Résolu le 8-06-19 comment vérifier la signature d'un logiciel avec pgp

Assistance concernant Linux Mint
Répondre
magnux
Messages : 12
Enregistré le : mar. 28 mai 2019 21:53

comment vérifier la signature d'un logiciel avec pgp

Message par magnux »

Bonjour,
Est-ce que vous pourriez m'expliquer comment vérifier une signature numérique d'un logiciel installé avec pgp?
Dans mon cas ce serait pour installer veracrypt qui n'est malheureusement pas disponible fans le gestionnaire de logiciels.
J'ai téléchargé le fichier à décompresser contenant le logiciel (veracrypt-1.23-setup.tar.bz2), sa signature pgp (veracrypt-1.23-setup.tar.bz2.sig) et essayé de comprendre comment vérifier le fichier avec les informations notés sur le site de veracrypt (https://www.veracrypt.fr/en/Digital%20Signatures.html) et grâce à des vidéos mais je n'ai pas compris.

Avatar du membre
cyrille
Administrateur du site
Messages : 12285
Enregistré le : mar. 19 sept. 2017 08:49
Localisation : Nowhere
Contact :

Re: comment vérifier la signature d'un logiciel avec pgp

Message par cyrille »

?séuqartéd sel ruoP / sécnoféd sel ruoP / sreiruréB sel ruoP / ?étéicos elleuQ

https://crust.ovh

magnux
Messages : 12
Enregistré le : mar. 28 mai 2019 21:53

Re: comment vérifier la signature d'un logiciel avec pgp

Message par magnux »

Merci pour l'aide mais j'ai suivit ce qui les étapes du site et ai écrit:
gpg --verify '/home/magnux/Téléchargements/veracrypt-1.23-setup.tar.bz2.sig' '/home/magnux/Téléchargements/veracrypt-1.23-setup.tar.bz2'

l'ordinateur me répond:
gpg: Signature faite le jeu. 13 sept. 2018 00:50:49 CEST
gpg: avec la clef RSA 5069A233D55A0EEB174A5FC3821ACD02680D16DE
gpg: Impossible de vérifier la signature : Pas de clef publique
Ceci confirme donc la clef RSA dit sur le site de veracrypt (https://www.veracrypt.fr/en/Digital%20Signatures.html) mais il faut que j'importe la clé public.

Alors j'ai écrit les commandes du site veracrypt:
gpg --import VeraCrypt_PGP_public_key.asc

mais l'ordinateur répond:
gpg: key 821ACD02680D16DE: 1 signature not checked due to a missing key
gpg: aucun porte-clefs accessible en écriture n'a été trouvé : Non trouvé
gpg: erreur de lecture de « VeraCrypt_PGP_public_key.asc » : Erreur générale
gpg: import from 'VeraCrypt_PGP_public_key.asc' failed: Erreur générale
gpg: Quantité totale traitée : 0

Je me suis dit que peut être en lui disant où est le fichier à importé sur mon ordinateur l'importation marcherait et j'ai écrit:
gpg --import '/home/magnux/VeraCrypt_PGP_public_key.asc'

mais il répond la même réponse:
gpg: key 821ACD02680D16DE: 1 signature not checked due to a missing key
gpg: aucun porte-clefs accessible en écriture n'a été trouvé : Non trouvé
gpg: erreur de lecture de « /home/magnux/VeraCrypt_PGP_public_key.asc » : Erreur générale
gpg: import from '/home/magnux/VeraCrypt_PGP_public_key.asc' failed: Erreur générale
gpg: Quantité totale traitée : 0

S'il vous plaît pourriez-vous me dire ce que je dois faire faire?
Est ce que c'est ma clé pgp (téléchargé sur le site indiqué de veracrypt et donc https://www.idrix.fr/VeraCrypt/VeraCryp ... ic_key.asc) qui n'est pas bonne?

Avatar du membre
Kif
Messages : 47
Enregistré le : lun. 24 sept. 2018 11:53

Re: comment vérifier la signature d'un logiciel avec pgp

Message par Kif »

bonjour,
je viens d' essayer et ça fonctionne chez moi,
j' ai téléchargé sur le site le nécessaire, créé un dossier veracrypt, téléchargé la clé avec mots de passe et clés ( gérer vos mots de passe et clés de chiffrement)
ensuite je me suis positionné dans ce dossier et ouvert un terminal puis tapé la commande de vérification utile gpg --verify veracrypt-1.23-setup.tar.bz2.sig veracrypt-1.23-setup.tar.bz2,
voici le retour:
~/Téléchargements/veracrypt $ gpg --verify veracrypt-1.23-setup.tar.bz2.sig veracrypt-1.23-setup.tar.bz2
gpg: Signature faite le jeu. 13 sept. 2018 00:50:49 CEST avec la clef RSA d'identifiant 680D16DE
gpg: Bonne signature de « VeraCrypt Team (2018 - Supersedes Key ID=0x54DDD393) <veracrypt@idrix.fr> »
gpg: Attention : cette clef n'est pas certifiée avec une signature de confiance.
gpg: Rien n'indique que la signature appartient à son propriétaire.
Empreinte de clef principale : 5069 A233 D55A 0EEB 174A 5FC3 821A CD02 680D 16DE

vous devriez y arriver
cdlt

magnux
Messages : 12
Enregistré le : mar. 28 mai 2019 21:53

Re: comment vérifier la signature d'un logiciel avec pgp

Message par magnux »

je viens d'avoir tapé les même commandes que vous mais j'ai toujours le message d'erreur, donc j'en déduis que je n'ai pas installé le nécessaire.
Qu'avez vous fait?
Moi j'ai seulement téléchargé:
veracrypt-1.23-setup.tar.bz2
veracrypt-1.23-setup.tar.bz2.sig
VeraCrypt_PGP_public_key.asc
Avez-vous fais autre chose à part mettre les mettre dans un même dossier.
Merci pour votre aide
Cordialement
Magnux

Avatar du membre
Kif
Messages : 47
Enregistré le : lun. 24 sept. 2018 11:53

Re: comment vérifier la signature d'un logiciel avec pgp

Message par Kif »

également
https://launchpad.net/veracrypt/trunk/1 ... um.txt.sig
pour contrôler que tout s' est bien passé

Avez-vous la clé veracrypt team bien installée ?

Image

si ce n' est pas le cas, cliquer sur distant/chercher des clés distantes/en l' occurence 0x54DDD393

magnux
Messages : 12
Enregistré le : mar. 28 mai 2019 21:53

Re: comment vérifier la signature d'un logiciel avec pgp

Message par magnux »

J'ai ajouté la clé et la vérification à fonctionné.
Je remerci tous ceux qui m'ont aidé, en particulier Kif, et qui m'ont accordé du temps.

zeb
Messages : 16473
Enregistré le : ven. 19 juin 2015 22:13
Localisation : plus ici

Re: comment vérifier la signature d'un logiciel avec pgp

Message par zeb »

Bonjour,
Je rappelle que le sujet est signalé résolu ;)
Merci aussi d'utiliser les balises code car certains messages en deviennent presque illisibles.

Répondre