Recherche de site Web

Comment vérifier la signature PGP des logiciels téléchargés sous Linux

L'installation d'un logiciel sur un système Linux se déroule généralement en douceur. Dans la plupart des cas, vous utiliserez un gestionnaire de paquets tel que apt, dnf ou Pacman pour l'installer en toute sécurité à partir des référentiels de votre distribution.

Dans certains cas, cependant, un progiciel peut ne pas être inclus dans le référentiel officiel de la distribution. Dans de tels scénarios, il est obligé de le télécharger depuis le site Web du fournisseur. Mais êtes-vous sûr que le progiciel n’a pas été falsifié ? C’est la question à laquelle nous chercherons à répondre. Dans ce guide, nous nous concentrons sur la façon de vérifier la signature PGP d'un progiciel téléchargé sous Linux.

PGP (Pretty Good Privacy) est une application cryptographique utilisée pour crypter et signer des fichiers. La plupart des auteurs de logiciels signent leurs applications en utilisant le programme PGP, par exemple GPG (GNU Privacy Guard).

GPG est une implémentation cryptographique de OpenPGP qui permet une transmission sécurisée des données et peut également être utilisée pour vérifier l'intégrité de la source. De la même manière, vous pouvez utiliser GPG pour vérifier l'authenticité des logiciels téléchargés.

La vérification de l'intégrité des logiciels téléchargés est une procédure en 5 étapes qui suit l'ordre suivant.

  • Téléchargement de la clé publique de l’auteur du logiciel.
  • Vérification de l’empreinte digitale de la clé.
  • Importation de la clé publique.
  • Téléchargement du fichier Signature du logiciel.
  • Vérifiez le fichier de signature.

Dans ce guide, nous utiliserons Tixati – un programme de partage de fichiers peer-to-peer – comme exemple pour démontrer cela. Nous avons déjà téléchargé le package Debian depuis la page de téléchargement officielle.

Vérifier la signature PGP de Tixati

Dès le départ, nous allons télécharger la clé publique de l’auteur qui est utilisée pour vérifier toutes les versions. Le lien vers la clé est fourni en bas de la page de téléchargement de Tixati.

Sur la ligne de commande, récupérez la clé publique à l'aide de la commande wget comme indiqué.

wget https://www.tixati.com/tixati.key

Vérifiez l'empreinte digitale de la clé publique

Une fois la clé téléchargée, l'étape suivante consiste à vérifier l'empreinte digitale de la clé publique à l'aide de la commande gpg comme indiqué.

gpg --show-keys tixati.key

Le résultat mis en évidence est l’empreinte digitale de la clé publique.

Importer la clé GPG

Une fois que nous aurons vérifié l’empreinte publique de la clé, nous importerons la clé GPG. Cela a seulement besoin d'être fait une fois.

gpg --import tixati.key

Télécharger le fichier de signature du logiciel

Ensuite, nous téléchargerons le fichier de signature PGP qui se trouve juste à côté du paquet Debian comme indiqué. Le fichier de signature porte l'extension de fichier .asc.

wget https://download2.tixati.com/download/tixati_2.84-1_amd64.deb.asc

Vérifiez le fichier de signature

Enfin, vérifiez l'intégrité du logiciel à l'aide du fichier de signature et par rapport au package Debian comme indiqué.

gpg --verify tixati_2.84-1_amd64.deb.asc tixati_2.84-1_amd64.deb

Le résultat de la troisième ligne confirme que la Signature provient de l'auteur du logiciel, dans ce cas, Tixati Software Inc. La ligne ci-dessus fournit l'empreinte digitale qui correspond à l'empreinte digitale de la clé publique. Ceci est la confirmation de la signature PGP du logiciel.

Nous espérons que ce guide vous a fourni des informations sur la façon dont vous pouvez procéder à la vérification du PGP d'un progiciel téléchargé sous Linux.