git.schokokeks.org
Repositories
Help
Report an Issue
tor-webwml.git
Code
Commits
Branches
Tags
Suche
Strukturansicht:
89d822f26
Branches
Tags
bridges
docs-debian
jobs
master
press-clips
tor-webwml.git
fr
verifying-signatures.wml
new and updated translations for the website
Runa A. Sandvik
commited
89d822f26
at 2010-06-21 11:09:41
verifying-signatures.wml
Blame
History
Raw
## translation metadata # Revision: $Revision$ # Translation-Priority: 2-medium #include "head.wmi" TITLE="Verifying Signatures" CHARSET="UTF-8" <div class="main-column"> <h2>Comment vérifier les signatures des paquets</h2> <hr /> <p>Chaque fichier sur notre <a href="<page download>">page de téléchargement</a> est accompagné d'un fichier du même nom que le paquet avec l'extension « .asc ». Ces fichiers .asc sont des signatures GPG. Elles vous permettent de vérifier qu'un fichier téléchargé est exactement celui que vous devriez avoir. Par exemple, vidalia-bundle-0.2.1.25-0.2.7.exe est vérifiable avec la signature idalia-bundle-0.2.1.25-0.2.7.exe.asc.</p> <p>Bien entendu, vous avez besoin d'avoir nos clés GPG dans votre trousseau : si vous n'avez pas les clés GPG, vous ne pouvez pas être certain que ce soit nous qui avons signé les fichiers. Les clés de signature utilisées sont :</p> <ul> <li>Celle de Roger (0x28988BF5) qui signe généralement l'archive du code source.</li> <li>Celles de Nick (0x165733EA, ou sa sous clé 0x8D29319A)</li> <li>Celle d'Andrew (0x31B0974B) signe généralement les paquets pour Windows et Mac.</li> <li>Celles de Peter (0x94C09C7F, ou sa sous clé 0xAFA44BDD).</li> <li>Celle de Matt (0x5FA14861).</li> <li>Celle de Jacob (0xE012B42D).</li> <li>Celles d'Erinn (0x63FEE659) et (0xF1F5C9B5) signent généralement les paquets pour Linux.</li> <li>Mike's (0xDDC6C0AD) signs the Torbutton xpi.</li> </ul> <h3>Étape zéro : Installer GnuPG</h3> <hr /> <p>Vous devez avoir GnuPG installé avant de pouvoir vérifier les paquets avec les signatures.</p> <ul> <li>Linux : allez à la page <a href="http://www.gnupg.org/download/index.fr.html">hhttp://www.gnupg.org/download/index.fr.html</a> ou installez <i>gnupg</i> depuis votre gestionnaire de paquets.</li> <li>Windows : allez à la page <a href="http://www.gnupg.org/download/index.fr.html">http://www.gnupg.org/download/index.fr.html</a>. Choisir la "version compilée pour <b>MS-Windows</b>" dans la section "Binaires (exécutables)".</li> <li>Mac : allez à la page <a href="http://macgpg.sourceforge.net/">http://macgpg.sourceforge.net/</a>.</li> </ul> <h3>Étape un : Importer les clés</h3> <hr /> <p>L'étape suivante est l'importation de la clé. Ceci peut être fait directement depuis GnuPG. Assurez-vous d'importer la bonne clé. Par exemple, si vous avez télécharé un paquet pour Windows, vous avez besoin d'importer la clé d'Andrew.</p> <p><b>Windows : </b></p> <p>GnuPG pour Windows est un utilitaire en ligne de commande et vous devez utiliser <i>cmd.exe</i>. Si vous n'avez modifié la variable d'environnement PATH, vous devez indiquer le chemin complet au programme GnuPG. Si vous avez installé GnuPGavec les valeurs par défaut, le chemin devrait être celui-ci : <i>C:\Program Files\Gnu\GnuPg\gpg.exe</i>.</p> <p>Pour importer la clé 0x28988BF5, exécuter <i>cmd.exe</i> et taper :</p> <pre>C:\Program Files\Gnu\GnuPg\gpg.exe --recv-keys 0x28988BF5</pre> <p><b>Mac et Linux</b></p> <p>Whether you have a Mac or you run Linux, you will need to use the terminal to run GnuPG. Mac users can find the terminal under "Applications". If you run Linux and use Gnome, the terminal should be under "Applications menu" and "Accessories". KDE users can find the terminal under "Menu" and "System".</p> <p>To import the key 0x28988BF5, start the terminal and type:</p> <pre>gpg --recv-keys 0x28988BF5</pre> <h3>Étape deux : Vérifier les empreintes</h3> <hr /> <p>Après avoir importé la clé, vous devriez vérifier que l'empreinte est conforme.</p> <p><b>Windows : </b></p> <pre>C:\Program Files\Gnu\GnuPg\gpg.exe --fingerprint (inserez les identifiants de clés ici)</pre> <p><b>Mac et Linux</b></p> <pre>gpg --fingerprint (inserez les identifiants de clés ici)</pre> Les empreintes des clés devraient être les suivantes : <pre> pub 1024D/28988BF5 2000-02-27 Key fingerprint = B117 2656 DFF9 83C3 042B C699 EB5A 896A 2898 8BF5 uid Roger Dingledine <arma@mit.edu> pub 3072R/165733EA 2004-07-03 Key fingerprint = B35B F85B F194 89D0 4E28 C33C 2119 4EBB 1657 33EA uid Nick Mathewson <nickm@alum.mit.edu> uid Nick Mathewson <nickm@wangafu.net> uid Nick Mathewson <nickm@freehaven.net> pub 1024D/31B0974B 2003-07-17 Key fingerprint = 0295 9AA7 190A B9E9 027E 0736 3B9D 093F 31B0 974B uid Andrew Lewman (phobos) <phobos@rootme.org> uid Andrew Lewman <andrew@lewman.com> uid Andrew Lewman <andrew@torproject.org> sub 4096g/B77F95F7 2003-07-17 pub 1024D/94C09C7F 1999-11-10 Key fingerprint = 5B00 C96D 5D54 AEE1 206B AF84 DE7A AF6E 94C0 9C7F uid Peter Palfrader uid Peter Palfrader <peter@palfrader.org> uid Peter Palfrader <weasel@debian.org> pub 1024D/5FA14861 2005-08-17 Key fingerprint = 9467 294A 9985 3C9C 65CB 141D AF7E 0E43 5FA1 4861 uid Matt Edman <edmanm@rpi.edu> uid Matt Edman <Matt_Edman@baylor.edu> uid Matt Edman <edmanm2@cs.rpi.edu> sub 4096g/EA654E59 2005-08-17 pub 1024D/9D0FACE4 2008-03-11 [expires: 2010-10-07] Key fingerprint = 12E4 04FF D3C9 31F9 3405 2D06 B884 1A91 9D0F ACE4 uid Jacob Appelbaum <jacob@appelbaum.net> sub 4096R/F8D04B59 2010-03-11 [expires: 2010-10-07] pub 2048R/63FEE659 2003-10-16 Key fingerprint = 8738 A680 B84B 3031 A630 F2DB 416F 0610 63FE E659 uid Erinn Clark <erinn@torproject.org> uid Erinn Clark <erinn@debian.org> uid Erinn Clark <erinn@double-helix.org> sub 2048R/EB399FD7 2003-10-16 pub 1024D/F1F5C9B5 2010-02-03 Key fingerprint = C2E3 4CFC 13C6 2BD9 2C75 79B5 6B8A AEB1 F1F5 C9B5 uid Erinn Clark <erinn@torproject.org> sub 1024g/7828F26A 2010-02-03 pub 1024D/DDC6C0AD 2006-07-26 Key fingerprint = BECD 90ED D1EE 8736 7980 ECF8 1B0C A30C DDC6 C0AD uid Mike Perry <mikeperry@fscked.org> uid Mike Perry <mikepery@fscked.org> sub 4096g/AF0A91D7 2006-07-26 </pre> <h3>Étape trois : Vérifier les paquets téléchargés</h3> <hr /> <p> Pour vérifier la signature d'un paquet téléchargé, vous avez besoin de télécharger aussi le fichier ".asc".</p> <p>Dans les exemples suivants, l'utilisateur Alice a téléchargé la paquet pour Windows, Mac OS et Linux, puis vérifie la signature de chaque paquet. Tous les les fichiers sont enregistrés sur le bureau.</p> <p><b>Windows : </b></p> <pre>C:\Program Files\Gnu\GnuPg\gpg.exe --verify C:\Utilisateurs\Alice\Desktop\vidalia-bundle-0.2.1.25-0.2.7.exe.asc C:\Utilisateurs\Alice\Desktop\vidalia-bundle-0.2.1.25-0.2.7.exe</pre> <p><b>Mac :</b></p> <pre>gpg --verify /Utilisateurs/Alice/vidalia-bundle-0.2.1.25-0.2.7-i386.dmg.asc /Utilisateurs/Alice/vidalia-bundle-0.2.1.25-0.2.7-i386.dmg</pre> <p><b>Linux</b></p> <pre>gpg --verify /home/Alice/Desktop/tor-0.2.1.25.tar.gz.asc /home/Alice/Desktop/tor-0.2.1.25.tar.gz</pre> <p>After verifying, GnuPG will come back saying something like "Good signature" or "BAD signature". The output should look something like this:</p> <pre> gpg: Signature made Tue 16 Mar 2010 05:55:17 AM CET using DSA key ID 28988BF5 gpg: Good signature from "Roger Dingledine <arma@mit.edu>" gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner. Primary key fingerprint: B117 2656 DFF9 83C3 042B C699 EB5A 896A 2898 8BF5 </pre> <p> Notice that there is a warning because you haven't assigned a trust index to this person. This means that GnuPG verified that the key made that signature, but it's up to you to decide if that key really belongs to the developer. The best method is to meet the developer in person and exchange key fingerprints. </p> <p>For your reference, this is an example of a <em>BAD</em> verification. It means that the signature and file contents do not match. In this case, you should not trust the file contents:</p> <pre> gpg: Signature made Tue 20 Apr 2010 12:22:32 PM CEST using DSA key ID 28988BF5 gpg: BAD signature from "Roger Dingledine <arma@mit.edu>" </pre> <p>Si vous faites tourner Tor sur Debian vous devriez lire les intructions sur comment <a href="https://wiki.torproject.org/noreply/TheOnionRouter/TorOnDebian">importer ces clés dans apt</a>.</p> <p>If you wish to learn more about GPG, see <a href="http://www.gnupg.org/documentation/">http://www.gnupg.org/documentation/</a>.</p> </div> #include <foot.wmi>
