Avant de vérifier un fichier signé par GPG, il vous faut :

  1. Un logiciel de gestion des clés (voir GPG #1)
  2. Une paire de clés (voir GPG #1)
  3. Le fichier à vérifier
  4. Le fichier de signature (.sig, .asc) dans le même répertoire
  5. La clé publique du fournisseur du fichier que vous voulez vérifier (si vous ne l’avez pas vous pourrez la télécharger facilement après).

 

 

Vérification en CLI (tous systèmes) :

 

La commande pour vérifier un fichier est la suivante mais elle vous remontera une erreur si vous ne possédez pas la clé publique du fournisseur (étape 5) :

On télécharge la clé publique du fournisseur de cette manière :

Puis on recommence :

Vous devriez voir :

 

 

Vérification avec KGPG (sous KDE) :

 

Lancez KGPG.

Ouvrir l’éditeur.

Signature -> Vérifier une signature.

Allez chercher votre fichier de signature.

Si vous n’avez pas la clé publique du fournisseur du fichier, KGPG vous prévient et vous demande si vous voulez la télécharger.

Vous l’importez et vous recommencez :

Signature -> Vérifier une signature.

Allez chercher votre fichier de signature.

KGPG doit vous dire que la clé est correcte mais qu’elle n’est pas approuvée.

C’est bon !

 

 

Vérification avec Gnu4Win (GPA) :

Lancer GPA (Gnu Privacy Assistant).

Aller dans fichiers , puis ouvrir :

Allez chercher le fichier de signature (.sig ou .asc)

Cliquez sur vérifier.

Si vous ne possédez pas la clé publique du fournisseur du fichier, GPA va vous alerter (de la même manière qu’il le fait en ligne de commandes).

Il faut donc fermer la fenêtre actuelle, télécharger la clé concernée puis recommencer l’opération :

Dans le gestionnaire de clés (key manager), allez dans le menu Serveur > Récupération de clés

Tapez l’identifiant de clé qui était en erreur tout à l’heure.

Recommencez la vérification.

 

Sur le même sujet :