Bonjour,
En me référant à ce post
post j'ai vérifié la signature de l'iso téléchargé via un torrent. (xubuntu 20.04)
............@.................:~/Téléchargements$ gpg --keyserver hkp://keyserver.ubuntu.com --recv-keys 0xD94AA3F0EFE21092
gpg: key D94AA3F0EFE21092: 2 duplicate signatures removed
gpg: key D94AA3F0EFE21092: 66 signatures not checked due to missing keys
gpg: clef D94AA3F0EFE21092 : clef publique « Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com> » importée
gpg: aucune clef de confiance ultime n'a été trouvée
gpg: Quantité totale traitée : 1
gpg: importées : 1
............@.................:~/Téléchargements$ gpg --verify SHA256SUMS.gpg SHA256SUMS
gpg: Signature faite le jeu. 23 avril 2020 15:49:03 CEST
gpg: avec la clef RSA D94AA3F0EFE21092
gpg: Bonne signature de « Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com> » [inconnu]
gpg: Attention : cette clef n'est pas certifiée avec une signature de confiance.
gpg: Rien n'indique que la signature appartient à son propriétaire.
Empreinte de clef principale : 8439 38DF 228D 22F7 B374 2BC0 D94A A3F0 EFE2 1092
............@.................:~/Téléchargements$
J'ai téléchargé les fichiers SHA256SUM et SHA256SUM.gpg sur ce lien
miroir
Comme j'utilise ce genre de vérification depuis peu je voulais m’assurer ici que ma démarche est bonne et savoir également si le fait que le lien sur lequel j'ai téléchargé les fichiers SHA256SUM et SHA256SUM.gpg ne soit pas un https ne pose pas de problème de sécurité.
Merci d'avance
