tor-webwml.git

1) 
2) 

3) 
4) 
5) 
6) 
7) ## translation metadata

8) # Revision: $Revision$

9) # Translation-Priority: 2-medium
10) #include "head.wmi" TITLE="Verifying Signatures" CHARSET="UTF-8"

11) <div class="main-column">
12) 
13) <h2>Comment vérifier les signatures des paquets</h2>
14) <hr />
15) 

16) <p>Chaque fichier sur notre <a href="<page download>">page de

17) téléchargement</a> est accompagné d'un fichier du même nom que le paquet
18) avec l'extension « .asc ». Ces fichiers .asc sont des signatures GPG. Elles
19) vous permettent de vérifier qu'un fichier téléchargé est exactement celui
20) que vous devriez avoir.  Par exemple, vidalia-bundle-0.2.1.25-0.2.7.exe est
21) vérifiable avec la signature idalia-bundle-0.2.1.25-0.2.7.exe.asc.</p>
22) 
23) <p>Bien entendu, vous avez besoin d'avoir nos clés GPG dans votre trousseau :
24) si vous n'avez pas les clés GPG, vous ne pouvez pas être certain que ce soit
25) nous qui avons signé les fichiers. Les clés de signature utilisées sont :</p>

26) <ul>

27) <li>Celle de Roger (0x28988BF5) qui signe généralement l'archive du code source.</li>
28) <li>Celles de Nick (0x165733EA, ou sa sous clé 0x8D29319A)</li>
29) <li>Celle d'Andrew (0x31B0974B) signe généralement les paquets pour Windows et
30) Mac.</li>
31) <li>Celles de Peter (0x94C09C7F, ou sa sous clé 0xAFA44BDD).</li>
32) <li>Celle de Matt (0x5FA14861).</li>
33) <li>Celle de Jacob (0xE012B42D).</li>
34) <li>Celles d'Erinn (0x63FEE659) et (0xF1F5C9B5) signent généralement les paquets
35) pour Linux.</li>

36) <li>Celle de Mike (0xDDC6C0AD) signe le paquet xpi de Torbutton. </li>

37) </ul>
38) 

39) <h3>Étape zéro : Installer GnuPG</h3>

40) <hr />

41) <p>Vous devez avoir GnuPG installé avant de pouvoir vérifier les paquets avec
42) les signatures.</p>

43) 

44) <ul>
45) <li>Linux : allez à la page <a
46) href="http://www.gnupg.org/download/index.fr.html">hhttp://www.gnupg.org/download/index.fr.html</a>
47) ou installez <i>gnupg</i> depuis votre gestionnaire de paquets.</li>
48) <li>Windows : allez à la page  <a
49) href="http://www.gnupg.org/download/index.fr.html">http://www.gnupg.org/download/index.fr.html</a>.
50) Choisir la "version compilée pour <b>MS-Windows</b>" dans la section
51) "Binaires (exécutables)".</li>
52) <li>Mac : allez à la page <a
53) href="http://macgpg.sourceforge.net/">http://macgpg.sourceforge.net/</a>.</li>
54) </ul>
55) 
56) <h3>Étape un : Importer les clés</h3>
57) <hr />
58) <p>L'étape suivante est l'importation de la clé. Ceci peut être fait
59) directement depuis GnuPG. Assurez-vous d'importer la bonne clé. Par exemple,
60) si vous avez télécharé un paquet pour Windows, vous avez besoin d'importer
61) la clé d'Andrew.</p>
62) 
63) <p><b>Windows : </b></p>
64) <p>GnuPG pour Windows est un utilitaire en ligne de commande et vous devez
65) utiliser <i>cmd.exe</i>. Si vous n'avez modifié la variable d'environnement
66) PATH, vous devez indiquer le chemin complet au programme GnuPG. Si vous avez
67) installé GnuPGavec les valeurs par défaut, le chemin devrait être celui-ci :
68) <i>C:\Program Files\Gnu\GnuPg\gpg.exe</i>.</p>

69) 

70) <p>Pour importer la clé 0x28988BF5, exécuter <i>cmd.exe</i> et taper :</p>

71) 

72) <pre>C:\Program Files\Gnu\GnuPg\gpg.exe --recv-keys 0x28988BF5</pre>

73) 

74) <p><b>Mac et Linux</b></p>

75) <p>Si vous utilisez Mac or Linux, vous devrez utilisez la console pour exécuter
76) GnuPG. Les utilisateurs de Mac trouveront la console sous "Applications". Si
77) vous travaillez sous Linux et utilisez Gnome, la console devrait être dans
78) le répertoire "Applications", sous-répertoire "Accessoires". Les
79) utilisateurs de KDE pourront trouver la console sous "Menu" et "Système". </p>

80) 

81) <p>Pour importer la clé 0x28988BF5, démarrez la console et tapez:</p>

82) 
83) <pre>gpg --recv-keys 0x28988BF5</pre>

84) 

85) <h3>Étape deux : Vérifier les empreintes</h3>

86) <hr />

87) <p>Après avoir importé la clé, vous devriez vérifier que l'empreinte est
88) conforme.</p>
89) 
90) <p><b>Windows : </b></p>
91) <pre>C:\Program Files\Gnu\GnuPg\gpg.exe --fingerprint (inserez les identifiants de clés ici)</pre>
92) 
93) <p><b>Mac et Linux</b></p>
94) <pre>gpg --fingerprint (inserez les identifiants de clés ici)</pre>
95) 
96) Les empreintes des clés devraient être les suivantes :

97) 
98) <pre>

99) pub 1024D/28988BF5 2000-02-27
100) Empreinte de clé = B117 2656 DFF9 83C3 042B C699 EB5A 896A 2898 8BF5
101) uid Roger Dingledine <arma@mit.edu>
102) 
103) pub 3072R/165733EA 2004-07-03
104) Empreinte de clé = B35B F85B F194 89D0 4E28 C33C 2119 4EBB 1657 33EA
105) uid Nick Mathewson <nickm@alum.mit.edu>
106) uid Nick Mathewson <nickm@wangafu.net>
107) uid Nick Mathewson <nickm@freehaven.net>
108) 
109) pub 1024D/31B0974B 2003-07-17
110) Empreinte de clé = 0295 9AA7 190A B9E9 027E 0736 3B9D 093F 31B0 974B
111) uid Andrew Lewman (phobos) <phobos@rootme.org>
112) uid Andrew Lewman <andrew@lewman.com>
113) uid Andrew Lewman <andrew@torproject.org>
114) sub 4096g/B77F95F7 2003-07-17
115) 
116) pub 1024D/94C09C7F 1999-11-10
117) Empreinte de clé = 5B00 C96D 5D54 AEE1 206B AF84 DE7A AF6E 94C0 9C7F
118) uid Peter Palfrader
119) uid Peter Palfrader <peter@palfrader.org>
120) uid Peter Palfrader <weasel@debian.org>
121) 
122) pub 1024D/5FA14861 2005-08-17
123) Empreinte de clé = 9467 294A 9985 3C9C 65CB 141D AF7E 0E43 5FA1 4861
124) uid Matt Edman <edmanm@rpi.edu>
125) uid Matt Edman <Matt_Edman@baylor.edu>
126) uid Matt Edman <edmanm2@cs.rpi.edu>
127) sub 4096g/EA654E59 2005-08-17
128) 
129) pub 1024D/9D0FACE4 2008-03-11 [expires: 2010-10-07]
130) Empreinte de clé = 12E4 04FF D3C9 31F9 3405 2D06 B884 1A91 9D0F ACE4
131) uid Jacob Appelbaum <jacob@appelbaum.net>
132) sub 4096R/F8D04B59 2010-03-11 [expires: 2010-10-07]
133) 
134) pub 2048R/63FEE659 2003-10-16
135) Empreinte de clé = 8738 A680 B84B 3031 A630 F2DB 416F 0610 63FE E659
136) uid Erinn Clark <erinn@torproject.org>
137) uid Erinn Clark <erinn@debian.org>
138) uid Erinn Clark <erinn@double-helix.org>
139) sub 2048R/EB399FD7 2003-10-16
140) 
141) pub 1024D/F1F5C9B5 2010-02-03
142) Empreinte de clé = C2E3 4CFC 13C6 2BD9 2C75 79B5 6B8A AEB1 F1F5 C9B5
143) uid Erinn Clark <erinn@torproject.org>
144) sub 1024g/7828F26A 2010-02-03

145) 

146) </pre>

147) 

148) <h3>Étape trois : Vérifier les paquets téléchargés</h3>

149) <hr />

150) <p> Pour vérifier la signature d'un paquet téléchargé, vous avez besoin de
151) télécharger aussi le fichier ".asc".</p>
152) 
153) <p>Dans les exemples suivants, l'utilisateur Alice a téléchargé la paquet pour
154) Windows, Mac OS et Linux, puis vérifie la signature de chaque paquet. Tous
155) les les fichiers sont enregistrés sur le bureau.</p>
156) 
157) <p><b>Windows : </b></p>
158) <pre>C:\Program Files\Gnu\GnuPg\gpg.exe --verify C:\Utilisateurs\Alice\Desktop\vidalia-bundle-0.2.1.25-0.2.7.exe.asc C:\Utilisateurs\Alice\Desktop\vidalia-bundle-0.2.1.25-0.2.7.exe</pre>
159) 
160) <p><b>Mac :</b></p>
161) <pre>gpg --verify /Utilisateurs/Alice/vidalia-bundle-0.2.1.25-0.2.7-i386.dmg.asc /Utilisateurs/Alice/vidalia-bundle-0.2.1.25-0.2.7-i386.dmg</pre>
162) 
163) <p><b>Linux</b></p>
164) <pre>gpg --verify /home/Alice/Desktop/tor-0.2.1.25.tar.gz.asc /home/Alice/Desktop/tor-0.2.1.25.tar.gz</pre>
165) 

166) <p>Après la vérification, GnuPG retournera un message du type "Signature
167) valide" ou "Signature non valide". Le message devrait ressembler à ceci:</p>

168) 
169) <pre>

170) gpg --verify tor-0.1.0.17.tar.gz.asc tor-0.1.0.17.tar.gz
171) gpg: Signature effectuée Wed Feb 23 01:33:29 2005 EST using DSA key ID 28988BF5
172) gpg: Signature valide de "Roger Dingledine <arma@mit.edu>"
173) gpg:                 aka "Roger Dingledine <arma@mit.edu>"
174) gpg: ATTENTION: Cette clé n'est pas certifiée par une signature valide
175) gpg:          Rien n'indique que la signature appartienne au propriétaire.

176) Primary key fingerprint: B117 2656 DFF9 83C3 042B  C699 EB5A 896A 2898 8BF5
177) </pre>
178) 
179) <p>

180) Notez qu'il y a une mise en garde du fait que vous n'avez pas assigné un
181) index de confiance à cet utilisateur. Ceci signifie que votre programme a
182) vérifié la clé qui a produit cette signature.  Il revient à l'utilisateur de
183) décider si cette clé appartient réellement aux développeurs. La meilleur
184) méthode est de les rencontrer en personne et d'échanger les empreintes gpg. 

185) </p>
186) 

187) <p>Pour votre information, ceci est un exemple d'une <em>MAUVAISE</em>
188) vérification. Il signifie que la signature et le contenu du fichier ne
189) correspondent pas. Dans ce cas, vous ne devez pas faire confiance au contenu
190) du fichier:</p>

191) 
192) <pre>

193) gpg --verify tor-0.1.0.17.tar.gz.asc
194) gpg: Signature effectuée Wed Feb 23 01:33:29 2005 EST using DSA key ID 28988BF5
195) gpg: MAUVAISE signature de "Roger Dingledine <arma@mit.edu>"

196) </pre>
197) 

198) <p>Si vous faites tourner Tor sur Debian vous devriez lire les intructions sur
199) comment <a

200) href="https://wiki.torproject.org/noreply/TheOnionRouter/TorOnDebian">importer
201) ces clés dans apt</a>.</p>
202) 

203) <p>Si vous voulez en savoir plus sur GPG, référez vous à <a

204) href="http://www.gnupg.org/documentation/">http://www.gnupg.org/documentation/</a>.</p>
205) 

206) </div>
207) 

208)