Discussion :

[Celano]

Je suis en train de vérifier la signature d'un logiciel que je viens de télécharger.

J'ai donc ajouté la clef:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$ gpg --keyserver keyring.debian.org --recv-keys <clef>

Il me l'a bien ajoutée. Puis je vérifie que la clef corresponde bien à son logiciel:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
$ gpg --verify 'fichier.asc' 'fichier'
[...]
gpg: Impossible de vérifier la signature*: clef publique introuvable

Je ne comprends pas pourquoi ce message. Qu'est-ce que j'ai fait de mal?

[Flodelarab]

Bonjour

Es-tu sûr du vocabulaire?
Il y a le chiffrement, la signature et les empreintes de fichier.

Pour le téléchargement des logiciels, on utilise généralement des empreintes de fichier. pas des signatures.

Tu parles de la clé du dépôt ?

[Celano]

Non, je ne veux pas télécharger le logiciel depuis le dépôt mais en ligne.
D'où l'intérêt de vérifier la signature et l'empreinte de la signature

[Celano]

Les étapes:

• télécharger le logiciel => ok
• télécharger la clef => ok
• vérifier l'empreinte de la clef (gpg --fingerprint <clef>) => ok
• vérifier l'authenticité du logiciel => PAS ok

Je veux vérifier que le logiciel est bien tel qu'il a été signé par le développeur.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$ gpg --verify '/home/user/logiciel.tar.xz.asc' '/home/user/logiciel.tar.xz'

gpg: Impossible de vérifier la signature*: clef publique introuvable

[Celano]

Bon, j'ai résolu mon problème. Tout bête finalement: la signature n'était pas celle du bon développeur...
Pour le comprendre, j'ai pris l'identifiant qui est donné dans le message d'erreur pour importer la bonne clef dans le trousseau