Vérification et identification de la signature numérique d'une image ISO

[Linuxing]

Bonjour,

Afin de trouver la signature numérique de mon image ISO concernant Rosa 17.3, je tapai la commande suivante dans le Terminal : md5sum «monimage.iso»

Il va de soi que d'autres commandes sont disponibles telles que «sha256sum «monimage.iso», mais je me limiterai à la première pour mon post.

Une fois la commande exécutée, j'obtiens la signature numérique de mon image ISO

Pour en vérifier l'authenticité, j'ai utilisé GtkHash :



L'intégrité fut confirmée par un petit symbole de validation dans les 2 champs concernés dans l'exemple ci-dessus

Seulement voilà... la vérification visuelle avec la signature renseignée sur le site de Linux Mint n'est plus possible :



En effet, lorsqu'on clique là où j'ai mis la flèche, c'est la signature de la version 18 qu'on obtient

Il semble donc que la vérification des anciennes signatures ne soit plus possible sur le site.

D'autres part, cette vérification par «hachage» a-t-elle la même valeur que la vérification comparée des signatures qui consiste, dans une boîte de dialogue, à faire un copier/coller à la fois de la signature numérique obtenue dans le Terminal et de celle renseignée par les développeurs sur le site concerné ?

Merci pour tout complément d'information

[débitant]

il me semble bien que le MD5sum n'est plus d'actualité sur les LinuxMint, il se servent que du SHA256
as tu lu le tuto https://www.forum-francophone-linuxmint ... 834#p34834?

[Linuxing]

il me semble bien que le MD5sum n'est plus d'actualité sur les LinuxMint, il se servent que du SHA256
as tu lu le tuto https://www.forum-francophone-linuxmint ... 834#p34834?

Salut débitant,

J'ai déjà utilisé le mode de hachage SHA256 avec GtkHash et tout fut vérifié

Ma question portait sur la vérification visuelle que l'on peut faire sur le site de Linux Mint, comme on peut actuellement le faire avec la version 18... mais dans mon cas... avec la version 17.3

[david37]

Salut Linuxing,

Il me semble que tu as échoué à quelques centimètres du bol de sangria
Si, j'ai bien compris, tu voudrais vérifier la somme SHA256 (puisque MD5 n'est plus utilisée pour les iso de Linux Mint) de tes propres yeux pour vérifier que tout concorde et pas seulement croire aveuglément Gtkhash.

Alors, en fait, il faut aller ici: https://ftp.heanet.ie/mirrors/linuxmint ... able/17.3/" onclick="window.open(this.href);return false;
Et tu peux cliquer sur le fichier sha256sum.txt. Tu obtiens alors toutes les signatures sha256 pour chaque iso disponibles pour la LM17.3. pAr exemple, dans ton cas, la LM17.3Mate 64bit, la signature est :
d02bfaae749db966778276a8ae364843c1ffb37b3e1990c205f938bda367ad2a

si t'as pas pareil quand tu tapes dans le terminal:

Code : Tout sélectionner

sha256sum linuxmint-17.3-mate-64bit.iso

alors le fichier que tu as téléchargé est corrompu et faut que tu réessaies.

En gros, pour y'aller, à partir d'ici: https://linuxmint.com/verify.php" onclick="window.open(this.href);return false;
Tu cliques sur "Main mirror" (si tu as téléchargé ton iso depuis le main mirror), puis sur stable et là tu as le choix de version.

PS: D'où vient l'iso que l'on télécharge en torrent ? Est-ce la même que celle du main mirror ?

Voilà, n'hésites pas si t'as besoin de plus d'informations.
David

[AngeDesOmbres]

Et aussi se lien pour toute les version de mint
http://mirrors.ircam.fr/pub/linuxmint-iso/stable/

Bien à toi.

Bye.

[Linuxing]

@ david37 et AngeDesOmbres

Pour d'abord répondre à David quant au choix à faire entre le «torrent» et le «main mirror», je dirais que mes connaissances ne sont pas approfondies.

Je pense toutefois que le «torrent» concerne le partage de fichiers et que le «main mirror» permet le téléchargement intégral du fichier, c'est du moins la méthode que j'ai toujours utilisée.

Les liens fournis par vous deux m'ont permis de faire une vérification visuelle de la signature numérique.

Il reste cependant un truc où j'achoppe :

Sur cette page, aller à «Steps to verify an ISO image» :

https://linuxmint.com/verify.php" onclick="window.open(this.href);return false;

J'ai essayé de faire la manœuvre prescrite dans le Terminal, mais en tapant la signature numérique de mon ISO actuel, j'ai obtenu ceci :

Code : Tout sélectionner

linuxing@linuxing-Satellite-Pro-S300 ~ $ gpg --keyserver keyserver.ubuntu.com --recv-key d02bfaae749db966778276a8ae364843c1ffb37b3e1990c205f938bda367ad2a
gpg: « d02bfaae749db966778276a8ae364843c1ffb37b3e1990c205f938bda367ad2a » n'est pas un identifiant de clef : ignoré
linuxing@linuxing-Satellite-Pro-S300 ~ $ 

J'en conclus qu'une signature numérique n'est pas un identifiant de clé ?

Comment pourrais-je faire cette commande avec mon ISO actuel, car sur le site l'exemple utilisé est la version 18

Merci