J’avoue qu’au cours de la récupération des clefs PGP, j’en ai supprimé une qui faisait bugger/ramer le système, elle était signée par plein d’autres adresses.
Il me semble avoir vu quelque-part (de mémoire sur Wikipédia, mais je ne retrouve plus…) que le système des clef PGP avait été attaqué par des personnes qui avaient “spamé” en validant à outrance certaines clefs.
Donc mes questions:
-est-ce que je me trompe sur les faits?
-en supposant qu’une clef utilisée par F-Droid pour valider ses fichiers a été “trop gavée de validation au point de la faire planter”, comment peux-t-on maintenant vérifier la validité des fichiers signés par cette clef?
Pour obtenir les clef publiques, il y a une page sur le site de F-Droid qui indique les clefs utilisées par F-Droid pour signer les APK. Je les ai recherchées au travers de gpa (en utilisant l’adresse mail). Dans le lot, il y avait celle qui faisait planter et une autre révoquée, celles-ci, je les ai supprimés.
Quand je télécharge des APK, je place toujours le fichier et la signature dans le même dossier.
Pour la vérification proprement dite, j’utilise gpa, l’assistant graphique de gnupg.
Cet assistant comporte une fonction nommée “gestionnaire de fichier”, c’est elle que j’utilise. Je sélectionne l’APK, et je clique sur “vérifier la signature”, gpa me signale qu’il y a une signature PGP qui pourrait correspondre et me demande s’il doit la vérifier, je clique “oui”. il me répond alors avec l’ID de clef, l’état (clef invalide),le nom d’utilisateur et la description (Uncertain signature by F-Droid…)
Copy and paste the public key block into a text file (e.g. f-droid.key) and run gpg --import.
> gpg --import f-droid.key
gpg: key 41E7044E1DBA2E89: 2 duplicate signatures removed
gpg: key 41E7044E1DBA2E89: 48 signatures not checked due to missing keys
gpg: key 41E7044E1DBA2E89: public key "F-Droid <admin@f-droid.org>" imported
gpg: Total number processed: 1
gpg: imported: 1
gpg: no ultimately trusted keys found
Verify your download
Put the download and corresponding signature together and run gpg --verify.
> ls
eu.siacs.conversations_388.apk eu.siacs.conversations_388.apk.asc
> gpg --verify eu.siacs.conversations_388.apk.asc
gpg: assuming signed data in 'eu.siacs.conversations_388.apk'
gpg: Signature made Mon 01 Jun 2020 03:59:14 AM MST
gpg: using RSA key 7A029E54DD5DCE7A
gpg: Good signature from "F-Droid <admin@f-droid.org>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 37D2 C987 89D8 3119 4839 4E3E 41E7 044E 1DBA 2E89
Subkey fingerprint: 802A 9799 0161 1234 6E1F EFF4 7A02 9E54 DD5D CE7A
The file has a “good signature”, but we’re also warned that the key itself isn’t trusted. I ran these commands on an empty keychain and haven’t made any effort to validate the key.
Les spécialistes n’ont pas pitié des débutants qui préfèrent les interfaces graphiques aux lignes de code
ok, si j’ai bien compris, mon problème, c’est que chez moi, c’est pas configuré pour aller chercher la clef au bon endroit…
Donc, il faudrait une liste de serveurs (digne de confiance) de clef. Au final, c’est un peu le serpent qui se mord la queue? (Sorry, it’s hard to translate it, i mean, it’s a vicious circle, to trust a key we need several trusted server)
Donc, je dois mettre à jour les serveurs de clefs utilisés par GPG
Et donc pas de problème avec la clef en elle même, mais avec la configuration chez moi…
