Verifying Signatures

Comment vérifier les signatures des paquets

Chaque fichier sur notre page de téléchargement est accompagné d'un fichier du même nom que le paquet avec l'extension « .asc ». Ces fichiers .asc sont des signatures GPG. Elles vous permettent de vérifier qu'un fichier téléchargé est exactement celui que vous devriez avoir. Par exemple, vidalia-bundle-0.2.1.25-0.2.7.exe est vérifiable avec la signature idalia-bundle-0.2.1.25-0.2.7.exe.asc.

Bien entendu, vous avez besoin d'avoir nos clés GPG dans votre trousseau : si vous n'avez pas les clés GPG, vous ne pouvez pas être certain que ce soit nous qui avons signé les fichiers. Les clés de signature utilisées sont :

Celle de Roger (0x28988BF5) qui signe généralement l'archive du code source.
Celles de Nick (0x165733EA, ou sa sous clé 0x8D29319A)
Celle d'Andrew (0x31B0974B) signe généralement les paquets pour Windows et Mac.
Celles de Peter (0x94C09C7F, ou sa sous clé 0xAFA44BDD).
Celle de Matt (0x5FA14861).
Celle de Jacob (0xE012B42D).
Celles d'Erinn (0x63FEE659) et (0xF1F5C9B5) signent généralement les paquets pour Linux.
Celle de Mike (0xDDC6C0AD) signe le paquet xpi de Torbutton.

Étape zéro : Installer GnuPG

Vous devez avoir GnuPG installé avant de pouvoir vérifier les paquets avec les signatures.

Linux : allez à la page hhttp://www.gnupg.org/download/index.fr.html ou installez gnupg depuis votre gestionnaire de paquets.
Windows : allez à la page http://www.gnupg.org/download/index.fr.html. Choisir la "version compilée pour MS-Windows" dans la section "Binaires (exécutables)".
Mac : allez à la page http://macgpg.sourceforge.net/.

Étape un : Importer les clés

L'étape suivante est l'importation de la clé. Ceci peut être fait directement depuis GnuPG. Assurez-vous d'importer la bonne clé. Par exemple, si vous avez télécharé un paquet pour Windows, vous avez besoin d'importer la clé d'Andrew.

Windows :

GnuPG pour Windows est un utilitaire en ligne de commande et vous devez utiliser cmd.exe. Si vous n'avez modifié la variable d'environnement PATH, vous devez indiquer le chemin complet au programme GnuPG. Si vous avez installé GnuPGavec les valeurs par défaut, le chemin devrait être celui-ci : C:\Program Files\Gnu\GnuPg\gpg.exe.

Pour importer la clé 0x28988BF5, exécuter cmd.exe et taper :

C:\Program Files\Gnu\GnuPg\gpg.exe --recv-keys 0x28988BF5

Mac et Linux

Si vous utilisez Mac or Linux, vous devrez utilisez la console pour exécuter GnuPG. Les utilisateurs de Mac trouveront la console sous "Applications". Si vous travaillez sous Linux et utilisez Gnome, la console devrait être dans le répertoire "Applications", sous-répertoire "Accessoires". Les utilisateurs de KDE pourront trouver la console sous "Menu" et "Système".

Pour importer la clé 0x28988BF5, démarrez la console et tapez:

gpg --recv-keys 0x28988BF5

Étape deux : Vérifier les empreintes

Après avoir importé la clé, vous devriez vérifier que l'empreinte est conforme.

Windows :

C:\Program Files\Gnu\GnuPg\gpg.exe --fingerprint (inserez les identifiants de clés ici)

Mac et Linux

gpg --fingerprint (inserez les identifiants de clés ici)

Les empreintes des clés devraient être les suivantes :

pub 1024D/28988BF5 2000-02-27
Empreinte de clé = B117 2656 DFF9 83C3 042B C699 EB5A 896A 2898 8BF5
uid Roger Dingledine <arma@mit.edu>

pub 3072R/165733EA 2004-07-03
Empreinte de clé = B35B F85B F194 89D0 4E28 C33C 2119 4EBB 1657 33EA
uid Nick Mathewson <nickm@alum.mit.edu>
uid Nick Mathewson <nickm@wangafu.net>
uid Nick Mathewson <nickm@freehaven.net>

pub 1024D/31B0974B 2003-07-17
Empreinte de clé = 0295 9AA7 190A B9E9 027E 0736 3B9D 093F 31B0 974B
uid Andrew Lewman (phobos) <phobos@rootme.org>
uid Andrew Lewman <andrew@lewman.com>
uid Andrew Lewman <andrew@torproject.org>
sub 4096g/B77F95F7 2003-07-17

pub 1024D/94C09C7F 1999-11-10
Empreinte de clé = 5B00 C96D 5D54 AEE1 206B AF84 DE7A AF6E 94C0 9C7F
uid Peter Palfrader
uid Peter Palfrader <peter@palfrader.org>
uid Peter Palfrader <weasel@debian.org>

pub 1024D/5FA14861 2005-08-17
Empreinte de clé = 9467 294A 9985 3C9C 65CB 141D AF7E 0E43 5FA1 4861
uid Matt Edman <edmanm@rpi.edu>
uid Matt Edman <Matt_Edman@baylor.edu>
uid Matt Edman <edmanm2@cs.rpi.edu>
sub 4096g/EA654E59 2005-08-17

pub 1024D/9D0FACE4 2008-03-11 [expires: 2010-10-07]
Empreinte de clé = 12E4 04FF D3C9 31F9 3405 2D06 B884 1A91 9D0F ACE4
uid Jacob Appelbaum <jacob@appelbaum.net>
sub 4096R/F8D04B59 2010-03-11 [expires: 2010-10-07]

pub 2048R/63FEE659 2003-10-16
Empreinte de clé = 8738 A680 B84B 3031 A630 F2DB 416F 0610 63FE E659
uid Erinn Clark <erinn@torproject.org>
uid Erinn Clark <erinn@debian.org>
uid Erinn Clark <erinn@double-helix.org>
sub 2048R/EB399FD7 2003-10-16

pub 1024D/F1F5C9B5 2010-02-03
Empreinte de clé = C2E3 4CFC 13C6 2BD9 2C75 79B5 6B8A AEB1 F1F5 C9B5
uid Erinn Clark <erinn@torproject.org>
sub 1024g/7828F26A 2010-02-03

Étape trois : Vérifier les paquets téléchargés

Pour vérifier la signature d'un paquet téléchargé, vous avez besoin de télécharger aussi le fichier ".asc".

Dans les exemples suivants, l'utilisateur Alice a téléchargé la paquet pour Windows, Mac OS et Linux, puis vérifie la signature de chaque paquet. Tous les les fichiers sont enregistrés sur le bureau.

Windows :

C:\Program Files\Gnu\GnuPg\gpg.exe --verify C:\Utilisateurs\Alice\Desktop\vidalia-bundle-0.2.1.25-0.2.7.exe.asc C:\Utilisateurs\Alice\Desktop\vidalia-bundle-0.2.1.25-0.2.7.exe

Mac :

gpg --verify /Utilisateurs/Alice/vidalia-bundle-0.2.1.25-0.2.7-i386.dmg.asc /Utilisateurs/Alice/vidalia-bundle-0.2.1.25-0.2.7-i386.dmg

Linux

gpg --verify /home/Alice/Desktop/tor-0.2.1.25.tar.gz.asc /home/Alice/Desktop/tor-0.2.1.25.tar.gz

Après la vérification, GnuPG retournera un message du type "Signature valide" ou "Signature non valide". Le message devrait ressembler à ceci:

gpg --verify tor-0.1.0.17.tar.gz.asc tor-0.1.0.17.tar.gz
gpg: Signature effectuée Wed Feb 23 01:33:29 2005 EST using DSA key ID 28988BF5
gpg: Signature valide de "Roger Dingledine <arma@mit.edu>"
gpg:                 aka "Roger Dingledine <arma@mit.edu>"
gpg: ATTENTION: Cette clé n'est pas certifiée par une signature valide
gpg:          Rien n'indique que la signature appartienne au propriétaire.
Primary key fingerprint: B117 2656 DFF9 83C3 042B  C699 EB5A 896A 2898 8BF5

Notez qu'il y a une mise en garde du fait que vous n'avez pas assigné un index de confiance à cet utilisateur. Ceci signifie que votre programme a vérifié la clé qui a produit cette signature. Il revient à l'utilisateur de décider si cette clé appartient réellement aux développeurs. La meilleur méthode est de les rencontrer en personne et d'échanger les empreintes gpg.

Pour votre information, ceci est un exemple d'une MAUVAISE vérification. Il signifie que la signature et le contenu du fichier ne correspondent pas. Dans ce cas, vous ne devez pas faire confiance au contenu du fichier:

gpg --verify tor-0.1.0.17.tar.gz.asc
gpg: Signature effectuée Wed Feb 23 01:33:29 2005 EST using DSA key ID 28988BF5
gpg: MAUVAISE signature de "Roger Dingledine <arma@mit.edu>"

Si vous faites tourner Tor sur Debian vous devriez lire les intructions sur comment importer ces clés dans apt.

Si vous voulez en savoir plus sur GPG, référez vous à http://www.gnupg.org/documentation/.