PGP Tool

Apprendre · 5 min de lecture

Comment vérifier une signature PGP — et pourquoi vous devriez le faire

Une signature sur un fichier de version n'est utile que si vous la vérifiez réellement. Voici le flux de travail en 30 secondes, et ce que chaque étape prouve vraiment.

Vous avez téléchargé un binaire, le développeur a publié une signature .asc à côté, et maintenant ? La plupart des gens ne font rien. Les rares qui vérifient détectent les attaques de chaîne d'approvisionnement avant d'exécuter du code compromis.

Ce qu'une signature prouve réellement

Une signature PGP valide prouve deux choses : (1) le fichier n'a pas été altéré depuis sa signature, et (2) il a été signé par quelqu'un détenant la clé privée dont vous avez utilisé la contrepartie publique pour vérifier. Elle ne prouve pas que le signataire est honnête, ni que la clé publique que vous utilisez est bien la sienne.

Cette deuxième clause est importante. Si un attaquant remplace le fichier publié ET publie sa propre clé publique à côté, la signature se vérifiera parfaitement — contre la mauvaise clé. La seule défense est d'établir la clé du signataire hors bande : une empreinte publiée sur un domaine différent, un journal de transparence, une recherche sur un serveur de clés, ou un échange en personne.

Le flux de vérification

  1. Téléchargez le fichier et la signature (typiquement file.tar.gz et file.tar.gz.asc).
  2. Obtenez la clé publique du signataire. Préférez une source sans rapport avec le binaire — un serveur de clés, une empreinte imprimée lors d'une conférence, ou un profil public sur un domaine différent.
  3. Ouvrez l'outil Vérifier et collez la signature, le fichier original et la clé publique.
  4. Confirmez que le résultat de vérification affiche « Signature valide » avec le signataire attendu.
  5. Vérifiez l'empreinte de la clé publique par rapport à la source en laquelle vous avez confiance.

Détachée vs clearsign vs chiffrée-et-signée

  • Signature détachée — le .asc se trouve dans un fichier séparé. Utilisée pour les binaires, archives, gros blobs.
  • Message clearsigné — le texte signé et la signature sont tous deux dans le même .asc, avec le texte original en clair. Utilisée pour les e-mails et les annonces.
  • Chiffrée+signée — le message est à la fois chiffré pour le destinataire et signé par l'expéditeur. Déchiffrez d'abord, puis vérifiez la signature intérieure.

Erreurs courantes

  • Vérifier avec une clé publique téléchargée depuis le même endroit que le binaire — annule le but de l'opération.
  • Ignorer les avertissements « bonne signature, mais clé non certifiée » sans vérifier l'empreinte.
  • Réenregistrer le fichier avant la vérification — les modifications de fin de ligne cassent les signatures détachées.