[Newbie] Signature d'un fichier et cle publique

Le
Hugolino
Bonjour à tous

Je suis un newbie total en sécurité, et pour la preemière fois, j'ai
décidé de vérifier l'intégrité d'un fichier, le patch-2.6.6.bz2 du noyau
Linux.
Comme marqué dans la doc, je fais deux fois de suite:
gpg --keyserver wwwkeys.pgp.net --recv-keys 0x517DF0E

Et ça répond:
gpg: clé 517D0F0E: "Linux Kernel Archives Verification Key
<ftpadmin@kernel.org>" 2 nouveles signatures

Je lance la commande:
gpg --fingerprint

Et je vérifie sur <http://www.kernel.org/signature.html> qu'il s'agit
bien du même fingerprint.
Je lance ensuite la commande:
gpg --verify patch-2.6.6.bz2.sign patch-2.6.6.bz2

Et ça dit:
gpg: Signature faite lun 10 mai 2004 05:36:42 CEST avec la clé DSA ID
517D0F0E
gpg: Bonne signature de "Linux Kernel Archives Verification Key
<ftpadmin@kernel.org>"
gpg: alias "Linux Kernel Archives Verification Key
<ftpadmin@kernel.org>"
gpg: vérifier la base de confiance
gpg: aucune clé de confiance ultime n'a été trouvée
gpg: ATTENTION: Cette clé n'est pas certifiée avec une signature de
confiance !
gpg: Rien ne dit que la signature appartient à son
propriétaire.
Empreinte de clé principale: C75D C40A 11D7 AF88 9981 ED5B C86B A06A
517D 0F0E


Je comprends bien qu'en fait gpg a seulement vérifier que mon
patch-2.6.6.bz2 a été signé par la clé publique que j'ai vérifiée sur le
site <http://www.kernel.org/signature.html>.

Je comprends aussi qu'il faudrait que je lise de la doc pour pouvoir
comprendre cette sombre histoire de "clé de confiance". S'agirait-il
pour moi de maintenir sur ma babasse une liste des clés (publiques ?)
des personnes dites "de confiance" ?

Merci de répondre à mes question ? (un p'tit RTFM, quoi :)


--
Hugo NPN (i --> ee)
> Voici mon problème, j'ai deux PCs relies par des cartes ethernet,
> configures avec le protocole PPP.
-+- Romain in Guide du linuxien pervers - "Ils sont fous ces romains !" -+-
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Cedric Blancher
Le #235851
Le Mon, 14 Jun 2004 13:21:23 +0000, Hugolino a écrit :
Je comprends aussi qu'il faudrait que je lise de la doc pour pouvoir
comprendre cette sombre histoire de "clé de confiance". S'agirait-il
pour moi de maintenir sur ma babasse une liste des clés (publiques ?)
des personnes dites "de confiance" ?


Les clés PGP sont certifiées de la façon suivante.

Dans ton keyring, tu as un certain nombre de clés publiques auxquelles tu
accorde une certaine confiance lorsque tu les signes. Quand tu reçois une
nouvelle clé, cette clé arrive signée par d'autres clés publiques. Si
une de ces clés publiques est dans ton keyring, la clé que tu viens de
recevoir hérite d'un certain niveau de confiance, du fait qu'elle est
signée par un clé (i.e. quelqu'un) à laquelle tu accordes déjà de la
confiance.

Dans ton cas, aucune clé de confiance de ton keyring n'a été utilisée
pour signer la clé "Linux Kernel Archives Verification Key", et donc GPG
ne peut pas lui faire confiance. Maintenant, si tu signes cette clé avec
la tienne (en laquelle tu as une confiance maximale) en lui disant que
c'est bon, que tu as vérifié et tout et tout, ça va disparaître, parce
que GPG verra la clé signée par une clé de confiance. Vala.

C'est vrai que RTFM, ça aurait été pas mal ;)


--
JK: Y a-t-il un mot français pour tamagotchi (cette petite bête électronique) ?
JR: J'ai en préparation un cathogauchi pour PC. Dès qu'il sera prêt je le poste.
-+- in: Guide du Cabaliste Usenet - L'écran catholique de la Cabale -+-

Eric Masson
Le #235850
"hugolino" == hugolino





Bonjour,

Ce post a été approuvé malgré le fait que son auteur ait effectivement
eu la flemme de lire la doc du soft en question.

Le refuse.hotline a été évité car le site de gnupg ne semble pas
mentionner de référence générale au fonctionnement de la "toile de
confiance" (Trust Ring)

hugolino> ATTENTION: Cette clé n'est pas certifiée avec une signature
hugolino> de confiance ! gpg: Rien ne dit que la signature appartient à
hugolino> son propriétaire.

http://nomis80.org/cryptographie/node41.html
http://www.cs.ucl.ac.uk/staff/F.AbdulRahman/docs/pgptrust.html

Eric Masson
Co modérateur de fr.comp.securite

--
salut c Herve je voulais savoir si tu puvais m'envoyer le crack pour
wingate.
-+- Is in




Hugolino
Le #235821
Le 14 Jun 2004 13:29:25 GMT, Cedric Blancher a écrit:
Le Mon, 14 Jun 2004 13:21:23 +0000, Hugolino a écrit :
Je comprends aussi qu'il faudrait que je lise de la doc pour pouvoir
comprendre cette sombre histoire de "clé de confiance". S'agirait-il
pour moi de maintenir sur ma babasse une liste des clés (publiques ?)
des personnes dites "de confiance" ?


Les clés PGP sont certifiées de la façon suivante.

Dans ton keyring, tu as un certain nombre de clés publiques auxquelles tu
accorde une certaine confiance lorsque tu les signes. Quand tu reçois une
nouvelle clé, cette clé arrive signée par d'autres clés publiques. Si
une de ces clés publiques est dans ton keyring, la clé que tu viens de
recevoir hérite d'un certain niveau de confiance, du fait qu'elle est
signée par un clé (i.e. quelqu'un) à laquelle tu accordes déjà de la
confiance.

Dans ton cas, aucune clé de confiance de ton keyring n'a été utilisée
pour signer la clé "Linux Kernel Archives Verification Key", et donc GPG
ne peut pas lui faire confiance. Maintenant, si tu signes cette clé avec
la tienne (en laquelle tu as une confiance maximale) en lui disant que
c'est bon, que tu as vérifié et tout et tout, ça va disparaître, parce
que GPG verra la clé signée par une clé de confiance. Vala.

C'est vrai que RTFM, ça aurait été pas mal ;)


Oui mais ton exposé lève un gros doute: je ne connaissais pas la
distinction entre une clé et un signature, donc je ne pouvais pas savoir
qu'il était possible de signer une clé.

Bref tu me mets le pied à l'étrier.

Merci de ton aide


--
<nbc> dev/hda10: Invalid argument passed to ext2 library while setting
<nbc> GRRR, me faire ca a moi a cette heure la juste avant le grog du soir
<Ol> trooooonçoonneuuuuse
-+- Ol in Guide du linuxien pervers - "Monsieur connait ses classiques."


Publicité
Poster une réponse
Anonyme