Ce wikiHow vous apprend à vérifier la signature PGP d'un fichier téléchargé. Vous devez toujours vérifier la signature PGP d'un fichier signé pour vous assurer que la version que vous avez téléchargée est officielle. Pour vérifier la signature, vous aurez besoin de la clé publique de l'éditeur, du fichier de signature du logiciel et de GnuPG. GnuPG est préinstallé dans toutes les distributions Linux, mais vous devrez l'installer si vous utilisez Windows ou macOS.
Pas
Méthode 1 sur 2: Linux et macOS
Étape 1. Installez GPG si vous utilisez un Mac
Si vous utilisez une installation Linux en dehors de macOS, vous pouvez ignorer cette étape. Les utilisateurs de macOS doivent d'abord installer Homebrew, puis l'utiliser pour installer le package logiciel GnuPG:
- Ouvert Terminal, que vous trouverez dans Applications > Utilitaires.
- Tapez /bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install.sh)" et appuyez sur Revenir.
- Suivez les instructions à l'écran pour installer Homebrew.
- Une fois Homebrew installé, tapez brew install gnupg et appuyez sur Revenir.
Étape 2. Téléchargez le fichier de signature PGP
C'est le fichier qui se termine par.sig. Assurez-vous d'enregistrer le fichier de signature dans le même répertoire que le fichier que vous souhaitez vérifier.
Un moyen simple de le faire à partir de l'invite de commande consiste à entrer dans le répertoire approprié et à télécharger le fichier à l'aide de wget
Étape 3. Téléchargez la clé publique du signataire
Vous pouvez généralement le télécharger à partir du site Web du signataire ou en enregistrant une pièce jointe à un e-mail sur votre ordinateur. Le fichier de clé publique se termine généralement par.asc.
- Comme pour le téléchargement du fichier de signature, vous pouvez utiliser wget pour télécharger la clé publique.
- Si vous avez l'ID de clé mais pas un chemin pour télécharger le fichier, utilisez cette commande pour obtenir la clé: gpg --recv-keys KEYID. Si vous recevez la clé de cette manière, ignorez l'étape 4 et passez directement à l'étape 5.
Étape 4. Importez la clé publique dans votre trousseau de clés publiques
Vous pouvez le faire avec la commande suivante dans une fenêtre de terminal:
- gpg --import CLÉ PUBLIQUE.
- Remplacez PUBLICKEY par le nom de fichier réel.
Étape 5. Vérifiez la signature
Maintenant que tous les fichiers sont dans leurs emplacements corrects, vous pouvez vérifier la signature avec la commande suivante:
- gpg --verify FICHIER SIGNATURE. SIG.
- Remplacez SIGNATURE. SIG par le nom du fichier de signature et FILE par le nom du fichier que vous souhaitez vérifier.
- Si la sortie indique « bonne signature », vous avez vérifié la clé avec succès. Si la signature est mauvaise, vous saurez que le fichier est cassé ou a été modifié depuis la signature.
Méthode 2 sur 2: Windows
Étape 1. Installez Gpg4win
Vous pouvez obtenir l'application sur https://www.gpg4win.org/download.html. Pendant l'installation, vous verrez une liste des applications qui seront installées. Conservez simplement les options par défaut sélectionnées.
L'emplacement d'installation par défaut est C:\Program Files (x86)\Gnu\GnuPg\gpg.exe. Lorsque vous exécutez la commande requise pour vérifier la signature, vous devez entrer le chemin complet vers le gpg.exe déposer. Si vous choisissez un emplacement d'installation différent, assurez-vous de vous souvenir du chemin complet.
Étape 2. Téléchargez la signature PGP
C'est le fichier qui se termine par.sig. Vous devrez enregistrer le fichier dans le même répertoire que le fichier que vous souhaitez vérifier.
Étape 3. Téléchargez la clé publique du signataire
Vous pouvez généralement le télécharger à partir du site Web du signataire ou en enregistrant une pièce jointe à un e-mail sur votre ordinateur. Le fichier de clé publique se termine généralement par.asc. Cela devrait également être enregistré dans le même dossier.
Étape 4. Ouvrez l'explorateur de fichiers Windows
C'est l'icône du dossier dans la barre des tâches. Vous pouvez également l'ouvrir en appuyant sur le bouton Clé Windows + E.
Étape 5. Ouvrez le dossier contenant la signature et le fichier que vous souhaitez vérifier
Si vous ne voyez pas de volet de navigation dans le panneau de gauche de l'explorateur de fichiers, cliquez sur le bouton Vue menu en haut et sélectionnez Volet de navigation puis Volet de navigation à nouveau pour l'évoquer. Cela permet de trouver plus facilement ce que vous cherchez.
Étape 6. Appuyez sur ⇧ Shift pendant que vous faites un clic droit dans le dossier
Un menu se développera.
Étape 7. Cliquez sur Ouvrir l'invite de commande ici
Si vous ne voyez pas cette option, sélectionnez Ouvrez la fenêtre PowerShell ici.
Étape 8. Importez le fichier de clé publique dans votre trousseau
Voici comment:
- Tapez C:\Program Files (x86)\Gnu\GnuPg\gpg.exe --import PUBLICKEY et appuyez sur Entrer. Remplacez PUBLICKEY par le nom de fichier réel.
- Si vous n'avez pas de fichier contenant la clé publique, mais que vous avez un ID de clé, utilisez plutôt cette commande: C:\Program Files (x86)\Gnu\GnuPg\gpg.exe --recv-keys KEYID.
Étape 9. Vérifiez la signature
Maintenant que les fichiers sont prêts, voici comment vérifier la signature:
- C:\Program Files (x86)\Gnu\GnuPg\gpg.exe --verify SIGNATURE. SIG FILE.
- Remplacez SIGNATURE. SIG par le nom du fichier de signature et FILE par le nom du fichier que vous souhaitez vérifier.
- Si la sortie indique « bonne signature », vous avez vérifié la clé avec succès. Si la signature est mauvaise, vous saurez que le fichier est cassé ou a été modifié depuis la signature.
