Comment vérifier une signature GPG?

Utiliser GPG pour vérifier que la clé secrète de quelqu'un a signé le fichier en question
Partie 2 sur 2: utiliser GPG pour vérifier que la clé secrète de quelqu'un a signé le fichier en question.

Ce guide explique un processus clair et étape par étape, d'une minute, pour vérifier qu'un fichier en votre possession a été signé numériquement par une clé secrète GPG particulière et n'a pas été modifié depuis le moment de la signature.

Partie 1 sur 2: télécharger ce dont vous avez besoin

GPG vous aidera à vérifier la relation entre vos trois fichiers
GPG vous aidera à vérifier la relation entre vos trois fichiers.

Pour vérifier que vous croyez qu'une personne a signé un fichier, vous aurez besoin d'une copie de la clé publique de cette personne, d'une copie du fichier et d'une copie du fichier de signature qui aurait été créé par l'interaction de la clé secrète de la personne et du déposer.

  1. 1
    Acquérir la clé publique.
    • Importez la clé publique dans GPG.
  2. 2
    Obtenez une copie du fichier en question.
    • Enregistrez-le dans un dossier.
  3. 3
    Obtenez une copie du fichier de signature en question.
    • Enregistrez-le dans le même dossier.

Partie 2 sur 2: utiliser GPG pour vérifier que la clé secrète de quelqu'un a signé le fichier en question

GPG vous aidera à vérifier la relation entre vos trois fichiers.

  1. 1
    Ouvrez une interface de ligne de commande.
    • Remplacez le répertoire de travail par le dossier dans lequel votre fichier et votre fichier de signature sont enregistrés.
  2. 2
    Vérifiez la signature.
    • Tapez la commande suivante dans une interface de ligne de commande:
    • gpg - verify [signature-file] [file]
    • Par exemple, si vous avez acquis
    • (1) la clé publique 0x416F061063FEE659,
    • (2) le fichier Tor Browser Bundle (tor-browser.tar.gz), et
    • (3) le fichier de signature posté à côté du fichier Tor Browser Bundle (tor-browser.tar.gz.asc),
    • Vous devez taper ce qui suit:
    • gpg - verify tor-browser.tar.gz.asc tor-browser.tar.gz

Avertissement

  • Bien que vous soyez maintenant certain que la clé secrète liée à la clé publique que vous possédez a été utilisée pour signer le fichier, vous devez tout de même prendre des précautions pour vous assurer que cette clé publique appartient réellement à la personne à laquelle vous pensez qu'elle appartient. Rien n'empêche un adversaire de fabriquer des clés qui semblent appartenir à quelqu'un.
  • Si vous n'avez pas importé la clé publique de quelqu'un dans votre trousseau de clés GPG, cette procédure ne fonctionne pas.
  • La personne peut nommer le fichier de signature comme bon lui semble: les noms du fichier et du fichier de signature n'ont pas besoin d'être similaires ou liés.

Les choses dont vous aurez besoin

  • Moteur de chiffrement GPG
  • Fichier signé
  • Fichier de signature
  • Clé publique GPG
FacebookTwitterInstagramPinterestLinkedInGoogle+YoutubeRedditDribbbleBehanceGithubCodePenWhatsappEmail