git.schokokeks.org
Repositories
Help
Report an Issue
tor-webwml.git
Code
Commits
Branches
Tags
Suche
Strukturansicht:
b93677a22
Branches
Tags
bridges
docs-debian
jobs
master
press-clips
tor-webwml.git
fr
verifying-signatures.wml
update of translated wml files
Runa A. Sandvik
commited
b93677a22
at 2010-01-19 20:42:02
verifying-signatures.wml
Blame
History
Raw
## translation metadata # Revision: $Revision: 20019 $ # Translation-Priority: 2-medium #include "head.wmi" TITLE="Verifying Signatures" CHARSET="UTF-8" <div class="main-column"> <h2>Comment vérifier les signatures des paquets</h2> <hr /> <p>Chaque fichier sur notre <a href="<page download>">page de téléchargement</a> est accompagné par un fichier du même nom que le paquet avec l'extention « .asc ». Par exemple, le fichier courant d'installation « tout en un pour Windows » : <package-win32-bundle-stable-sig>.</p> <p>Ces fichiers .asc sont des signatures PGP. Elles vous permettent de vérifier que les fichiers que vous avez téléchargés sont exactement ceux que vous aviez l'intention de télécharger.</p> <p>Bien entendu, vous avez besoin d'avoir nos clés pgp dans votre trousseau : si vous ne connaissez pas les clés pgp, vous ne pouvez pas être certain que ce soit nous qui avons signé les fichiers. Les clés de signature utilisées sont :</p> <ul> <li>Celle de Roger (0x28988BF5) signe généralement l'archive du code source.</li> <li>Celle de Nick (0x165733EA, ou sa sous clé 0x8D29319A)</li> <li>Celle d'Andrew (0x31B0974B)</li> <li>Celle de Peter (0x94C09C7F, ou sa sous clé 0xAFA44BDD)</li> <li>Celle de Matt (0x5FA14861)</li> <li>Celle de Jacob (0x9D0FACE4)</li> </ul> <h3>Étape Un : Importer les clés</h3> <hr /> <p>Vous pouvez tout aussi bien importer les clés directement de GnuPG :</p> <pre>gpg --keyserver subkeys.pgp.net --recv-keys 0x28988BF5</pre> <p>ou chercher les clés avec</p> <pre>gpg --keyserver subkeys.pgp.net --search-keys 0x28988BF5</pre> <p>et lorsque vous en sélectionnez une, elle sera ajoutée à votre trousseau.</p> <h3>Étape deux : Vérifier les empreintes</h3> <hr /> <p>Vérifier les empreintes pgp en utilisant :</p> <pre>gpg --fingerprint (inserez les id de clef ici)</pre> Les empreintes pour les clés devraient être : <pre> pub 1024D/28988BF5 2000-02-27 Key fingerprint = B117 2656 DFF9 83C3 042B C699 EB5A 896A 2898 8BF5 uid Roger Dingledine <arma@mit.edu> pub 3072R/165733EA 2004-07-03 Key fingerprint = B35B F85B F194 89D0 4E28 C33C 2119 4EBB 1657 33EA uid Nick Mathewson <nickm@alum.mit.edu> uid Nick Mathewson <nickm@wangafu.net> uid Nick Mathewson <nickm@freehaven.net> pub 1024D/31B0974B 2003-07-17 Key fingerprint = 0295 9AA7 190A B9E9 027E 0736 3B9D 093F 31B0 974B uid Andrew Lewman (phobos) <phobos@rootme.org> uid Andrew Lewman <andrew@lewman.com> uid Andrew Lewman <andrew@torproject.org> sub 4096g/B77F95F7 2003-07-17 pub 1024D/94C09C7F 1999-11-10 Key fingerprint = 5B00 C96D 5D54 AEE1 206B AF84 DE7A AF6E 94C0 9C7F uid Peter Palfrader uid Peter Palfrader <peter@palfrader.org> uid Peter Palfrader <weasel@debian.org> pub 1024D/5FA14861 2005-08-17 Key fingerprint = 9467 294A 9985 3C9C 65CB 141D AF7E 0E43 5FA1 4861 uid Matt Edman <edmanm@rpi.edu> uid Matt Edman <Matt_Edman@baylor.edu> uid Matt Edman <edmanm2@cs.rpi.edu> sub 4096g/EA654E59 2005-08-17 pub 1024D/9D0FACE4 2008-03-11 [expires: 2010-03-11] Key fingerprint = 12E4 04FF D3C9 31F9 3405 2D06 B884 1A91 9D0F ACE4 uid Jacob Appelbaum <jacob@appelbaum.net> sub 4096g/D5E87583 2008-03-11 [expires: 2010-03-11] </pre> <p>(Bien entendu, si vous voulez être certain que ces clés sont bien les bonnes, vous devriez les contrôler à plusieurs endroits ou mieux, les faire signer et ce faisant, construire un chemin de confiance pour celles-ci.)</p> <h3>Étape trois : Vérifier les fichiers téléchargés</h3> <hr /> <p>Si vous utilisez GnuPG, il vous suffit de mettre le fichier .asc et le téléchargement dans le même répertoire et taper "gpg --verify (fichier).asc (fichier)". Il devrait dire quelquechose comme "Good signature" ou "BAD signature" en utilisant ce type de commande :</p> <pre> gpg --verify tor-0.1.0.17.tar.gz.asc tor-0.1.0.17.tar.gz gpg: Signature made Wed Feb 23 01:33:29 2005 EST using DSA key ID 28988BF5 gpg: Good signature from "Roger Dingledine <arma@mit.edu>" gpg: aka "Roger Dingledine <arma@mit.edu>" gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner. Primary key fingerprint: B117 2656 DFF9 83C3 042B C699 EB5A 896A 2898 8BF5 </pre> <p> Notez qu'il y a une mise en garde du fait que vous n'avez pas assigné un index de confiance à cet utilisateur. Ceci signifie que votre programme a vérifié la clé qui a produit cette signature. Il revient à l'utilisateur de décider si cette clé appartient réellement aux développeurs. La meilleur méthode est de les rencontrer en personne et d'échanger les empreintes gpg. Les clés peuvent également être signées. Si vous regardez les clés de Roger ou de Nick, d'autres personnes ont souvent dit « nous avons vérifié que c'est Roger/Nick ». Donc si vous faites confiance à ces tierces personnes, alors vous avez un degré de confiance pour arma/nick. </p> <p>Tout ceci signifie que vous pouvez ignorer ce message ou assigner un niveau de confiance.</p> <p>Pour votre information, ceci est un exemple d'une <em>MAUVAISE</em> vérification. Il signifie que la signature et le contenu du fichier ne correspondent pas :</p> <pre> gpg --verify tor-0.1.0.17.tar.gz.asc gpg: Signature made Wed Feb 23 01:33:29 2005 EST using DSA key ID 28988BF5 gpg: BAD signature from "Roger Dingledine <arma@mit.edu>" </pre> <p>Si vous voyez un message comme celui ci-dessus, alors vous ne devriez pas faire confiance au contenu du fichier.</p> <p>Si vous faites tourner Tor sur Debian vous devriez lire les intructions sur comment <a href="https://wiki.torproject.org/noreply/TheOnionRouter/TorOnDebian">importer ces clés dans apt</a>.</p> </div> <!-- #main --> <!--PO4ASHARPBEGINinclude <foot.wmi> PO4ASHARPEND-->