Je suis un newbie total en sécurité, et pour la preemière fois, j'ai
décidé de vérifier l'intégrité d'un fichier, le patch-2.6.6.bz2 du noyau
Linux.
Comme marqué dans la doc, je fais deux fois de suite:
gpg --keyserver wwwkeys.pgp.net --recv-keys 0x517DF0E
Et ça répond:
gpg: clé 517D0F0E: "Linux Kernel Archives Verification Key
<ftpadmin@kernel.org>" 2 nouveles signatures
Je lance la commande:
gpg --fingerprint
Et je vérifie sur <http://www.kernel.org/signature.html> qu'il s'agit
bien du même fingerprint.
Je lance ensuite la commande:
gpg --verify patch-2.6.6.bz2.sign patch-2.6.6.bz2
Et ça dit:
gpg: Signature faite lun 10 mai 2004 05:36:42 CEST avec la clé DSA ID
517D0F0E
gpg: Bonne signature de "Linux Kernel Archives Verification Key
<ftpadmin@kernel.org>"
gpg: alias "Linux Kernel Archives Verification Key
<ftpadmin@kernel.org>"
gpg: vérifier la base de confiance
gpg: aucune clé de confiance ultime n'a été trouvée
gpg: ATTENTION: Cette clé n'est pas certifiée avec une signature de
confiance !
gpg: Rien ne dit que la signature appartient à son
propriétaire.
Empreinte de clé principale: C75D C40A 11D7 AF88 9981 ED5B C86B A06A
517D 0F0E
Je comprends bien qu'en fait gpg a seulement vérifier que mon
patch-2.6.6.bz2 a été signé par la clé publique que j'ai vérifiée sur le
site <http://www.kernel.org/signature.html>.
Je comprends aussi qu'il faudrait que je lise de la doc pour pouvoir
comprendre cette sombre histoire de "clé de confiance". S'agirait-il
pour moi de maintenir sur ma babasse une liste des clés (publiques ?)
des personnes dites "de confiance" ?
Merci de répondre à mes question ? (un p'tit RTFM, quoi :)
--
Hugo NPN (i --> ee)
> Voici mon problème, j'ai deux PCs relies par des cartes ethernet,
> configures avec le protocole PPP.
-+- Romain in Guide du linuxien pervers - "Ils sont fous ces romains !" -+-
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Cedric Blancher
Le Mon, 14 Jun 2004 13:21:23 +0000, Hugolino a écrit :
Je comprends aussi qu'il faudrait que je lise de la doc pour pouvoir comprendre cette sombre histoire de "clé de confiance". S'agirait-il pour moi de maintenir sur ma babasse une liste des clés (publiques ?) des personnes dites "de confiance" ?
Les clés PGP sont certifiées de la façon suivante.
Dans ton keyring, tu as un certain nombre de clés publiques auxquelles tu accorde une certaine confiance lorsque tu les signes. Quand tu reçois une nouvelle clé, cette clé arrive signée par d'autres clés publiques. Si une de ces clés publiques est dans ton keyring, la clé que tu viens de recevoir hérite d'un certain niveau de confiance, du fait qu'elle est signée par un clé (i.e. quelqu'un) à laquelle tu accordes déjà de la confiance.
Dans ton cas, aucune clé de confiance de ton keyring n'a été utilisée pour signer la clé "Linux Kernel Archives Verification Key", et donc GPG ne peut pas lui faire confiance. Maintenant, si tu signes cette clé avec la tienne (en laquelle tu as une confiance maximale) en lui disant que c'est bon, que tu as vérifié et tout et tout, ça va disparaître, parce que GPG verra la clé signée par une clé de confiance. Vala.
C'est vrai que RTFM, ça aurait été pas mal ;)
-- JK: Y a-t-il un mot français pour tamagotchi (cette petite bête électronique) ? JR: J'ai en préparation un cathogauchi pour PC. Dès qu'il sera prêt je le poste. -+- in: Guide du Cabaliste Usenet - L'écran catholique de la Cabale -+-
Le Mon, 14 Jun 2004 13:21:23 +0000, Hugolino a écrit :
Je comprends aussi qu'il faudrait que je lise de la doc pour pouvoir
comprendre cette sombre histoire de "clé de confiance". S'agirait-il
pour moi de maintenir sur ma babasse une liste des clés (publiques ?)
des personnes dites "de confiance" ?
Les clés PGP sont certifiées de la façon suivante.
Dans ton keyring, tu as un certain nombre de clés publiques auxquelles tu
accorde une certaine confiance lorsque tu les signes. Quand tu reçois une
nouvelle clé, cette clé arrive signée par d'autres clés publiques. Si
une de ces clés publiques est dans ton keyring, la clé que tu viens de
recevoir hérite d'un certain niveau de confiance, du fait qu'elle est
signée par un clé (i.e. quelqu'un) à laquelle tu accordes déjà de la
confiance.
Dans ton cas, aucune clé de confiance de ton keyring n'a été utilisée
pour signer la clé "Linux Kernel Archives Verification Key", et donc GPG
ne peut pas lui faire confiance. Maintenant, si tu signes cette clé avec
la tienne (en laquelle tu as une confiance maximale) en lui disant que
c'est bon, que tu as vérifié et tout et tout, ça va disparaître, parce
que GPG verra la clé signée par une clé de confiance. Vala.
C'est vrai que RTFM, ça aurait été pas mal ;)
--
JK: Y a-t-il un mot français pour tamagotchi (cette petite bête électronique) ?
JR: J'ai en préparation un cathogauchi pour PC. Dès qu'il sera prêt je le poste.
-+- in: Guide du Cabaliste Usenet - L'écran catholique de la Cabale -+-
Le Mon, 14 Jun 2004 13:21:23 +0000, Hugolino a écrit :
Je comprends aussi qu'il faudrait que je lise de la doc pour pouvoir comprendre cette sombre histoire de "clé de confiance". S'agirait-il pour moi de maintenir sur ma babasse une liste des clés (publiques ?) des personnes dites "de confiance" ?
Les clés PGP sont certifiées de la façon suivante.
Dans ton keyring, tu as un certain nombre de clés publiques auxquelles tu accorde une certaine confiance lorsque tu les signes. Quand tu reçois une nouvelle clé, cette clé arrive signée par d'autres clés publiques. Si une de ces clés publiques est dans ton keyring, la clé que tu viens de recevoir hérite d'un certain niveau de confiance, du fait qu'elle est signée par un clé (i.e. quelqu'un) à laquelle tu accordes déjà de la confiance.
Dans ton cas, aucune clé de confiance de ton keyring n'a été utilisée pour signer la clé "Linux Kernel Archives Verification Key", et donc GPG ne peut pas lui faire confiance. Maintenant, si tu signes cette clé avec la tienne (en laquelle tu as une confiance maximale) en lui disant que c'est bon, que tu as vérifié et tout et tout, ça va disparaître, parce que GPG verra la clé signée par une clé de confiance. Vala.
C'est vrai que RTFM, ça aurait été pas mal ;)
-- JK: Y a-t-il un mot français pour tamagotchi (cette petite bête électronique) ? JR: J'ai en préparation un cathogauchi pour PC. Dès qu'il sera prêt je le poste. -+- in: Guide du Cabaliste Usenet - L'écran catholique de la Cabale -+-
Eric Masson
"hugolino" == hugolino writes:
Bonjour,
Ce post a été approuvé malgré le fait que son auteur ait effectivement eu la flemme de lire la doc du soft en question.
Le refuse.hotline a été évité car le site de gnupg ne semble pas mentionner de référence générale au fonctionnement de la "toile de confiance" (Trust Ring)
hugolino> ATTENTION: Cette clé n'est pas certifiée avec une signature hugolino> de confiance ! gpg: Rien ne dit que la signature appartient à hugolino> son propriétaire.
-- salut c Herve je voulais savoir si tu puvais m'envoyer le crack pour wingate. -+- Is in <http://www.le-gnu.net/> - Je lui fais crack-crack -+-
"hugolino" == hugolino <hugolino@fri.fr> writes:
Bonjour,
Ce post a été approuvé malgré le fait que son auteur ait effectivement
eu la flemme de lire la doc du soft en question.
Le refuse.hotline a été évité car le site de gnupg ne semble pas
mentionner de référence générale au fonctionnement de la "toile de
confiance" (Trust Ring)
hugolino> ATTENTION: Cette clé n'est pas certifiée avec une signature
hugolino> de confiance ! gpg: Rien ne dit que la signature appartient à
hugolino> son propriétaire.
Ce post a été approuvé malgré le fait que son auteur ait effectivement eu la flemme de lire la doc du soft en question.
Le refuse.hotline a été évité car le site de gnupg ne semble pas mentionner de référence générale au fonctionnement de la "toile de confiance" (Trust Ring)
hugolino> ATTENTION: Cette clé n'est pas certifiée avec une signature hugolino> de confiance ! gpg: Rien ne dit que la signature appartient à hugolino> son propriétaire.
-- salut c Herve je voulais savoir si tu puvais m'envoyer le crack pour wingate. -+- Is in <http://www.le-gnu.net/> - Je lui fais crack-crack -+-
Hugolino
Le 14 Jun 2004 13:29:25 GMT, Cedric Blancher a écrit:
Le Mon, 14 Jun 2004 13:21:23 +0000, Hugolino a écrit :
Je comprends aussi qu'il faudrait que je lise de la doc pour pouvoir comprendre cette sombre histoire de "clé de confiance". S'agirait-il pour moi de maintenir sur ma babasse une liste des clés (publiques ?) des personnes dites "de confiance" ?
Les clés PGP sont certifiées de la façon suivante.
Dans ton keyring, tu as un certain nombre de clés publiques auxquelles tu accorde une certaine confiance lorsque tu les signes. Quand tu reçois une nouvelle clé, cette clé arrive signée par d'autres clés publiques. Si une de ces clés publiques est dans ton keyring, la clé que tu viens de recevoir hérite d'un certain niveau de confiance, du fait qu'elle est signée par un clé (i.e. quelqu'un) à laquelle tu accordes déjà de la confiance.
Dans ton cas, aucune clé de confiance de ton keyring n'a été utilisée pour signer la clé "Linux Kernel Archives Verification Key", et donc GPG ne peut pas lui faire confiance. Maintenant, si tu signes cette clé avec la tienne (en laquelle tu as une confiance maximale) en lui disant que c'est bon, que tu as vérifié et tout et tout, ça va disparaître, parce que GPG verra la clé signée par une clé de confiance. Vala.
C'est vrai que RTFM, ça aurait été pas mal ;)
Oui mais ton exposé lève un gros doute: je ne connaissais pas la distinction entre une clé et un signature, donc je ne pouvais pas savoir qu'il était possible de signer une clé.
Bref tu me mets le pied à l'étrier.
Merci de ton aide
-- <nbc> dev/hda10: Invalid argument passed to ext2 library while setting <nbc> GRRR, me faire ca a moi a cette heure la juste avant le grog du soir <Ol> trooooonçoonneuuuuse -+- Ol in Guide du linuxien pervers - "Monsieur connait ses classiques."
Le 14 Jun 2004 13:29:25 GMT, Cedric Blancher a écrit:
Le Mon, 14 Jun 2004 13:21:23 +0000, Hugolino a écrit :
Je comprends aussi qu'il faudrait que je lise de la doc pour pouvoir
comprendre cette sombre histoire de "clé de confiance". S'agirait-il
pour moi de maintenir sur ma babasse une liste des clés (publiques ?)
des personnes dites "de confiance" ?
Les clés PGP sont certifiées de la façon suivante.
Dans ton keyring, tu as un certain nombre de clés publiques auxquelles tu
accorde une certaine confiance lorsque tu les signes. Quand tu reçois une
nouvelle clé, cette clé arrive signée par d'autres clés publiques. Si
une de ces clés publiques est dans ton keyring, la clé que tu viens de
recevoir hérite d'un certain niveau de confiance, du fait qu'elle est
signée par un clé (i.e. quelqu'un) à laquelle tu accordes déjà de la
confiance.
Dans ton cas, aucune clé de confiance de ton keyring n'a été utilisée
pour signer la clé "Linux Kernel Archives Verification Key", et donc GPG
ne peut pas lui faire confiance. Maintenant, si tu signes cette clé avec
la tienne (en laquelle tu as une confiance maximale) en lui disant que
c'est bon, que tu as vérifié et tout et tout, ça va disparaître, parce
que GPG verra la clé signée par une clé de confiance. Vala.
C'est vrai que RTFM, ça aurait été pas mal ;)
Oui mais ton exposé lève un gros doute: je ne connaissais pas la
distinction entre une clé et un signature, donc je ne pouvais pas savoir
qu'il était possible de signer une clé.
Bref tu me mets le pied à l'étrier.
Merci de ton aide
--
<nbc> dev/hda10: Invalid argument passed to ext2 library while setting
<nbc> GRRR, me faire ca a moi a cette heure la juste avant le grog du soir
<Ol> trooooonçoonneuuuuse
-+- Ol in Guide du linuxien pervers - "Monsieur connait ses classiques."
Le 14 Jun 2004 13:29:25 GMT, Cedric Blancher a écrit:
Le Mon, 14 Jun 2004 13:21:23 +0000, Hugolino a écrit :
Je comprends aussi qu'il faudrait que je lise de la doc pour pouvoir comprendre cette sombre histoire de "clé de confiance". S'agirait-il pour moi de maintenir sur ma babasse une liste des clés (publiques ?) des personnes dites "de confiance" ?
Les clés PGP sont certifiées de la façon suivante.
Dans ton keyring, tu as un certain nombre de clés publiques auxquelles tu accorde une certaine confiance lorsque tu les signes. Quand tu reçois une nouvelle clé, cette clé arrive signée par d'autres clés publiques. Si une de ces clés publiques est dans ton keyring, la clé que tu viens de recevoir hérite d'un certain niveau de confiance, du fait qu'elle est signée par un clé (i.e. quelqu'un) à laquelle tu accordes déjà de la confiance.
Dans ton cas, aucune clé de confiance de ton keyring n'a été utilisée pour signer la clé "Linux Kernel Archives Verification Key", et donc GPG ne peut pas lui faire confiance. Maintenant, si tu signes cette clé avec la tienne (en laquelle tu as une confiance maximale) en lui disant que c'est bon, que tu as vérifié et tout et tout, ça va disparaître, parce que GPG verra la clé signée par une clé de confiance. Vala.
C'est vrai que RTFM, ça aurait été pas mal ;)
Oui mais ton exposé lève un gros doute: je ne connaissais pas la distinction entre une clé et un signature, donc je ne pouvais pas savoir qu'il était possible de signer une clé.
Bref tu me mets le pied à l'étrier.
Merci de ton aide
-- <nbc> dev/hda10: Invalid argument passed to ext2 library while setting <nbc> GRRR, me faire ca a moi a cette heure la juste avant le grog du soir <Ol> trooooonçoonneuuuuse -+- Ol in Guide du linuxien pervers - "Monsieur connait ses classiques."
