INTEGRITE

ma clef gpg

J'utilise une cleg gpg pour signer tous mes packages. Elle est disponible sur ce site (gpg.asc), mais aussi sur les serveur de clef gpg :

• keyserver.ubuntu.com
• keys.openpgp.org
• pgp.mit.edu

vérifier les paquets rpm

Les paquets rpm sont signés par défaut.
Vous devez importer ma clef avec la commande : gpg --import gpg.asc
Puis vous pouvez vérifier les paquets avec la commande : rpm -Kv afick*.rpm
qui affiche quelque chose comme :
afick-3.8.0-1.noarch.rpm:
Entête V4 RSA/SHA256 Signature, clé ID 980514b7: OK
Entête SHA256 digest: OK
Entête SHA1 digest: OK
Payload SHA256 digest: OK
MD5 digest: OK

check deb packages

Les paquets deb sont signés avec l'outil dpkg-sig
Vous pouvez les vérifier avec la commande : dpkg-sig --verify afick_3.8.0-1debian_all.deb
qui produit une sortie comme :
Processing afick_3.8.0-1debian_all.deb...
GOODSIG _gpggerbier E5CCCF9B09CA63803DCE4C9DBE1EE0FE980514B7 1686471770

Vérifier les autres formats d'archive

Pour les autres formats (tar, zip, exe, ...), un fichier "sig" supplémentaire est fourni, qui permet de vérifier l'intégrité avec la commande gpg. Par example : gpg --verify afick-setup-3.8.0.exe.sig afick-setup-3.8.0.exe
qui va produire une sortie comme :
gpg: Signature faite le sam. 10 juin 2023 15:02:11 CEST
gpg: avec la clef RSA E5CCCF9B09CA63803DCE4C9DBE1EE0FE980514B7
gpg: issuer "eric.gerbier@tutanota.com"
gpg: Bonne signature de « Eric Gerbier  » [ultime]
gpg: alias « Eric Gerbier  » [ultime]

---

retour à la page principale