Discussion :

[deever]

Bonjour,

je ne sais pas si je poste dans le bon forum. Je suis sous windows 7 et je dois vérifier la signature PGP d'un executable. J'ai tenté de trouver des réponses à ma question sur moteur de recherche mais c'est souvent pour les linuxiens. Sur le site web de téléchargement, on me donne la clé publique ainsi que le fingerprint. J'ai même la possibilité de télécharger le fichier .sig concerné.

Qui pourrait m'orienter vers un tutoriel ? ou m'expliquer clairement comment faire ? Existe t'il une commande spéciale dans l'invite de commande ?
Je précise encore qu'à savoir comment vérifier la clé. La méthode la plus simple sera la bienvenue.

Cordialement.

[Flodelarab]

Bonjour

Une empreinte de fichier permet de différencier 2 fichiers (comme des empreintes digitales permettent de différentier 2 êtres humains).
Dans ton cas, il semblerait que ce système soit utilisé pour que tu puisses t'assurer que le fichier est bien celui qui devrait être téléchargé; et pas un autre.

Bizarre d'aller chercher pgp. Mais pourquoi pas ? Il te faut le logiciel.

Bonne chance

[deever]

Merci pour ta réponse flodelarab. Je sais tres bien à quoi servent les empreintes en informatique et ce depuis tres longtemps. Je demandais comment simplement verifier cette signature PGP signature (en anglais). Quel prog utiliser quel méthode car sur les forums on parle souvent de linux or je suis sur windows. J'ai entendu parler de GNUPG, GPG4Win mais je ne sais pas m'en servir. Auriez à la rigueur un tutoriel ? Merci

[deever]

En fait ce que j'aimerai préciser ou ai oublié de préciser, c'est que j'ai le programme GPG4Win.exe, je me suis servis de GNU Privacy Assistant (GPA.exe) qui est fourni avec, pour créer ma clé privé !!!

Ensuite, sur le site web, on me donne (ID=0x54DDD393, Fingerprint=993B7D7E8E413809828F0F29EB559C7C54DDD393)
Parfait jusque là, j'ai téléchargé le programme.

Mais là, c'est là que je suis perdu, que dois je faire pour confirmer que l'empreinte est bonne ?

[Flodelarab]

La clé privée n'est jamais (au grand jamais), diffusée.
Donc dans un mécanisme de transmission sécurisée des données, seul celui qui a la clé privée peut recevoir des messages (codés avec la clé publique).
Et dans un mécanisme de signature, seul celui qui a la clé privée peut avoir créé le document (signature vérifiée par tous grâce à la clé publique).

pour créer ma clé privé !!!

Par suite, tu peux ranger ta clé privée puisque tu ne signes rien.

Je ne connais pas spécifiquement ton logiciel. Mais, a priori, tu lui donnes l'exécutable binaire, la clé publique, la signature et il vérifiera la signature.

Pour d'autres systèmes, tu calcules la signature toi-même, à partir de l'exécutable, et tu compares avec celle officielle.