add fr/verifying-signatures.wml
Fredzupy commited on 2009-03-12 15:11:49
Zeige 1 geänderte Dateien mit 139 Einfügungen und 0 Löschungen.
- fr/verifying-signatures.wml 000000000..cb6aa2507
| ... | ... |
@@ -0,0 +1,139 @@ |
| 1 |
+## translation metadata |
|
| 2 |
+# Based-On-Revision: 18807 |
|
| 3 |
+# Last-Translator: fredzupy@gmail.com |
|
| 4 |
+# Translation-Priority: 2-medium |
|
| 5 |
+ |
|
| 6 |
+#include "head.wmi" TITLE="Vérifier les signatures" CHARSET="UTF-8" |
|
| 7 |
+ |
|
| 8 |
+<div class="main-column"> |
|
| 9 |
+ |
|
| 10 |
+<h2>Comment vérifier les signatures des paquets</h2> |
|
| 11 |
+<hr /> |
|
| 12 |
+ |
|
| 13 |
+<p>Chaque fichier sur notre <a href="<page download>">page de téléchargement</a> est accompagné |
|
| 14 |
+par un fichier du même nom que le paquet avec l'extention |
|
| 15 |
+« .asc ». Par exemple, le fichier courant d'installation « tout en un pour Windows » : |
|
| 16 |
+<package-win32-bundle-stable-sig>.</p> |
|
| 17 |
+ |
|
| 18 |
+<p>Ces fichiers .asc sont des signatures PGP. Elles vous permettent de vérifier que les fichiers que vous avez téléchargés |
|
| 19 |
+sont exactement ceux que vous aviez l'intention de télécharger.</p> |
|
| 20 |
+ |
|
| 21 |
+<p>Bien entendu, vous avez besoin d'avoir nos clés pgp dans votre trousseau : si vous ne |
|
| 22 |
+connaissez pas les clés pgp, vous ne pouvez pas être certain que ce soit nous qui avont signé. Les clés |
|
| 23 |
+de signature utilisées sont :</p> |
|
| 24 |
+<ul> |
|
| 25 |
+<li>Roger's (0x28988BF5) typiquement pour signer l'archive code source.</li> |
|
| 26 |
+<li>Nick's (0x165733EA, ou sa sous clé 0x8D29319A)</li> |
|
| 27 |
+<li>Andrew's (0x31B0974B)</li> |
|
| 28 |
+<li>Peter's (0x94C09C7F, ou sa sous clé 0xAFA44BDD)</li> |
|
| 29 |
+<li>Matt's (0x5FA14861)</li> |
|
| 30 |
+<li>Jacob's (0x9D0FACE4)</li> |
|
| 31 |
+</ul> |
|
| 32 |
+ |
|
| 33 |
+<h3>Étape Une : Importer les clés</h3> |
|
| 34 |
+<hr /> |
|
| 35 |
+<p>Vous pouvez aussi bien importer les clés directement de GnuPG :</p> |
|
| 36 |
+ |
|
| 37 |
+<pre>gpg --keyserver subkeys.pgp.net --recv-keys 0x28988BF5</pre> |
|
| 38 |
+ |
|
| 39 |
+<p>ou chercher les clés avec </p> |
|
| 40 |
+ |
|
| 41 |
+<pre>gpg --keyserver subkeys.pgp.net --search-keys 0x28988BF5</pre> |
|
| 42 |
+ |
|
| 43 |
+<p>et lorsque vous en sélectionnez une, elle sera ajoutée à votre trousseau.</p> |
|
| 44 |
+ |
|
| 45 |
+<h3>Étape deux : Vérifier les empreintes</h3> |
|
| 46 |
+<hr /> |
|
| 47 |
+<p>Vérifier les empreintes pgp en utilisant :</p> |
|
| 48 |
+<pre>gpg --fingerprint (insert keyid here)</pre> |
|
| 49 |
+Les empreintes pour les clés devraient être : |
|
| 50 |
+ |
|
| 51 |
+<pre> |
|
| 52 |
+pub 1024D/28988BF5 2000-02-27 |
|
| 53 |
+ Key fingerprint = B117 2656 DFF9 83C3 042B C699 EB5A 896A 2898 8BF5 |
|
| 54 |
+uid Roger Dingledine <arma@mit.edu> |
|
| 55 |
+ |
|
| 56 |
+pub 3072R/165733EA 2004-07-03 |
|
| 57 |
+ Key fingerprint = B35B F85B F194 89D0 4E28 C33C 2119 4EBB 1657 33EA |
|
| 58 |
+uid Nick Mathewson <nickm@alum.mit.edu> |
|
| 59 |
+uid Nick Mathewson <nickm@wangafu.net> |
|
| 60 |
+uid Nick Mathewson <nickm@freehaven.net> |
|
| 61 |
+ |
|
| 62 |
+pub 1024D/31B0974B 2003-07-17 |
|
| 63 |
+ Key fingerprint = 0295 9AA7 190A B9E9 027E 0736 3B9D 093F 31B0 974B |
|
| 64 |
+uid Andrew Lewman (phobos) <phobos@rootme.org> |
|
| 65 |
+uid Andrew Lewman <andrew@lewman.com> |
|
| 66 |
+uid Andrew Lewman <andrew@torproject.org> |
|
| 67 |
+sub 4096g/B77F95F7 2003-07-17 |
|
| 68 |
+ |
|
| 69 |
+pub 1024D/94C09C7F 1999-11-10 |
|
| 70 |
+ Key fingerprint = 5B00 C96D 5D54 AEE1 206B AF84 DE7A AF6E 94C0 9C7F |
|
| 71 |
+uid Peter Palfrader |
|
| 72 |
+uid Peter Palfrader <peter@palfrader.org> |
|
| 73 |
+uid Peter Palfrader <weasel@debian.org> |
|
| 74 |
+ |
|
| 75 |
+pub 1024D/5FA14861 2005-08-17 |
|
| 76 |
+ Key fingerprint = 9467 294A 9985 3C9C 65CB 141D AF7E 0E43 5FA1 4861 |
|
| 77 |
+uid Matt Edman <edmanm@rpi.edu> |
|
| 78 |
+uid Matt Edman <Matt_Edman@baylor.edu> |
|
| 79 |
+uid Matt Edman <edmanm2@cs.rpi.edu> |
|
| 80 |
+sub 4096g/EA654E59 2005-08-17 |
|
| 81 |
+ |
|
| 82 |
+pub 1024D/9D0FACE4 2008-03-11 [expires: 2010-03-11] |
|
| 83 |
+ Key fingerprint = 12E4 04FF D3C9 31F9 3405 2D06 B884 1A91 9D0F ACE4 |
|
| 84 |
+uid Jacob Appelbaum <jacob@appelbaum.net> |
|
| 85 |
+sub 4096g/D5E87583 2008-03-11 [expires: 2010-03-11] |
|
| 86 |
+</pre> |
|
| 87 |
+ |
|
| 88 |
+<p>(Bien entendu, si vous voulez être certain que ces clés sont bien les bonnes, |
|
| 89 |
+vous devriez les contrôler à plusieurs endroits ou mieux, les faire signer |
|
| 90 |
+et ce faisant, contruire un chemin de confiance pour celles-ci.)</p> |
|
| 91 |
+ |
|
| 92 |
+<h3>Étape trois : Vérifier les fichiers téléchargés</h3> |
|
| 93 |
+<hr /> |
|
| 94 |
+<p>Si vous utilisez GnuPG, il vous suffit de mettre le fichier .asc et le téléchargement dans le même |
|
| 95 |
+répertoire et taper "gpg --verify (fichier).asc (fichier)". Il devrait dire |
|
| 96 |
+quelquechose comme "Good signature" ou "BAD signature" en utilisant ce type de |
|
| 97 |
+commande :</p> |
|
| 98 |
+ |
|
| 99 |
+<pre> |
|
| 100 |
+gpg --verify tor-0.1.0.17.tar.gz.asc tor-0.1.0.17.tar.gz |
|
| 101 |
+gpg: Signature made Wed Feb 23 01:33:29 2005 EST using DSA key ID 28988BF5 |
|
| 102 |
+gpg: Good signature from "Roger Dingledine <arma@mit.edu>" |
|
| 103 |
+gpg: aka "Roger Dingledine <arma@mit.edu>" |
|
| 104 |
+gpg: WARNING: This key is not certified with a trusted signature! |
|
| 105 |
+gpg: There is no indication that the signature belongs to the owner. |
|
| 106 |
+Primary key fingerprint: B117 2656 DFF9 83C3 042B C699 EB5A 896A 2898 8BF5 |
|
| 107 |
+</pre> |
|
| 108 |
+ |
|
| 109 |
+<p> |
|
| 110 |
+Notez qu'il y a une mise en garde du fait que vous n'avez pas assigné un index de confiance à cet |
|
| 111 |
+utilisateur. Ceci signifie que votre programme a vérifié la clé qui a produit cette signature. |
|
| 112 |
+Il revient à l'utilisateur de décider si cette clé appartient réellement aux développeurs. La |
|
| 113 |
+meilleur méthode est de les rencontrer en personne et échanger les empreintes gpg. Les clés peuvent |
|
| 114 |
+également être signées. Si vous regardez les clés de Roger ou Nick's, d'autres personnes ont |
|
| 115 |
+essentiellement dit « nous avons vérifié que c'est Roger/Nick ». Donc si vous faites confiance à ces |
|
| 116 |
+tierces personnes, alors vous avez un degré de confiance pour arma/nick. |
|
| 117 |
+</p> |
|
| 118 |
+ |
|
| 119 |
+<p>Tout ceci signifie que vous pouvez ignorer ce message ou assigner un niveau de confiance.</p> |
|
| 120 |
+ |
|
| 121 |
+<p>Pour votre information, ceci est un exemple d'une <em>MAUVAISE</em> vérification. Il |
|
| 122 |
+signifie que la signature et le contenu du fichier ne correspondent pas :</p> |
|
| 123 |
+ |
|
| 124 |
+<pre> |
|
| 125 |
+gpg --verify tor-0.1.0.17.tar.gz.asc |
|
| 126 |
+gpg: Signature made Wed Feb 23 01:33:29 2005 EST using DSA key ID 28988BF5 |
|
| 127 |
+gpg: BAD signature from "Roger Dingledine <arma@mit.edu>" |
|
| 128 |
+</pre> |
|
| 129 |
+ |
|
| 130 |
+<p>Si vous voyez un message comme celui ci-dessus, alors vous ne devriez pas faire confiance au contenu du fichier.</p> |
|
| 131 |
+ |
|
| 132 |
+<p>Si vous faites tourner Tor sur Debian vous devriez lire les intructions sur comment |
|
| 133 |
+<a |
|
| 134 |
+href="https://wiki.torproject.org/noreply/TheOnionRouter/TorOnDebian">importer |
|
| 135 |
+ces clés dans apt</a>.</p> |
|
| 136 |
+ |
|
| 137 |
+</div><!-- #main --> |
|
| 138 |
+ |
|
| 139 |
+#include <foot.wmi> |
|
| 0 | 140 |