Avant de vérifier un fichier signé par GPG, il vous faut :

1. Un logiciel de gestion des clés (voir GPG #1)
2. Une paire de clés (voir GPG #1)
3. Le fichier à vérifier
4. Le fichier de signature (.sig, .asc) dans le même répertoire
5. La clé publique du fournisseur du fichier que vous voulez vérifier (si vous ne l’avez pas vous pourrez la télécharger facilement après).

Attention, les opérations suivantes vont provoquer un avertissement (pas une erreur) : Si vous téléchargez la clé de quelqu’un, il vous faut bien vérifier que c’est une personne de confiance et il faut signer sa clé avec votre clé privée.

Vérification en CLI (tous systèmes) :

La commande pour vérifier un fichier est la suivante mais elle vous remontera une erreur si vous ne possédez pas la clé publique du fournisseur (étape 5) :

gpg2 –verify monfichier.zip.asc

gpg: Signature faite le dim. 23 sept. 2012 21:16:25 CEST avec la clé RSA ID E653D0BC
gpg: Impossible de vérifier la signature: Pas de clé publique

On télécharge la clé publique du fournisseur de cette manière :

gpg2 –recv-key E653D0BC

Puis on recommence :

gpg2 –verify monfichier.zip.asc

Vous devriez voir :

gpg: Bonne signature de « Xxx Xxxxxxx »

Vérification avec KGPG (sous KDE) :

Lancez KGPG.

Ouvrir l’éditeur.

Signature -> Vérifier une signature.

Allez chercher votre fichier de signature.

Si vous n’avez pas la clé publique du fournisseur du fichier, KGPG vous prévient et vous demande si vous voulez la télécharger.

Vous l’importez et vous recommencez :

Signature -> Vérifier une signature.

Allez chercher votre fichier de signature.

KGPG doit vous dire que la clé est correcte mais qu’elle n’est pas approuvée.

C’est bon !

Vérification avec Gnu4Win (GPA) :

Lancer GPA (Gnu Privacy Assistant).

Aller dans fichiers , puis ouvrir :

Allez chercher le fichier de signature (.sig ou .asc)

Cliquez sur vérifier.

Si vous ne possédez pas la clé publique du fournisseur du fichier, GPA va vous alerter (de la même manière qu’il le fait en ligne de commandes).

Il faut donc fermer la fenêtre actuelle, télécharger la clé concernée puis recommencer l’opération :

Dans le gestionnaire de clés (key manager), allez dans le menu Serveur > Récupération de clés

Tapez l’identifiant de clé qui était en erreur tout à l’heure.

Recommencez la vérification.

Sur le même sujet :

• ROCA : l’autre grosse faille qui passerait presque inappercue
• La sécurité avec Docker – Chapitre final : Le test
• La sécurité avec Docker – Chapitre 4 : Les images et les dépôts