Vérification de l'intégrité d'un paquet Debian dans les archives

Belaïd MOUNSI

29/05/2013 à 10:40

Bonjour,
Généralement je télécharge un package (sur ton site par exemple) ai nsi
que son fichier .dsc correspondant qui contient la somme de contrôle
des archives et je les compares avec le résultat de la commande md5sum
package_téléchargé, sha1sum package_téléchargé, etc ...

Le 29/05/2013, Alexandre Delanoë a écrit :

Bonjour,
tout est dans le titre.

En d'autre termes, je récupère un paquet ici:
http://snapshot.debian.org/package/linux/

Avant de l'installer, j'aimerais vérifier son intégrité (checksum m d5,
sha*).

Comment procéder ?

Si vous avez un lien, je vous remercie. Je n'ai pas trouvé une répons e
adéquate avec les termes de mes requêtes.

Merci de votre aide,
Alexandre

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/

--
< Belaid >

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/

François Boisson

29/05/2013 à 11:00

Le Wed, 29 May 2013 09:16:37 +0200
Alexandre Delanoë a écrit:

Bonjour,
tout est dans le titre.

En d'autre termes, je récupère un paquet ici:
http://snapshot.debian.org/package/linux/

Avant de l'installer, j'aimerais vérifier son intégrité (checksum md5,
sha*).

Comment procéder ?

Si vous avez un lien, je vous remercie. Je n'ai pas trouvé une réponse
adéquate avec les termes de mes requêtes.

Tu peux simplement utiliser les snapshots comme des dépots signés:

deb http://snapshot.debian.org/archive/debian/20120226/ wheezy main

te fait une entrée vers les paquets wheezy du 26 Février 2012 par exemple.

François Boisson

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/

Alexandre Delanoë

29/05/2013 à 11:30

Merci pour vos réponses.

En particulier:

Année 2013, mercredi 29 mai, vers 10:54, François Boisson écrivait:

Tu peux simplement utiliser les snapshots comme des dépots signés:
[...]

Joli!
Merci pour l'exemple qui est éclairant.

Bonne journée.

Alexandre

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/

Jean-Marc

29/05/2013 à 11:50

On Wed, 29 May 2013 11:09:58 +0200, Alexandre Delanoë
wrote:

Merci pour vos réponses.

En particulier:

Année 2013, mercredi 29 mai, vers 10:54, François Boisson écrivait:
Tu peux simplement utiliser les snapshots comme des dépots signés:
[...]

Je pensais que l'idée était de vérifier la signature d'un paquet .deb.
Auquel cas, dpkg-sig est l'outil adéquat.

Joli!
Merci pour l'exemple qui est éclairant.

Bonne journée.

Alexandre

Jean-Marc

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/

Alexandre Delanoë

29/05/2013 à 13:50

Année 2013, mercredi 29 mai, vers 11:43, Jean-Marc écrivait:

Je pensais que l'idée était de vérifier la signature d'un paquet .deb.
Auquel cas, dpkg-sig est l'outil adéquat.

Justement, j'avais testé mais cela ne fonctionnait pas:

debsig-verify linux-headers-3.6-trunk-amd64_3.6.9-1~experimental.1_amd64.deb
debsig: linux-headers-3.6-trunk-amd64_3.6.9-1~experimental.1_amd64.deb
does not appear to be a deb format package

Je me suis donc dit que je n'avais pas la bonne méthode. J'ai pourtant
regardé le man...

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/

Alexandre Delanoë

29/05/2013 à 17:50

Année 2013, mercredi 29 mai, vers 13:33, Alexandre Delanoë écrivait:

> Je pensais que l'idée était de vérifier la signature d'un paquet .deb.
> Auquel cas, dpkg-sig est l'outil adéquat.

debsig-verify != dpkg-sig

Donc je teste:
dpkg-sig -c *
Processing linux-headers-3.6-trunk-amd64_3.6.9-1~experimental.1_amd64.deb...
Processing linux-headers-3.6-trunk-common_3.6.9-1~experimental.1_amd64.deb...
Processing linux-image-3.6-trunk-amd64_3.6.9-1~experimental.1_amd64.deb...

Mais je ne suis pas plus avancé que cela. Je dois relire le man mais
c'est effectivement le genre de truc que je cherchais initialement.
--
Alexandre

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/

Jean-Marc

30/05/2013 à 07:40

On 29/05/13 17:33, Alexandre Delanoë wrote:

Année 2013, mercredi 29 mai, vers 13:33, Alexandre Delanoë écrivait:
Je pensais que l'idée était de vérifier la signature d'un paquet .deb.
Auquel cas, dpkg-sig est l'outil adéquat.

debsig-verify != dpkg-sig

Donc je teste:
dpkg-sig -c *
Processing linux-headers-3.6-trunk-amd64_3.6.9-1~experimental.1_amd64.deb...
Processing linux-headers-3.6-trunk-common_3.6.9-1~experimental.1_amd64.deb...
Processing linux-image-3.6-trunk-amd64_3.6.9-1~experimental.1_amd64.deb...

Mais je ne suis pas plus avancé que cela. Je dois relire le man mais
c'est effectivement le genre de truc que je cherchais initialement.

J'ai jeté un œil sur la doc.
Un début d'explication sur l'authenticité :
http://www.debian.org/doc/manuals/debian-reference/ch02.fr.html#_verification_of_installed_package_files

--
Alexandre

Jean-Marc

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/

Belaïd MOUNSI

30/05/2013 à 10:20

--047d7b5d30bed7b6b704ddeb27dc
Content-Type: text/plain; charset=windows-1252
Content-Transfer-Encoding: quoted-printable

Bonjour,
Debsums (dans ton lien) effectue une vérification sur les paquets deja
installés en vérifiant une base de donnée local. La personne qui a ou vert
se sujet voulait un système de vérification d'un paquet avant même so n
installation
Le 30 mai 2013 07:32, "Jean-Marc" a écrit :

On 29/05/13 17:33, Alexandre Delanoë wrote:

Année 2013, mercredi 29 mai, vers 13:33, Alexandre Delanoë écrivai t:

Je pensais que l'idée était de vérifier la signature d'un paquet .deb.
Auquel cas, dpkg-sig est l'outil adéquat.

debsig-verify != dpkg-sig

Donc je teste:
dpkg-sig -c *
Processing linux-headers-3.6-trunk-amd64_**3.6.9-1~experimental.1_amd64. *
*deb...
Processing linux-headers-3.6-trunk-**common_3.6.9-1~experimental.1_**
amd64.deb...
Processing linux-image-3.6-trunk-amd64_3.**6.9-1~experimental.1_amd64.**
deb...

Mais je ne suis pas plus avancé que cela. Je dois relire le man mais
c'est effectivement le genre de truc que je cherchais initialement.

J'ai jeté un il sur la doc.
Un début d'explication sur l'authenticité :
http://www.debian.org/doc/**manuals/debian-reference/ch02.**
fr.html#_verification_of_**installed_package_files<http://www.debian.org/ doc/manuals/debian-reference/ch02.fr.html#_verification_of_installed_packag e_files>

--
Alexandre

Jean-Marc

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/**FrenchLists<http://wiki.debian.org/fr/FrenchL ists>

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@**lists.debian.org<debian-user-french-REQ
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/**<http://lists.d ebian.org/

--047d7b5d30bed7b6b704ddeb27dc
Content-Type: text/html; charset=windows-1252
Content-Transfer-Encoding: quoted-printable

Bonjour, 
Debsums (dans ton lien) effectue une vérification sur les paquets deja in stallés en vérifiant une base de donnée local. La personne qui a ouve rt se sujet voulait un système de vérification d'un paquet avant m ême son installation

<div class="gmail_quote">Le 30 mai 2013 07:32, "Jean-Marc" < <a href="mailto:"></a>> a écrit : <blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
On 29/05/13 17:33, Alexandre Delanoë wrote: 
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1p x #ccc solid;padding-left:1ex">
Année 2013, mercredi 29 mai, vers 13:33, Alexandre Delanoë écrivait: 
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1p x #ccc solid;padding-left:1ex"><blockquote class="gmail_quote" style="m argin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Je pensais que l'idée était de vérifier la signature d'un paq uet .deb. 
Auquel cas, dpkg-sig est l'outil adéquat. 
</blockquote></blockquote>
debsig-verify != dpkg-sig 
 
Donc je teste: 
dpkg-sig -c * 
Processing linux-headers-3.6-trunk-amd64_3.6.9-1~experimental.1_amd6 4.deb... 
Processing linux-headers-3.6-trunk-common_3.6.9-1~experimental.1_ amd64.deb... 
Processing linux-image-3.6-trunk-amd64_3.6.9-1~experimental.1_amd64. deb... 
 
Mais je ne suis pas plus avancé que cela. Je dois relire le man mais 
c'est effectivement le genre de truc que je cherchais initialement. 
</blockquote>
 
J'ai jeté un il sur la doc. 
Un début d'explication sur l'authenticité : 
<a href="http://www.debian.org/doc/manuals/debian-reference/ch02.fr.html# _verification_of_installed_package_files" target="_blank">http://www.debi an.org/doc/manuals/debian-reference/ch02.fr.html#_verificatio n_of_installed_package_files</a> 

 
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1p x #ccc solid;padding-left:1ex">
-- 
Alexandre 
 
</blockquote>
 
Jean-Marc 
 
-- 
Lisez la FAQ de la liste avant de poser une question : 
<a href="http://wiki.debian.org/fr/FrenchLists" target="_blank">http:// wiki.debian.org/fr/FrenchLists</a> 
 
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe " 
vers <a href="mailto:" target ="_blank">debian-user-french-REQUEST@lists.debian.org</a> 
En cas de soucis, contactez EN ANGLAIS <a href="mailto: ebian.org" target="_blank"></a> 
Archive: <a href="http://lists.debian.org/" target ="_blank">http://lists.debian.org/</a> 
 
</blockquote></div>

--047d7b5d30bed7b6b704ddeb27dc--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/

--047d7b5d30bed7b6b704ddeb27dc
Content-Type: text/plain; charset=windows-1252
Content-Transfer-Encoding: quoted-printable

Bonjour,
Debsums (dans ton lien) effectue une vérification sur les paquets deja
installés en vérifiant une base de donnée local. La personne qui a ou vert
se sujet voulait un système de vérification d'un paquet avant même so n
installation
Le 30 mai 2013 07:32, "Jean-Marc" <jean-marc@6jf.be> a écrit :

On 29/05/13 17:33, Alexandre Delanoë wrote:

Année 2013, mercredi 29 mai, vers 13:33, Alexandre Delanoë écrivai t:

Je pensais que l'idée était de vérifier la signature d'un paquet .deb.

Auquel cas, dpkg-sig est l'outil adéquat.

debsig-verify != dpkg-sig

Donc je teste:
dpkg-sig -c *
Processing linux-headers-3.6-trunk-amd64_**3.6.9-1~experimental.1_amd64. *
*deb...
Processing linux-headers-3.6-trunk-**common_3.6.9-1~experimental.1_**
amd64.deb...
Processing linux-image-3.6-trunk-amd64_3.**6.9-1~experimental.1_amd64.**
deb...

Mais je ne suis pas plus avancé que cela. Je dois relire le man mais
c'est effectivement le genre de truc que je cherchais initialement.

J'ai jeté un il sur la doc.
Un début d'explication sur l'authenticité :
http://www.debian.org/doc/**manuals/debian-reference/ch02.**
fr.html#_verification_of_**installed_package_files<http://www.debian.org/ doc/manuals/debian-reference/ch02.fr.html#_verification_of_installed_packag e_files>

--

Alexandre

Jean-Marc

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/**FrenchLists<http://wiki.debian.org/fr/FrenchL ists>

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@**lists.debian.org<debian-user-french-REQ UEST@lists.debian.org>
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/**51A6E441.2060900@6jf.be<http://lists.d ebian.org/51A6E441.2060900@6jf.be>

--047d7b5d30bed7b6b704ddeb27dc
Content-Type: text/html; charset=windows-1252
Content-Transfer-Encoding: quoted-printable

Bonjour, 
Debsums (dans ton lien) effectue une vérification sur les paquets deja in stallés en vérifiant une base de donnée local. La personne qui a ouve rt se sujet voulait un système de vérification d'un paquet avant m ême son installation

<div class="gmail_quote">Le 30 mai 2013 07:32, "Jean-Marc" < <a href="mailto:jean-marc@6jf.be">jean-marc@6jf.be</a>> a écrit : <blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
On 29/05/13 17:33, Alexandre Delanoë wrote: 
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1p x #ccc solid;padding-left:1ex">
Année 2013, mercredi 29 mai, vers 13:33, Alexandre Delanoë écrivait: 
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1p x #ccc solid;padding-left:1ex"><blockquote class="gmail_quote" style="m argin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Je pensais que l'idée était de vérifier la signature d'un paq uet .deb. 
Auquel cas, dpkg-sig est l'outil adéquat. 
</blockquote></blockquote>
debsig-verify != dpkg-sig 
 
Donc je teste: 
dpkg-sig -c * 
Processing linux-headers-3.6-trunk-amd64_3.6.9-1~experimental.1_amd6 4.deb... 
Processing linux-headers-3.6-trunk-common_3.6.9-1~experimental.1_ amd64.deb... 
Processing linux-image-3.6-trunk-amd64_3.6.9-1~experimental.1_amd64. deb... 
 
Mais je ne suis pas plus avancé que cela. Je dois relire le man mais 
c'est effectivement le genre de truc que je cherchais initialement. 
</blockquote>
 
J'ai jeté un il sur la doc. 
Un début d'explication sur l'authenticité : 
<a href="http://www.debian.org/doc/manuals/debian-reference/ch02.fr.html# _verification_of_installed_package_files" target="_blank">http://www.debi an.org/doc/manuals/debian-reference/ch02.fr.html#_verificatio n_of_installed_package_files</a> 

 
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1p x #ccc solid;padding-left:1ex">
-- 
Alexandre 
 
</blockquote>
 
Jean-Marc 
 
-- 
Lisez la FAQ de la liste avant de poser une question : 
<a href="http://wiki.debian.org/fr/FrenchLists" target="_blank">http:// wiki.debian.org/fr/FrenchLists</a> 
 
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe " 
vers <a href="mailto:debian-user-french-REQUEST@lists.debian.org" target ="_blank">debian-user-french-REQUEST@lists.debian.org</a> 
En cas de soucis, contactez EN ANGLAIS <a href="mailto:listmaster@lists.d ebian.org" target="_blank">listmaster@lists.debian.org</a> 
Archive: <a href="http://lists.debian.org/51A6E441.2060900@6jf.be" target ="_blank">http://lists.debian.org/51A6E441.2060900@6jf.be</a> 
 
</blockquote></div>

--047d7b5d30bed7b6b704ddeb27dc--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/CAFuS2bYKFMRzvf2g1OBoj0863zO882kMcFw0vbcxjTtsfwf57g@mail.gmail.com

Vous avez filtré cet utilisateur ! Consultez son message

--047d7b5d30bed7b6b704ddeb27dc
Content-Type: text/plain; charset=windows-1252
Content-Transfer-Encoding: quoted-printable

Bonjour,
Debsums (dans ton lien) effectue une vérification sur les paquets deja
installés en vérifiant une base de donnée local. La personne qui a ou vert
se sujet voulait un système de vérification d'un paquet avant même so n
installation
Le 30 mai 2013 07:32, "Jean-Marc" a écrit :

On 29/05/13 17:33, Alexandre Delanoë wrote:

Année 2013, mercredi 29 mai, vers 13:33, Alexandre Delanoë écrivai t:

Je pensais que l'idée était de vérifier la signature d'un paquet .deb.
Auquel cas, dpkg-sig est l'outil adéquat.

debsig-verify != dpkg-sig

Donc je teste:
dpkg-sig -c *
Processing linux-headers-3.6-trunk-amd64_**3.6.9-1~experimental.1_amd64. *
*deb...
Processing linux-headers-3.6-trunk-**common_3.6.9-1~experimental.1_**
amd64.deb...
Processing linux-image-3.6-trunk-amd64_3.**6.9-1~experimental.1_amd64.**
deb...

Mais je ne suis pas plus avancé que cela. Je dois relire le man mais
c'est effectivement le genre de truc que je cherchais initialement.

J'ai jeté un il sur la doc.
Un début d'explication sur l'authenticité :
http://www.debian.org/doc/**manuals/debian-reference/ch02.**
fr.html#_verification_of_**installed_package_files<http://www.debian.org/ doc/manuals/debian-reference/ch02.fr.html#_verification_of_installed_packag e_files>

--
Alexandre

Jean-Marc

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/**FrenchLists<http://wiki.debian.org/fr/FrenchL ists>

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@**lists.debian.org<debian-user-french-REQ
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/**<http://lists.d ebian.org/

--047d7b5d30bed7b6b704ddeb27dc
Content-Type: text/html; charset=windows-1252
Content-Transfer-Encoding: quoted-printable

Bonjour, 
Debsums (dans ton lien) effectue une vérification sur les paquets deja in stallés en vérifiant une base de donnée local. La personne qui a ouve rt se sujet voulait un système de vérification d'un paquet avant m ême son installation

<div class="gmail_quote">Le 30 mai 2013 07:32, "Jean-Marc" < <a href="mailto:"></a>> a écrit : <blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
On 29/05/13 17:33, Alexandre Delanoë wrote: 
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1p x #ccc solid;padding-left:1ex">
Année 2013, mercredi 29 mai, vers 13:33, Alexandre Delanoë écrivait: 
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1p x #ccc solid;padding-left:1ex"><blockquote class="gmail_quote" style="m argin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Je pensais que l'idée était de vérifier la signature d'un paq uet .deb. 
Auquel cas, dpkg-sig est l'outil adéquat. 
</blockquote></blockquote>
debsig-verify != dpkg-sig 
 
Donc je teste: 
dpkg-sig -c * 
Processing linux-headers-3.6-trunk-amd64_3.6.9-1~experimental.1_amd6 4.deb... 
Processing linux-headers-3.6-trunk-common_3.6.9-1~experimental.1_ amd64.deb... 
Processing linux-image-3.6-trunk-amd64_3.6.9-1~experimental.1_amd64. deb... 
 
Mais je ne suis pas plus avancé que cela. Je dois relire le man mais 
c'est effectivement le genre de truc que je cherchais initialement. 
</blockquote>
 
J'ai jeté un il sur la doc. 
Un début d'explication sur l'authenticité : 
<a href="http://www.debian.org/doc/manuals/debian-reference/ch02.fr.html# _verification_of_installed_package_files" target="_blank">http://www.debi an.org/doc/manuals/debian-reference/ch02.fr.html#_verificatio n_of_installed_package_files</a> 

 
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1p x #ccc solid;padding-left:1ex">
-- 
Alexandre 
 
</blockquote>
 
Jean-Marc 
 
-- 
Lisez la FAQ de la liste avant de poser une question : 
<a href="http://wiki.debian.org/fr/FrenchLists" target="_blank">http:// wiki.debian.org/fr/FrenchLists</a> 
 
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe " 
vers <a href="mailto:" target ="_blank">debian-user-french-REQUEST@lists.debian.org</a> 
En cas de soucis, contactez EN ANGLAIS <a href="mailto: ebian.org" target="_blank"></a> 
Archive: <a href="http://lists.debian.org/" target ="_blank">http://lists.debian.org/</a> 
 
</blockquote></div>

--047d7b5d30bed7b6b704ddeb27dc--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/

Jean-Marc

31/05/2013 à 13:50

On Wed, 29 May 2013 17:33:43 +0200, Alexandre Delanoë
wrote:

Salut Alexandre,

> Je pensais que l'idée était de vérifier la signature d'un paquet .deb.
> Auquel cas, dpkg-sig est l'outil adéquat.

debsig-verify != dpkg-sig

Donc je teste:
dpkg-sig -c *
Processing linux-headers-3.6-trunk-amd64_3.6.9-1~experimental.1_amd64.deb...
Processing linux-headers-3.6-trunk-common_3.6.9-1~experimental.1_amd64.deb...
Processing linux-image-3.6-trunk-amd64_3.6.9-1~experimental.1_amd64.deb...

Mais je ne suis pas plus avancé que cela. Je dois relire le man mais
c'est effectivement le genre de truc que je cherchais initialement.

Il existe une explication de SecureAPT sur le wiki de Debian :
http://wiki.debian.org/SecureApt

Cela explique comment vérifier l'intégrité des paquets.

Apparemment, on ne le fait pas au niveau des paquets mais de la release
via le fichier Release et sa signature Release.gpg. Ce fichier Release
contient les hashes des paquets. S'il est intègre de par sa signature,
tu peux considérer les hashes comme base pour vérifier l'intégrité des
paquest.

Plus d'explications sur le wiki.

J'espère que cela pourra t'aider.

--
Alexandre

Jean-Marc

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/

Vérification de l'intégrité d'un paquet Debian dans les archives

9 réponses

Veuillez sélectionner un problème