Lorsqu’on télécharge un fichier sur internet , il est plus que recommandé de vérifier son intégrité. Cette étape est souvent négligée mais elle est vitale. Surtout si c’est pour réaliser des opérations sensibles comme installer un OS sur sa machine. En effet, le fichier téléchargé peut être corrompu pour des tas de raisons. Entre autres: une personne malintentionnée peut avoir rajouté du code malveillant ou encore lors du téléchargement tous les bits n’ont pas été rapatriés 🙂
PGP au lieu de md5 ou sha256?
Donc vérifier l’intégrité consiste grosso modo à comparer l’empreinte publique de son fichier avec celle calculée par notre ordinateur.Si ça ne te dit rien du tout, je t’invite à lire ce billet où j’avais parlé des différentes manières qui existent pour contrôler l’intégrité de son fichier. Dès lors sous linux, j’avais pris pour habitude de faire ça avec les commandes md5sum ou sha256sum.
Mais certains sites proposent aussi une signature pgp à côté du fichier à télécharger. Et oui pgp ne sert pas que pour les mails! Son principe de clé privée/clé publique permet aussi de signer numériquement des fichiers.
Bon alors comment fait -on pour vérifier la signature PGP d’un fichier ?
1- Récupérer les fichiers nécessaires
Dans mon cas , je cherche à récupérer le fichier image sur ce site .
Je télécharge:
1- le .img qui est le fichier image
2- le fichier avec l’extension .asc qui lui est associé qui contient sa signature numérique.
3- la clé publique de TWRP
2- Vérifier la signature
Pour ce faire:
1- importer la clé publique de TWRP dans notre trousseau gpg:
gpg --import public.asc
2- comparer :
gpg --verify twrp-3.5.2_9-0-herolte.img.asc twrp-3.5.2_9-0-herolte.img
si tout se passe bien , tu devrais obtenir ce type de message:
La signature de l’éditeur Teamwin est bien reconnue. Le fichier est donc bien intègre. Yihaaaa!
A condition que l’on fasse confiance au site sur lequel on a récupéré la clé publique. rien ne prouve qu’elle appartienne bien à la TeamWin. Nous n’avons donc pas pu vérifier l’authenticité de la clé publique du site.
c’est l’objet de la mise en garde à la fin « Rien n’indique que la signature appartient à son propriétaire »
L’idéal serait que je rencontre IRL les dev de Teamwin et qu’ils me filent de la main à la main leur signature numérique.
Pour en savoir plus voir:
https://guide.boum.org/tomes/2_en_ligne/3_outils/07_utiliser_openpgp/02_verifier_lauthenticite_dune_cle/
Merci pour ce rappel de vérification… Les paquets non-signés, ça sent le vécu. 😉