[Résolu] Installation Tor Browser : problème de vérification signature

[pedrosocio]

Bonjour,

Suite à de récentes actualités, je me suis décidé à installer Tor Browser pour une utilisation occasionnelle.
J'ai consulté des explications par écrit de l'installation en français mais suite à des erreurs, je fais confiance à mon niveau d'anglais et me réfère seulement à la documentation des développeurs de Tor.

J'ai téléchargé Tor sur le site officiel en vérifiant que la connexion soit en HTTPS et en sélectionnant la langue et le système adapté (Linux 64 bits car je suis sur Linux Mint 18.1 Cinnamon 64-bit). J'enregistre de même le fichier ".asc" afin de procéder à la vérification de l'authenticité de la signature numérique. C'est à cette phase que je bloque. . .
Le fichier ".asc" et le dossier "tor-browser-linux64-8.5a10_en-US.tar.xz" sont déplacés dans un dossier que j'ai nommé "Applications-Shell". Ils sont donc ensembles.

Suivant la documentation (https://2019.www.torproject.org/docs/ve ... es.html.en) j'importe une clé qui signe le package :

Code : Tout sélectionner

gpg --keyserver pool.sks-keyservers.net --recv-keys 0x4E2C6E8793298290

puis je vérifie si c'est correct :

Code : Tout sélectionner

gpg --fingerprint 0x4E2C6E8793298290

Après avoir suivi ces procédures, je lance la vérification avec cette requête :

Code : Tout sélectionner

gpg --verify tor-browser-linux64-8.5a10_en-US.tar.xz.asc

Au lieu d'avoir ce message :

Code : Tout sélectionner

gpg: assuming signed data in 'tor-browser-linux64-8.0.8_en-US.tar.xz'
gpg: Signature made Wed 15 Nov 2017 05:52:38 PM CET
gpg:                using RSA key 0xD1483FA6C3C07136
gpg: Good signature from "Tor Browser Developers (signing key) <torbrowser&at;torproject.org>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: EF6E 286D DA85 EA2A 4BA7  DE68 4E2C 6E87 9329 8290
     Subkey fingerprint: A430 0A6B C93C 0877 A445  1486 D148 3FA6 C3C0 7136

Je me retrouve avec celui-ci :

Code : Tout sélectionner

gpg: pas de données signées
gpg: can't hash datafile: erreur d'ouverture de fichier

Je ne comprends pas le problème. Avec le terminal, je me suis déplacé vers le dossier où se trouve mes deux fichiers, dont le ".asc" et mon archive correspondant à tor-browser (tor-browser-linux64-8.5a10_en-US.tar.xz).

Je tiens vraiment à suivre la procédure de vérification de la signature, plutôt que de lancer directement le programme.

Bonne journée.

[cyrille]

Pourquoi ne pas simplement utiliser la version des dépôts officiels de Mint

Code : Tout sélectionner

sudo apt install torbrowser-launcher

?

[pedrosocio]

Pourquoi ne pas simplement utiliser la version des dépôts officiels de Mint

Code : Tout sélectionner

sudo apt install torbrowser-launcher

?

Bonjour Cyrille,

J'ai lu que c'est une installation sûr de le faire manuellement. Je n'ai pas cherché d'alternatives jusqu'ici car face à un blocage, je veux comprendre ce qui coince. ^^

[cyrille]

Comme tu veux

Tu peux faire un ls du dossier qui contient ces 2 fichiers et un cat du fichier de signature, thx

[pedrosocio]

Merci de ta réponse. Voici la réponse à la requête ls :

Code : Tout sélectionner

ls /home/demos/Bureau/Applications-Shell
freeplane-1.7.6            tor-browser-linux64-8.5a10_en-US.tar.xz.asc
Grammalecte-fr-v0.6.5.oxt  tor-browser-linux64-8.5a10_en-US.tar.xz.part
laverna-0.7.51-linux-x64   Zotero_linux-x86_64

(Je mets l'ensemble dans le dossier l'ensemble des logiciels que j'installe manuellement)

Pour la requête cat, voilà ce que ça donne :

Code : Tout sélectionner

cat /home/demos/Bureau/Applications-Shell/tor-browser-linux64-8.5a10_en-US.tar.xz.asc
-----BEGIN PGP SIGNATURE-----
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=R4q3
-----END PGP SIGNATURE-----

J'ai une question, faut-il absolument extraire l'archive tor-browser-linux64-8.5a10_en-US.tar.xz ?

EDIT : face à une question de la sorte, j'ai extrait l'archive, voici ce que ça donne :

Code : Tout sélectionner

ls /home/demos/Bureau/Applications-Shell/tor-browser_en-USBrowser  start-tor-browser.desktop
demos@demos-N55SF ~ $ ls /home/demos/Bureau/Applications-Shell/tor-browser_en-US/Browser
abicheck            libmozavcodec.so  libxul.so
application.ini     libmozavutil.so   omni.ja
browser             libmozgtk.so      pingsender
chrome.manifest     libmozsandbox.so  platform.ini
defaults            libmozsqlite3.so  plugin-container
dependentlibs.list  libnspr4.so       precomplete
dictionaries        libnss3.so        removed-files
execdesktop         libnssckbi.so     start-tor-browser
firefox             libnssdbm3.so     start-tor-browser.desktop
firefox.real        libnssutil3.so    tbb_version.json
fonts               libplc4.so        TorBrowser
gtk2                libplds4.so       updater
icons               libsmime3.so      updater.ini
libfreeblpriv3.so   libsoftokn3.so    update-settings.ini
liblgpllibs.so      libssl3.so

Merci.

[cyrille]

tor-browser-linux64-8.5a10_en-US.tar.xz.part

tu es sur de ne pas avoir coupé le téléchargement, l'extension part c'est quand il est en cours, une fois fini tu devrais avoir : tor-browser-linux64-8.5a10_en-US.tar.xz

Sinon ton fichier asc est correct mais il ne peut vérifier le fichier source puisqu'incomplet

[pedrosocio]

Tu as raison. J'ai du couper-coller trop tôt le fichier avant la fin du téléchargement ^^"
Si je refais le test à nouveau :

Code : Tout sélectionner

ls /home/demos/Bureau/Applications-Shell
freeplane-1.7.6            tor-browser-linux64-8.5a10_en-US.tar.xz
Grammalecte-fr-v0.6.5.oxt  tor-browser-linux64-8.5a10_en-US.tar.xz.asc
laverna-0.7.51-linux-x64   Zotero_linux-x86_64
tor-browser_en-US

Je retente la procédure de vérification.

EDIT : J'ai fait la vérification de la signature en déplaçant dans le dossier où se trouvent mes deux fichiers : requête cd. J'ai ensuite lancé la requête et la réponse est toute autre :

Code : Tout sélectionner

gpg --verify tor-browser-linux64-8.5a10_en-US.tar.xz.asc
gpg: les données signées sont supposées être dans « tor-browser-linux64-8.5a10_en-US.tar.xz »
gpg: Signature faite le sam. 23 mars 2019 19:36:31 CET avec la clef RSA d'identifiant D9FF06E2
gpg: Bonne signature de « Tor Browser Developers (signing key) <torbrowser@torproject.org> »
gpg: Attention : cette clef n'est pas certifiée avec une signature de confiance.
gpg:          Rien n'indique que la signature appartient à son propriétaire.
Empreinte de clef principale : EF6E 286D DA85 EA2A 4BA7  DE68 4E2C 6E87 9329 8290
     Empreinte de la sous-clef : 1107 75B5 D101 FB36 BC6C  911B EB77 4491 D9FF 06E2

Je pense que c'est le signe que tout est bon ^^ car la doc indique ceci :

The output should say "Good signature":

Code : Tout sélectionner

gpg: assuming signed data in 'tor-browser-linux64-8.0.8_en-US.tar.xz'
gpg: Signature made Wed 15 Nov 2017 05:52:38 PM CET
gpg:                using RSA key 0xD1483FA6C3C07136
gpg: Good signature from "Tor Browser Developers (signing key) <torbrowser&at;torproject.org>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: EF6E 286D DA85 EA2A 4BA7  DE68 4E2C 6E87 9329 8290
     Subkey fingerprint: A430 0A6B C93C 0877 A445  1486 D148 3FA6 C3C0 7136

Il m'a fallu un oeil extérieur pour me dire d'où vient l'erreur. Je te remercie beaucoup cyrille ^^

[cyrille]

Cool, enjoy

[david37]

Salut Pedrosocio,

Tu t'es tromper pour le resolu , la nouvelle procedure est de de mettre un attribut de sujet (résolu), voir tuto ici