bouton Importer des certificats ou sélectionnez-le dans le menu Fichier. Un sélecteur de fichier devrait s'afficher.
          Localisez le fichier et cliquez sur Ouvrir. La clé devrait être automatiquement importée.
      • Ligne de commande:
        Tapez gpg --import suivi du nom du fichier de signature et appuyez sur <ENTER>. Un émulateur de console moderne vous permettra de glisser-déposer le fichier au lieu de taper son nom.
  2. Vérifiez l'empreinte digitale de la clé en la lisant physiquement.
    • GNU Privacy Assistant :
      1. Dans le Gestionnaire de clés, cliquez sur la colonne ID de la clé pour trier les clés numériquement par ID.
      2. Faites défiler jusqu'à ce que vous atteigniez un élément portant le numéro d'identification 63FEE659. Il devrait porter le nom Erinn Clark <erinn@torproject.org>.
      3. Sélectionnez cet élément.
      4. Dans l'onglet Détails ci-dessous, vous devriez voir une ligne qui dit ID clé : 63FEE659.
      5. Vérifiez que la ligne en dessous indique : 'Empreinte digitale : 8738 A680 B84B 3031 A630 F2DB 416F 0610 63FE E659
    • Kleopatra :
      1. Après avoir importé la clé, elle devrait être listée dans un nouvel onglet nommé Certificats importés. Si ce n'est pas le cas, ouvrez un nouvel onglet avec l'option “All Certificates&rdquo ;.
      2. Recherchez un élément avec Key-ID 63FEE659.
      3. Obtenez les propriétés de la clé en procédant de l'une des manières suivantes :
        • Double-cliquer sur l'élément,
        • en cliquant sur l'élément avec le bouton droit de la souris et en choisissant Détails du certificat, ou
        • Sélectionner l'élément, aller dans le menu Affichage, puis sélectionner Détails du certificat
    • Ligne de commande:
      1. Typez gpg --fingerprint 0x63fee659
      2. Vérifiez que le programme imprime ce qui suit:
pub 2048R/63FEE659 2003-10-16
      Empreinte de la clé = 8738 A680 B84B 3031 A630 F2DB 416F 0610 63FE E659
uid Erinn Clark <erinn@torproject.org>
uid Erinn Clark <erinn@debian.org>
uid Erinn Clark <erinn@double-helix.org>
sub 2048R/EB399FD7 2003-10-16
Récupérée de « https://martouf.ch/crac/index.php?title=Vérifier_une_clé_PGP&oldid=1742 »