Questions générales sur Manjaro Linux.
S'il vous plaît, avant de poster, essayez la fonction de recherche du forum.
Répondre

Comment vérifiér l'iso par GPG ?

#1Messageil y a 6 ans

Bonjour
Je n'ai pas de problèmes particuliers mais je prévois d'autres installations
aussi j'ai récupéré Manjaro XFCE Edition (17.0.5)
----------------
j'ai fait la vérification de l'image qui est bonne mais je voudrais apprendre a la faire par (GPG
et la je bloque si vous voulez m’aider d'avance Merci
-----------------
en fait comme indiqué ici

Image

--------------------

      [moi@moi-pc Téléchargements]$ sha1sum -c manjaro-xfce-17.0.5-stable-x86_64.iso.sha1
manjaro-xfce-17.0.5-stable-x86_64.iso: Réussi
[moi@moi-pc Téléchargements]$ gpg --verify manjaro-xfce-17.0.5-stable-x86_64.iso.sig
gpg: le trousseau local « /home/moi/.gnupg/pubring.kbx » a été créé
gpg: les données signées sont supposées être dans « manjaro-xfce-17.0.5-stable-x86_64.iso »
gpg: Signature faite le sam. 16 sept. 2017 14:37:43 CEST
gpg:                avec la clef RSA E4CDFE50A2DA85D58C8A8C70CAA6A59611C7F07E
gpg:                issuer "philm@manjaro.org"
gpg: Impossible de vérifier la signature : Pas de clef publique
[moi@moi-pc Téléchargements]$ wget https://github.com/manjaro/packages-core/raw/master/manjaro-keyring/manjaro.gpg
bash: wget : commande introuvable


vérification faite wget n'est pas installé

gpg: Impossible de vérifier la signature : Pas de clef publique


Comment la récupérer ?

J'ai aussi récupéré le fichier (manjaro-xfce-17.0.5-stable-x86_64.iso.sig )

bon qu'est ce qui va et qui ne va pas ?


:bjr:
Dernière modification par ribochonil y a 6 ans, modifié au total 1 fois.

Comment vérifiér l'iso par GPG ?

#2Messageil y a 6 ans

En gros, il te manque la clef publique de philm pour que gpg puisse faire le contrôle. Ça devrait être dans un paquet 'manjaro-keyring' ou 'archlinux-keyring' si je ne m'abuse. ces paquets sont normalement inclus dans une Manjaro, étrange donc.
Problème de mise à jour ?


Edit : ou plutôt tu est passé directement à la 3ème commande, sans faire les 2 autres :gsourire:

Comment vérifiér l'iso par GPG ?

#3Messageil y a 6 ans

bonjour,
en fait tu ne fais pas les choses dans l'ordre :confus: il faut suivre le site web
1) il faut d'abord télécharger la clé de philm (wget ou ton navigateur web ou curl ou ...)
2) l'importer dans ta config user
3) et enfin tu peux tester la validité de la clé incluse dans l'iso

ps: rien ne t’empêche d'installer wget mais pas obligatoire
manjaro-keyring ne sont que des clés exclusives à pacman

Comment vérifiér l'iso par GPG ?

#4Messageil y a 6 ans

@Denis-pom :bjr:
oui je vais essayer a nouveau Merci pour la réponse

Comment vérifiér l'iso par GPG ?

#5Messageil y a 6 ans

papajoke a écrit :bonjour,
en fait tu ne fais pas les choses dans l'ordre :confus: il faut suivre le site web
1) il faut d'abord télécharger la clé de philm (wget ou ton navigateur web ou curl ou ...)
2) l'importer dans ta config user
3) et enfin tu peux tester la validité de la clé incluse dans l'iso

ps: rien ne t’empêche d'installer wget mais pas obligatoire


Bon je me remet au travail Merci

:bjr:

Comment vérifiér l'iso par GPG ?

#6Messageil y a 6 ans

BEGIN PGP PUBLIC KEY BLOCK-----
Version: SKS 1.1.5
Comment: Hostname: pgp.mit.edu

en fait
>>

https://github.com/manjaro/packages-cor ... anjaro.gpg
me conduit bien a une série de chiffre et lettres importante donc la clé
avec mon navigateur
-------
mais le problème est de savoir l'utiliser
c'est dommage je ne dois pas être loing du but

Comment vérifiér l'iso par GPG ?

#7Messageil y a 6 ans

il te suffit de sauvegarder ce fichier en local, c'est ce que fait wget: il télécharge simplement le fichier sur ta machine

avec curl si pas wget

curl -L https://github.com/manjaro/packages-core/raw/master/manjaro-keyring/manjaro.gpg -o manjaro.gpg


tu peux même télécharger et importer en même temps :

curl -L https://github.com/manjaro/packages-core/raw/master/manjaro-keyring/manjaro.gpg | gpg --import

Comment vérifiér l'iso par GPG ?

#8Messageil y a 6 ans

  curl -L https://github.com/manjaro/packages-core/raw/master/manjaro-keyring/manjaro.gpg | gpg --import
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100   156  100   156    0     0    156      0  0:00:01 --:--:--  0:00:01   307
key 5BD96CC4247B52CC:
10 signatures not checked due to missing keys
gpg: /home/moi/.gnupg/trustdb.gpg : base de confiance créée
gpg: clef 5BD96CC4247B52CC : clef publique « Guillaume Benoit (Guinux) <guillaume@manjaro.org> » importée
key CAA6A59611C7F07E:
13 signatures not checked due to missing keys
gpg: clef CAA6A59611C7F07E : clef publique « Philip Müller (Called Little) <philm@manjaro.org> » importée
100 94889  100 94889    0     0  94889      0  0:00:01 --:--:--  0:00:01 94889
key 363DFFFD59152F77:
9 signatures not checked due to missing keys
gpg: clef 363DFFFD59152F77 : clef publique « Roland Singer (Manjaro Linux) <roland@manjaro.org> » importée
key 2B80869C5C0102A6:
11 signatures not checked due to missing keys
gpg: clef 2B80869C5C0102A6 : clef publique « Rob McCathie <korrode@gmail.com> » importée
key 8934292D604F8BA2:
9 signatures not checked due to missing keys
gpg: clef 8934292D604F8BA2 : clef publique « Alexandru Ianu <alexandru@manjaro.org> » importée
key 2C089F09AC97B894:
8 signatures not checked due to missing keys
gpg: clef 2C089F09AC97B894 : clef publique « Ramon Buldó <ramon@manjaro.org> » importée
key 137C934B5DCB998E:
4 signatures not checked due to missing keys
gpg: clef 137C934B5DCB998E : clef publique « artoo <flower_of_life@gmx.net> » importée
key 62443D89B35859F8:
4 signatures not checked due to missing keys
gpg: clef 62443D89B35859F8 : clef publique « artoo (manjaro.org) <flower_of_life@gmx.net> » importée
key DAD3B211663CA268:
2 signatures not checked due to missing keys
gpg: clef DAD3B211663CA268 : clef publique « Bernhard Landauer <oberon@manjaro.org> » importée
key 8DB9F8C18DF53602:
3 signatures not checked due to missing keys
gpg: clef 8DB9F8C18DF53602 : clef publique « Stefano Capitani <stefano@manjaro.org> » importée
key 7EC47C82A42D53A2:
2 signatures not checked due to missing keys
gpg: clef 7EC47C82A42D53A2 : clef publique « kendell clark <kendell@manjaro.org> » importée
gpg: clef E3B3F44AC45EE0AA : clef publique « artoo-manjaro <artoo@manjaro.org> » importée
gpg: clef 9C08A255442FAFF0 : clef publique « Jonathon Fernyhough <jonathon@manjaro.org> » importée
key 17C752B61B2F2E90:
1 signature not checked due to a missing key
gpg: clef 17C752B61B2F2E90 : clef publique « Frede Hundewadt <fh@manjaro.org> » importée
gpg: clef 8238651DDF5E0594 : clef publique « Matti Hyttinen <matti@manjaro.org> » importée
gpg:       Quantité totale traitée : 15
gpg:                     importées : 15


 [moi@moi-pc Téléchargements]$ gpg --verify manjaro-xfce-17.0.5-stable-x86_64.iso.sig
gpg: les données signées sont supposées être dans « manjaro-xfce-17.0.5-stable-x86_64.iso »
gpg: Signature faite le sam. 16 sept. 2017 14:37:43 CEST
gpg:                avec la clef RSA E4CDFE50A2DA85D58C8A8C70CAA6A59611C7F07E
gpg:                issuer "philm@manjaro.org"
gpg: Bonne signature de « Philip Müller (Called Little) <philm@manjaro.org> » [inconnu]
gpg: Attention : cette clef n'est pas certifiée avec une signature de confiance.
gpg:             Rien n'indique que la signature appartient à son propriétaire.
Empreinte de clef principale : E4CD FE50 A2DA 85D5 8C8A  8C70 CAA6 A596 11C7 F07E
[moi@moi-pc Téléchargements]$
 

Comment vérifiér l'iso par GPG ?

#9Messageil y a 6 ans

est ce que c'est bon maintenant ?

Comment vérifiér l'iso par GPG ?

#10Messageil y a 6 ans

il ecrit :
Signature faite le sam. 16 sept. 2017 14:37:43 CEST
...
gpg: Bonne signature de « Philip Müller

juste il te dit que la clé que tu a importée (avec curl) n'est pas obligatoirement celle de philm
cette clef n'est pas certifiée avec une signature de confiance.
gpg: Rien n'indique que la signature appartient à son propriétaire.

la je ne sais pas ... :confus: mais puisque tu viens de l'importée c'est bien celle de philm à 99% !

voir article

Comment vérifiér l'iso par GPG ?

#11Messageil y a 6 ans

Comment vérifiér l'iso par GPG ?

#12Messageil y a 6 ans

bonjour

en fait mon calcul par gpg selon la méthode (SOURCEFORGE ) ci dessous
ne mas pas rien apporté de plus le sha1sum étant bon

 wget https://github.com/manjaro/packages-core/raw/master/manjaro-keyring/manjaro.gpg
gpg --import manjaro.gpg
gpg --verify manjaro-xfce-17.0.5-stable-x86_64.iso.sig


le SHA256 existant sur Ubuntu , ou sûrement ailleurs
je me demande si le sha1sum n'est pas un peu faible maintenant


quel est votre avis d'avance Merci

Comment vérifiér l'iso par GPG ?

#13Messageil y a 6 ans

 
[moi@moi-pc Téléchargements]$ gpg --verify '/home/moi/Téléchargements/manjaro-xfce-17.0.5-stable-x86_64.iso.sig' '/home/moi/Téléchargements/manjaro-xfce-17.0.5-stable-x86_64.iso'

gpg: Signature faite le sam. 16 sept. 2017 14:37:43 CEST
gpg:                avec la clef RSA E4CDFE50A2DA85D58C8A8C70CAA6A59611C7F07E
gpg:                issuer "philm@manjaro.org"
gpg: Bonne signature de « Philip Müller (Called Little) <philm@manjaro.org> » [inconnu]
gpg: Attention : cette clef n'est pas certifiée avec une signature de confiance.
gpg:             Rien n'indique que la signature appartient à son propriétaire.
Empreinte de clef principale : E4CD FE50 A2DA 85D5 8C8A  8C70 CAA6 A596 11C7 F07E



[moi@moi-pc Téléchargements]$
 

fait avec ce lien que ma suggéré (papajoke )
https://guide.boum.org/tomes/2_en_ligne ... signature/

Comment vérifiér l'iso par GPG ?

#14Messageil y a 6 ans

ribochon a écrit :en fait mon calcul par gpg selon la méthode (SOURCEFORGE ) ci dessous
ne mas pas rien apporté de plus le sha1sum étant bon

ce sont 2 contrôles bien différents !

cela fait suite au piratage effectué avec linux mint ! les pirates avaient changer le controle sha1sum sur le blog de la distribution. Donc même en faisant ce contrôle, on avait une réponse positive !

Avec ce deuxième controle , nous sommes sûr que l'iso a été générée par le bon développeur !

Comment vérifiér l'iso par GPG ?

#15Messageil y a 6 ans

oui bien sur , tout a fait d’accord

Merci pour l'aide
:salut:

Comment vérifiér l'iso par GPG ?

#16Messageil y a 6 ans

Comment vérifiér l'iso par GPG ?

#17Messageil y a 6 ans

Comment vérifiér l'iso par GPG ?

#18Messageil y a 6 ans

Bah, j'ai bien peur que ce ne soit que l'arbre qui cache la forêt.
Si on connaissait déjà tous les backdoors matériels existants avant même l'installation d'un OS quelconque...
Répondre