Aller au contenu principal
Sujet: Verification signature et hash d'un iso ! mais comment on fait au juste ? (Lu 2313 fois) sujet précédent - sujet suivant

Verification signature et hash d'un iso ! mais comment on fait au juste ?

Bonjour Alionet et merci pour votre travail.

Je n'arrive pas à faire la vérification de la signature avec gpg --verify. de l'iso du DVD de Opensuse Leap 15.3
(pas réussi non plus avec Leap 15.2 par ailleurs)

J'ai suivi pourtant la documentation mais en vain !

Est-ce que quelqu'un y est parvenu ? si oui dite moi comment s'il vous plait ! je serais ravi de savoir faire la vérification !

NOTE : je dois certainement mal m'y prendre, mais voici l'erreur qui m'empêche d'aller plus loin et je ne trouve pas d'autre informations ni de clefs breff suis perdu dans la doc !

gpg --recv-keys 0x22C07BA534178CD02EFE22AAB88B2FD43DBDC284 
gpg: échec de réception depuis le serveur de clefs : Erreur générale


 

Re : Verification signature et hash d'un iso ! mais comment on fait au juste ?

Répondre #2
D'accord merci pour ton retour, mais je n'ai pas résolu ma problématique de vérification de signature.

Pour le hash ok c'est bon j'ai le bon hash  :
$ sha256sum -c openSUSE-Leap-15.3-DVD-x86_64.iso.sha256
> openSUSE-Leap-15.3-DVD-x86_64.iso: Réussi

Et le Hash est :
$ sha256sum openSUSE-Leap-15.3-DVD-x86_64.iso         
> 0deae0b74953acd951150ae9567e098d450f2ae91b2d0c0a610b9d934f91c7b1  openSUSE-Leap-15.3-DVD-x86_64.iso

Pour la suite ça se complique :

La doc dit :
Citer

"Pour vérifier la signature GPG à l'invite de commande, vous devez d'abord importer la clé de signature du projet avec les commandes suivantes :"
gpg --recv-keys 0x22C07BA534178CD02EFE22AAB88B2FD43DBDC284
gpg --fingerprint "openSUSE Project Signing Key <opensuse@opensuse.org>"
gpg --verify <some>.iso.sha256

Hors cette commande "gpg --recv-keys" me retourne une erreur et les autres j'ai un doute sur la réponse :
$ gpg --recv-keys 0x22C07BA534178CD02EFE22AAB88B2FD43DBDC284
> gpg: keyserver receive failed: General error

$ gpg --fingerprint "openSUSE Project Signing Key <opensuse@opensuse.org>"
> gpg: error reading key: No public key # ici ok j'ai rien dans la liste de gpg à ce stade

$ gpg --verify openSUSE-Leap-15.3-DVD-x86_64.iso.sha256.asc
> gpg: assuming signed data in 'openSUSE-Leap-15.3-DVD-x86_64.iso.sha256'
> gpg: Signature made Wed May 26 14:56:40 2021 CEST
> gpg:                using RSA key B88B2FD43DBDC284
> gpg: Can't check signature: No public key


Je suppose donc 3 choses  :
- Soit je n'utilise pas la bonne "clé de signature du projet" soit 0x22C07BA534178CD02EFE22AAB88B2FD43DBDC284 ( ce que je sens le plus probable)
- soit la commande n'est pas la bonne (ce dont je doute)
- soit un problème avec gpg qui m'échape !!!?. (ce qui est un peu plus probable encore)
 
D'ailleurs question intéressante : à quel endroit/adresse les utilisateurs et moi même pouvons-nous nous procurer la bonne "clé de signature du projet" ?
Site web ou repertoire gpg ?

Re : Verification signature et hash d'un iso ! mais comment on fait au juste ?

Répondre #3
J'avoue que ne fais que la vérification da la somme. Je ne me préoccupe pas de la clé gpg