Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Vérifier les signiatures ubuntu

Kixix

Bonjour,

Je viens de télécharger Ubuntu 20.04 LTS.

Je cherche à vérifier les signatures comme indiqué sur le site web.
https://ubuntu.com/tutorials/how-to-verify-ubuntu#3-download-checksums-and-signatures

Donc je vais sur la page suivante https://releases.ubuntu.com/20.04.2.0/
Le problème c'est que quand je click sur le fichier SHA256SUMS pour télécharger la signature une page web s'ouvre.

mais j'ai besoin du fichier sur ma machine pour éxécuter la comande

gpg --keyid-format long --verify SHA256SUMS.gpg SHA256SUMS

un conseil?

ar barzh paour

quand tu cliques sur ce lien
https://releases.ubuntu.com/20.04.2.0/SHA256SUMS
une page doit s'ouvrir , elle contient les codes qui permettent de vérifier les signatures
le contenu est celui-ci (20.04.02 le 14/02/2021)

d1f2bf834bbe9bb43faf16f9be992a6f3935e65be0edece1dee2aa6eb1767423 *ubuntu-20.04.2-live-server-amd64.iso
93bdab204067321ff131f560879db46bee3b994bf24836bb78538640f689e58f *ubuntu-20.04.2.0-desktop-amd64.iso

pour toi c'est la deuxième ligne qui importe

93bdab204067321ff131f560879db46bee3b994bf24836bb78538640f689e58f

Nuliel

Bonjour,
Ici vérifier la signature n'est pas de comparer les checksum avec celle attendue (ce qui reste néanmoins une bonne pratique) mais vérifier que le fichier contenant les checksum provient bien de quelqu'un de confiance, ce qui se fait avec gpg. Pour cela il suffit juste d'aller à la page suivante: https://ubuntu.com/tutorials/how-to-verify-ubuntu#4-retrieve-the-correct-signature-key

Tu peux faire un clic droit sur le lien de SHA256SUMS et faire "enregistrer la cible du lien sous".

Tu es sous quel OS actuellement? Si tu es sur ubuntu, tu ne devrais pas avoir besoin d'importer leur clé GPG

[HS]@ar barzh paour: le message signalé était un spam, citer un message au hasard et ajouter un lien est une de leur technique[/HS]

ar barzh paour

@Nuliel
ok j'ai confondu checksum et cheksum

:o :o et pour le spam .... j'ai sans doute été le premier a me faire avoir en cliquant sur le lien .... :o :o

Kixix

Nuliel a écritTu peux faire un clic droit sur le lien de SHA256SUMS et faire "enregistrer la cible du lien sous".

Merci, c'était tout simple enfaite.

Nuliel a écritTu es sous quel OS actuellement? Si tu es sur ubuntu, tu ne devrais pas avoir besoin d'importer leur clé GPG

Sous Ubuntu.

Nuliel a écritIci vérifier la signature n'est pas de comparer les checksum avec celle attendue

Si, si c'était bien mon but. Pour éviter ce problème :
https://blog.linuxmint.com/?p=2994
Si je ne me trompe pas vérifié la clef GPG me sert à vérifier que c'est bien l'éditeur d'ubuntu qui ma envoyé l'iso. Cela me protège des attacque type homme du milieu.
Mais si je veux être sûr que L'OS est fiable il faut que je vérifie l'iso avec SHA256SUMS.gpg que j'ai d'abord vérifié avec SHA256SUMS. Que je dois vérifier visuellement en le comparent au autres fichiers provenant d'autre sources. C'est bien ça?

Nuliel

Alors tu ne cherches pas à vérifier la signature mais la somme de contrôle. La commande sha256sum sur l'iso te donnera un résultat à comparer avec SHA256SUMS

Kixix

Ok merci, résolu.