Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

mauvaise signature Clonezilla

patat-art

Hello !

Je viens de télécharger Clonezilla, et je voulais vérifier l'intégrité de l'image. Donc j'ai commencé ainsi :

gpg --verify signature-clonezilla-CHECKSUMS.TXT.gpg clonezilla-live-2.5.2-31-amd64.iso

gpg: Signature faite le jeu. 07 sept. 2017 13:15:12 CEST avec la clef RSA d'identifiant 45599AFD
gpg: Impossible de vérifier la signature : clef publique introuvable

gpg --keyserver pgpkeys.mit.edu --recv-key 45599AFD

gpg: demande de la clef 45599AFD sur le serveur hkp pgpkeys.mit.edu
gpg: clef 45599AFD : clef publique « DRBL Project (Diskless Remote Boot in Linux) <drbl@clonezilla.org> » importée
gpg: aucune clef de confiance ultime n'a été trouvée
gpg: Quantité totale traitée : 1
gpg:               importées : 1  (RSA: 1)

gpg --verify signature-clonezilla-CHECKSUMS.TXT.gpg clonezilla-live-2.5.2-31-amd64.iso

gpg: Signature faite le jeu. 07 sept. 2017 13:15:12 CEST avec la clef RSA d'identifiant 45599AFD
gpg: MAUVAISE signature de « DRBL Project (Diskless Remote Boot in Linux) <drbl@clonezilla.org> »

Que suis-je sensé faire ?

Merci ! Je découvre tout ça et je suis bien perdu

inbox

Salut,

La vérification d'une image ISO se fait avec md5sum ou avec : sha1sum, sha256sum ou sha512sum.

Pour ton ISO de Clonezilla, les "sums" se trouvent ici.

Par exemple, si tu veux vérifier le sha256sum, après avoir installé gtlhash, il faut :
1 - lancer gtkhash
2 - sélectionner l'iso avec "fichier"
3 - dans "vérifier", entrer le SHA256SUMS venant du site de Clonezilla
4 - cliquer sur "hacher"

Au bout de quelques secondes, si la somme correspond, un voyant vert s'allume sur les lignes identiques.

A+

patat-art

Oui, merci de ta réponse. Mais ça suffit vraiment ? J'ai vu plusieurs sites de distrib' Linux proposer la vérification par clés d'abord. Il y a bien une raison ? Hier, pour une autre image, j'ai fait

sha256sum -c *CHECKSUM

et ça m'a répondu

sha256sum: Attention : les lignes 19 ne sont pas correctement formatées
sha256sum: Attention : les fichiers 2 affichés n'ont pas pu être lus

Puis j'ai fait comme tu dis, et selon GTKHash, tout allait bien. Donc je sais pas, ça a pas l'air super fiable...

inbox

Je n'ai jamais fait autrement. Apparemment, il y a aussi possibilité de vérifier le GPG, mais c'est quand tu as un doute sur l'origine du fichier ISO. Dans ton cas, il n'y a pas de doute.

patat-art

J'ai une mauvaise signature, c'est bien qu'il y a un problème, non ?

inbox

Il faut que tu donnes un résultat pour tenter de comprendre. Je ne suis pas devin.

J'ai fait un essai avec ton ISO de Clonezilla, et j'ai bien eu validation.

patat-art

OK. Quel résultat ?
Et quand tu parles de validation, c'est avec GTKHash ou tu as fait les mêmes opérations que moi ?

Dans mon 2è post (post #3), j'ai oublié la première ligne dans la réponse. Après avoir tapé

sha256sum -c *CHECKSUM

J'ai eu ça comme réponse :

 sha256sum : Fedora-Workstation-Live-x86_64-26-1.5.iso: Réussi
sha256sum: Attention : les lignes 19 nesu sont pas correctement formatées
sha256sum: Attention : les fichiers 2 affichés n'ont pas pu être lus

Merci !

jlmas

La commande suivante doit te retourner une valeur identique avec celle donné en lien dans le post #2

sha256sum clonezilla-live-2.5.2-31-amd64.iso

doit répondre

9296d754fe9f71331856d8e6f9f7a7c6e1439c38644ec9f5ca9d9f657d1fc37e

patat-art

Oui, ça c'est bon