Je suis "souffle" par la clarte, les competante et finalement la
pedagogie de l'auteur de ce howto...
Je suis vraiment plein d'admiration et de respect....
J'en profite quand meme pour poser une tite question
dans le cadre d'une installation d'un package ou d'un programme
il m'arrive souvent de tomber sur un msg d'alerte qui me dit que ce pgm
n'est PAS signé ou que cette signature n'est PAS valide....
ca veut dire quoi ca?
On installe pas? ou on installe quand meme?
Louis
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Red
Le Samedi 19 Juin 2004 22:03 Louis SIMON a écrit ceci :
Je suis "souffle" par la clarte, les competante et finalement la pedagogie de l'auteur de ce howto... Je suis vraiment plein d'admiration et de respect....
J'en profite quand meme pour poser une tite question dans le cadre d'une installation d'un package ou d'un programme il m'arrive souvent de tomber sur un msg d'alerte qui me dit que ce pgm n'est PAS signé ou que cette signature n'est PAS valide.... ca veut dire quoi ca? On installe pas? ou on installe quand meme? Louis
Bonsoir, (C'est ce que l'on dit en général au début d'un post?) J'ai déjà eu ce message. J'ai installé et ça à marché. J'avais posé la même question sur ce forum et n'ai pas eu d'information concrète.
Quelqu'un a-t-il une idée ? Red
Le Samedi 19 Juin 2004 22:03 Louis SIMON a écrit ceci :
Je suis "souffle" par la clarte, les competante et finalement la
pedagogie de l'auteur de ce howto...
Je suis vraiment plein d'admiration et de respect....
J'en profite quand meme pour poser une tite question
dans le cadre d'une installation d'un package ou d'un programme
il m'arrive souvent de tomber sur un msg d'alerte qui me dit que ce pgm
n'est PAS signé ou que cette signature n'est PAS valide....
ca veut dire quoi ca?
On installe pas? ou on installe quand meme?
Louis
Bonsoir,
(C'est ce que l'on dit en général au début d'un post?)
J'ai déjà eu ce message. J'ai installé et ça à marché.
J'avais posé la même question sur ce forum et n'ai pas eu d'information
concrète.
Le Samedi 19 Juin 2004 22:03 Louis SIMON a écrit ceci :
Je suis "souffle" par la clarte, les competante et finalement la pedagogie de l'auteur de ce howto... Je suis vraiment plein d'admiration et de respect....
J'en profite quand meme pour poser une tite question dans le cadre d'une installation d'un package ou d'un programme il m'arrive souvent de tomber sur un msg d'alerte qui me dit que ce pgm n'est PAS signé ou que cette signature n'est PAS valide.... ca veut dire quoi ca? On installe pas? ou on installe quand meme? Louis
Bonsoir, (C'est ce que l'on dit en général au début d'un post?) J'ai déjà eu ce message. J'ai installé et ça à marché. J'avais posé la même question sur ce forum et n'ai pas eu d'information concrète.
Quelqu'un a-t-il une idée ? Red
Nicolas George
Louis SIMON wrote in message <40d49d08$0$9541$:
J'en profite quand meme pour poser une tite question dans le cadre d'une installation d'un package ou d'un programme il m'arrive souvent de tomber sur un msg d'alerte qui me dit que ce pgm n'est PAS signé ou que cette signature n'est PAS valide.... ca veut dire quoi ca?
Sans contexte, on ne peut que deviner. Il existe des dispositifs pour prouver l'authenticité d'un fichier, on appelle ça une signature électronique. Certains systèmes de packages permettent de l'incorporer directement au package. Que le package n'est pas signé, ça veut probablement dire qu'il n'y a simplement pas de signature dedans. En revanche, une signature est invalide, c'est signe d'un faux. Une autre possibilité est que la signature soit valide, mais que la clef qui l'a produite soit inconnue.
On installe pas? ou on installe quand meme?
Si la signature est invalide, il faut se méfier, mais ça n'arrivera jamais. Si c'est uniquement l'absence de signature ou une clef inconnue, ça se ramène uniquement à la question : fait-on confiance à ce site web/serveur FTP/miroire, et au fournisseur d'accès ?
Louis SIMON wrote in message <40d49d08$0$9541$a0ced6e1@news.skynet.be>:
J'en profite quand meme pour poser une tite question
dans le cadre d'une installation d'un package ou d'un programme
il m'arrive souvent de tomber sur un msg d'alerte qui me dit que ce pgm
n'est PAS signé ou que cette signature n'est PAS valide....
ca veut dire quoi ca?
Sans contexte, on ne peut que deviner. Il existe des dispositifs pour
prouver l'authenticité d'un fichier, on appelle ça une signature
électronique. Certains systèmes de packages permettent de l'incorporer
directement au package. Que le package n'est pas signé, ça veut
probablement dire qu'il n'y a simplement pas de signature dedans. En
revanche, une signature est invalide, c'est signe d'un faux. Une autre
possibilité est que la signature soit valide, mais que la clef qui l'a
produite soit inconnue.
On installe pas? ou on installe quand meme?
Si la signature est invalide, il faut se méfier, mais ça n'arrivera
jamais. Si c'est uniquement l'absence de signature ou une clef inconnue,
ça se ramène uniquement à la question : fait-on confiance à ce site
web/serveur FTP/miroire, et au fournisseur d'accès ?
J'en profite quand meme pour poser une tite question dans le cadre d'une installation d'un package ou d'un programme il m'arrive souvent de tomber sur un msg d'alerte qui me dit que ce pgm n'est PAS signé ou que cette signature n'est PAS valide.... ca veut dire quoi ca?
Sans contexte, on ne peut que deviner. Il existe des dispositifs pour prouver l'authenticité d'un fichier, on appelle ça une signature électronique. Certains systèmes de packages permettent de l'incorporer directement au package. Que le package n'est pas signé, ça veut probablement dire qu'il n'y a simplement pas de signature dedans. En revanche, une signature est invalide, c'est signe d'un faux. Une autre possibilité est que la signature soit valide, mais que la clef qui l'a produite soit inconnue.
On installe pas? ou on installe quand meme?
Si la signature est invalide, il faut se méfier, mais ça n'arrivera jamais. Si c'est uniquement l'absence de signature ou une clef inconnue, ça se ramène uniquement à la question : fait-on confiance à ce site web/serveur FTP/miroire, et au fournisseur d'accès ?
françois
Red wrote:
Le Samedi 19 Juin 2004 22:03 Louis SIMON a écrit ceci :
Je suis "souffle" par la clarte, les competante et finalement la pedagogie de l'auteur de ce howto... Je suis vraiment plein d'admiration et de respect....
J'en profite quand meme pour poser une tite question dans le cadre d'une installation d'un package ou d'un programme il m'arrive souvent de tomber sur un msg d'alerte qui me dit que ce pgm n'est PAS signé ou que cette signature n'est PAS valide.... ca veut dire quoi ca? On installe pas? ou on installe quand meme? Louis
Bonsoir, (C'est ce que l'on dit en général au début d'un post?) J'ai déjà eu ce message. J'ai installé et ça à marché. J'avais posé la même question sur ce forum et n'ai pas eu d'information concrète.
Quelqu'un a-t-il une idée ? Red
Bonsoir,
pour éviter de récupérer des fichiers compromis lors de leurs stockage sur serveur , ou pendant leur rapatriemment par ftp (ou autres d'ailleurs) ,on (les responsables) applique sur ce(s) fichier un algo connue (comme md5 au hasard) le résultat de ce calcul est unique et ne peut correspondre qu'au fichier auquel l'algo a était appliquer .
==> résultat :
il suffit de récupérer ce résultat (que l'on appel aussi somme de contrôle ou empreinte) et de refaire le calcul sur le fichier voulu , si la somme calculer est identique à celle récupérer , alors on peut sans ce tromper ,(à moins que la somme elle même est était compromise ....) dire que le fichier que l'on à est valide : c'est à dire que celui-ci n'a pas était modifier depuis le calcul de l'empreinte . On s'en sert donc pour vérifier que le fichier ne contient pas d'erreur du au téléchargement (erreur lors du transfert), mais aussi comme dit au début pour voir si le fichier n'a pas était modifier à des fins plus douteuse .
Il existe des programmes qui automatise ces taches , dont les gestionnaires de packages comme apt, portage,rpm... ils récupèrent le package ainsi que la somme de contrôle ,puis avant toute installation , vérifie si l'empreinte est valide ,si oui pas de notification ça s'installe , sinon ==> on notifie que le fichier ne correspond pas à la somme de contrôle ( ou qu'il n'est pas signé ), on nous demande alors si on doit l'installer ou pas .
voilà.
ps : quand à savoir si l'installation doit avoir lieu ou pas , faut voir ,à vos risques et périls car rien ne dit que l'erreur soit du au réseau (lors du téléchargement ) ou qu'elle soit du à une modification douteuse sur le serveur hébergant le package . (en tous cas pour md5)
(il existe d'autres algos , prennant en charge l'authenticité (de la valeur de la somme de contrôle) grace à la mise en place de certificats (google : chiffrement asymetrique ) )
Red wrote:
Le Samedi 19 Juin 2004 22:03 Louis SIMON a écrit ceci :
Je suis "souffle" par la clarte, les competante et finalement la
pedagogie de l'auteur de ce howto...
Je suis vraiment plein d'admiration et de respect....
J'en profite quand meme pour poser une tite question
dans le cadre d'une installation d'un package ou d'un programme
il m'arrive souvent de tomber sur un msg d'alerte qui me dit que ce pgm
n'est PAS signé ou que cette signature n'est PAS valide....
ca veut dire quoi ca?
On installe pas? ou on installe quand meme?
Louis
Bonsoir,
(C'est ce que l'on dit en général au début d'un post?)
J'ai déjà eu ce message. J'ai installé et ça à marché.
J'avais posé la même question sur ce forum et n'ai pas eu d'information
concrète.
Quelqu'un a-t-il une idée ?
Red
Bonsoir,
pour éviter de récupérer des fichiers compromis lors de leurs
stockage sur serveur , ou pendant leur rapatriemment
par ftp (ou autres d'ailleurs) ,on (les responsables) applique sur ce(s)
fichier un algo connue (comme md5 au hasard) le résultat de ce calcul
est unique et ne peut correspondre qu'au fichier auquel l'algo a était
appliquer .
==> résultat :
il suffit de récupérer ce résultat (que l'on appel aussi somme de
contrôle ou empreinte) et de refaire le calcul sur le fichier voulu ,
si la somme calculer est identique à celle récupérer , alors
on peut sans ce tromper ,(à moins que la somme elle même est était
compromise ....) dire que le fichier que l'on à est valide :
c'est à dire que celui-ci n'a pas était modifier depuis le calcul de
l'empreinte .
On s'en sert donc pour vérifier que le fichier ne contient pas d'erreur
du au téléchargement (erreur lors du transfert),
mais aussi comme dit au début pour voir si le fichier n'a pas était
modifier à des fins plus douteuse .
Il existe des programmes qui automatise ces taches , dont les
gestionnaires de packages comme apt, portage,rpm... ils récupèrent le
package ainsi que la somme de contrôle ,puis avant toute installation ,
vérifie si l'empreinte est valide ,si oui pas de notification ça
s'installe , sinon ==> on notifie que le fichier ne correspond pas à la
somme de contrôle ( ou qu'il n'est pas signé ), on nous demande alors si
on doit l'installer ou pas .
voilà.
ps : quand à savoir si l'installation doit avoir lieu ou pas ,
faut voir ,à vos risques et périls car rien ne dit que l'erreur
soit du au réseau (lors du téléchargement ) ou qu'elle soit du
à une modification douteuse sur le serveur hébergant le package .
(en tous cas pour md5)
(il existe d'autres algos , prennant en charge
l'authenticité (de la valeur de la somme de contrôle) grace à la mise en
place de certificats (google : chiffrement asymetrique ) )
Le Samedi 19 Juin 2004 22:03 Louis SIMON a écrit ceci :
Je suis "souffle" par la clarte, les competante et finalement la pedagogie de l'auteur de ce howto... Je suis vraiment plein d'admiration et de respect....
J'en profite quand meme pour poser une tite question dans le cadre d'une installation d'un package ou d'un programme il m'arrive souvent de tomber sur un msg d'alerte qui me dit que ce pgm n'est PAS signé ou que cette signature n'est PAS valide.... ca veut dire quoi ca? On installe pas? ou on installe quand meme? Louis
Bonsoir, (C'est ce que l'on dit en général au début d'un post?) J'ai déjà eu ce message. J'ai installé et ça à marché. J'avais posé la même question sur ce forum et n'ai pas eu d'information concrète.
Quelqu'un a-t-il une idée ? Red
Bonsoir,
pour éviter de récupérer des fichiers compromis lors de leurs stockage sur serveur , ou pendant leur rapatriemment par ftp (ou autres d'ailleurs) ,on (les responsables) applique sur ce(s) fichier un algo connue (comme md5 au hasard) le résultat de ce calcul est unique et ne peut correspondre qu'au fichier auquel l'algo a était appliquer .
==> résultat :
il suffit de récupérer ce résultat (que l'on appel aussi somme de contrôle ou empreinte) et de refaire le calcul sur le fichier voulu , si la somme calculer est identique à celle récupérer , alors on peut sans ce tromper ,(à moins que la somme elle même est était compromise ....) dire que le fichier que l'on à est valide : c'est à dire que celui-ci n'a pas était modifier depuis le calcul de l'empreinte . On s'en sert donc pour vérifier que le fichier ne contient pas d'erreur du au téléchargement (erreur lors du transfert), mais aussi comme dit au début pour voir si le fichier n'a pas était modifier à des fins plus douteuse .
Il existe des programmes qui automatise ces taches , dont les gestionnaires de packages comme apt, portage,rpm... ils récupèrent le package ainsi que la somme de contrôle ,puis avant toute installation , vérifie si l'empreinte est valide ,si oui pas de notification ça s'installe , sinon ==> on notifie que le fichier ne correspond pas à la somme de contrôle ( ou qu'il n'est pas signé ), on nous demande alors si on doit l'installer ou pas .
voilà.
ps : quand à savoir si l'installation doit avoir lieu ou pas , faut voir ,à vos risques et périls car rien ne dit que l'erreur soit du au réseau (lors du téléchargement ) ou qu'elle soit du à une modification douteuse sur le serveur hébergant le package . (en tous cas pour md5)
(il existe d'autres algos , prennant en charge l'authenticité (de la valeur de la somme de contrôle) grace à la mise en place de certificats (google : chiffrement asymetrique ) )
