L’installation d’un logiciel sur un système Linux se fait généralement en douceur. Dans la plupart des cas, vous utiliseriez un gestionnaire de paquets tel que apte, dnf, ou alors Pac-Man pour l’installer en toute sécurité depuis les dépôts de votre distribution.
Dans certains cas, cependant, un progiciel peut ne pas être inclus dans le référentiel officiel de la distribution. Dans de tels scénarios, on est obligé de le télécharger à partir du site Web du fournisseur. Mais êtes-vous sûr que le progiciel n’a pas été falsifié ? C’est la question à laquelle nous tenterons de répondre. Dans ce guide, nous nous concentrons sur la façon de vérifier la signature PGP d’un progiciel téléchargé sous Linux.
PGP (assez bonne intimité) est une application cryptographique utilisée pour chiffrer et signer des fichiers. La plupart des auteurs de logiciels signent leurs applications en utilisant le programme PGP par exemple GPG (GNU Privacy Guard).
GPG est une implémentation de cryptographie de OpenPGP et il permet une transmission sécurisée des données et peut également être utilisé pour vérifier l’intégrité de la source. De la même manière, vous pouvez utiliser GPG pour vérifier l’authenticité du logiciel téléchargé.
La vérification de l’intégrité du logiciel téléchargé est une procédure en 5 étapes qui suit l’ordre suivant.
- Téléchargement de la clé publique de l’auteur du logiciel.
- Vérification de l’empreinte digitale de la clé.
- Importation de la clé publique.
- Téléchargement du fichier de signature du logiciel.
- Vérifiez le fichier de signature.
Dans ce guide, nous utiliserons Tixati – un programme de partage de fichiers peer-to-peer – comme exemple pour le démontrer. Déjà, nous avons téléchargé le paquet Debian depuis la page de téléchargement officielle.
Vérifier la signature PGP de Tixati
Dès le départ, nous allons télécharger la clé publique de l’auteur qui est utilisée pour vérifier les versions. Le lien vers la clé est fourni en bas de la Page de téléchargements Tixati.
Sur la ligne de commande, saisissez la clé publique en utilisant le commande wget comme montré.
$ wget https://www.tixati.com/tixati.key
Vérifier l’empreinte digitale de la clé publique
Une fois la clé téléchargée, l’étape suivante consiste à vérifier l’empreinte de la clé publique à l’aide du commande gpg comme montré.
$ gpg --show-keys tixati.key
La sortie en surbrillance est l’empreinte de la clé publique.
Importer la clé GPG
Une fois que nous aurons vérifié l’empreinte publique de la clé, nous importerons la clé GPG. Cela a seulement besoin d’être fait une fois.
$ gpg --import tixati.key
Télécharger le fichier de signature du logiciel
Ensuite, nous allons télécharger le fichier de signature PGP qui est juste à côté du paquet Debian comme indiqué. Le fichier de signature porte le .asc extension de fichier.
$ wget https://download2.tixati.com/download/tixati_2.84-1_amd64.deb.asc
Vérifier le fichier de signature
Enfin, vérifiez l’intégrité du logiciel à l’aide du fichier de signature et par rapport au paquet Debian, comme indiqué.
$ gpg --verify tixati_2.84-1_amd64.deb.asc tixati_2.84-1_amd64.deb
La sortie de la troisième ligne confirme que le Signature est de l’auteur du logiciel, dans ce cas, Logiciel Tixati Inc. La ligne ci-dessus fournit l’empreinte qui correspond à l’empreinte de la clé publique. Ceci est la confirmation de la signature PGP du logiciel.
Nous espérons que ce guide a fourni des informations sur la façon dont vous pouvez vérifier le PGP d’un progiciel téléchargé sous Linux.
Si vous appréciez ce que nous faisons ici sur TecMint, vous devriez considérer :
TecMint est le site communautaire à la croissance la plus rapide et le plus fiable pour tout type d’articles, de guides et de livres Linux sur le Web. Des millions de personnes visitent TecMint ! pour rechercher ou parcourir les milliers d’articles publiés disponibles GRATUITEMENT pour tous.
Si vous aimez ce que vous lisez, pensez à nous acheter un café ( ou 2 ) en guise de remerciement.
Nous sommes reconnaissants pour votre soutien sans fin.
.
