Clef PGP admin F-Droid invalide (selon GPA)

Bonjour,

Une “petite” question.
Concernant une clef PGP, amin@f-droid.org, ID de clef: 1DBA2E89, qui serait invalide, selon mon gestionnaire de clef. Cette clef est utilisée pour signer le fichier conversations qui est ici: https://f-droid.org/fr/packages/eu.siacs.conversations/

J’avoue qu’au cours de la récupération des clefs PGP, j’en ai supprimé une qui faisait bugger/ramer le système, elle était signée par plein d’autres adresses.

Il me semble avoir vu quelque-part (de mémoire sur Wikipédia, mais je ne retrouve plus…) que le système des clef PGP avait été attaqué par des personnes qui avaient “spamé” en validant à outrance certaines clefs.

Donc mes questions:
-est-ce que je me trompe sur les faits?
-en supposant qu’une clef utilisée par F-Droid pour valider ses fichiers a été “trop gavée de validation au point de la faire planter”, comment peux-t-on maintenant vérifier la validité des fichiers signés par cette clef?

How do you check exactly?

Pour obtenir les clef publiques, il y a une page sur le site de F-Droid qui indique les clefs utilisées par F-Droid pour signer les APK. Je les ai recherchées au travers de gpa (en utilisant l’adresse mail). Dans le lot, il y avait celle qui faisait planter et une autre révoquée, celles-ci, je les ai supprimés.

Quand je télécharge des APK, je place toujours le fichier et la signature dans le même dossier.

Pour la vérification proprement dite, j’utilise gpa, l’assistant graphique de gnupg.
Cet assistant comporte une fonction nommée “gestionnaire de fichier”, c’est elle que j’utilise. Je sélectionne l’APK, et je clique sur “vérifier la signature”, gpa me signale qu’il y a une signature PGP qui pourrait correspondre et me demande s’il doit la vérifier, je clique “oui”. il me répond alors avec l’ID de clef, l’état (clef invalide),le nom d’utilisateur et la description (Uncertain signature by F-Droid…)

It works for me. I followed these steps:

  1. Find the key (“admin@f-droid.org” 1dba2e89)

https://keyserver.ubuntu.com/pks/lookup?search=admin%40f-droid.org&fingerprint=on&op=index

The only result matches the primary key fingerprint from the Release Channels and Signing Key (ending in 1dba2e89). Here’s the entire key: https://keyserver.ubuntu.com/pks/lookup?op=get&search=0x37d2c98789d8311948394e3e41e7044e1dba2e89

  1. Import the key

Copy and paste the public key block into a text file (e.g. f-droid.key) and run gpg --import.

> gpg --import f-droid.key 
gpg: key 41E7044E1DBA2E89: 2 duplicate signatures removed
gpg: key 41E7044E1DBA2E89: 48 signatures not checked due to missing keys
gpg: key 41E7044E1DBA2E89: public key "F-Droid <admin@f-droid.org>" imported
gpg: Total number processed: 1
gpg:               imported: 1
gpg: no ultimately trusted keys found
  1. Verify your download

Put the download and corresponding signature together and run gpg --verify.

> ls
eu.siacs.conversations_388.apk  eu.siacs.conversations_388.apk.asc
> gpg --verify eu.siacs.conversations_388.apk.asc 
gpg: assuming signed data in 'eu.siacs.conversations_388.apk'
gpg: Signature made Mon 01 Jun 2020 03:59:14 AM MST
gpg:                using RSA key 7A029E54DD5DCE7A
gpg: Good signature from "F-Droid <admin@f-droid.org>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 37D2 C987 89D8 3119 4839  4E3E 41E7 044E 1DBA 2E89
     Subkey fingerprint: 802A 9799 0161 1234 6E1F  EFF4 7A02 9E54 DD5D CE7A

The file has a “good signature”, but we’re also warned that the key itself isn’t trusted. I ran these commands on an empty keychain and haven’t made any effort to validate the key.

Les spécialistes n’ont pas pitié des débutants qui préfèrent les interfaces graphiques aux lignes de code :grin: :yum:

ok, si j’ai bien compris, mon problème, c’est que chez moi, c’est pas configuré pour aller chercher la clef au bon endroit…

Donc, il faudrait une liste de serveurs (digne de confiance) de clef. Au final, c’est un peu le serpent qui se mord la queue? (Sorry, it’s hard to translate it, i mean, it’s a vicious circle, to trust a key we need several trusted server)

Donc, je dois mettre à jour les serveurs de clefs utilisés par GPG :no_mouth:
Et donc pas de problème avec la clef en elle même, mais avec la configuration chez moi…

This topic was automatically closed 60 days after the last reply. New replies are no longer allowed.