Vérifier les Téléchargements

Vérifier pour le sabotage

Cette méthode vérifiera la signature du fichier de somme de contrôle SHA256SUMS. En prouvant que la signature digitale du fichier appartient à Ubuntu, vous pouvez en toute confiance utiliser ces sommes de contrôle pour vérifier que les fichiers téléchargés n’ont pas été sabotés ou corrompus.

Preparations

Windows

Nous vous recommandons d’utiliser le Sous-système Windows pour Linux (WSL), qui vous permet d’exécuter Ubuntu sous Windows. Cela vous fournira un environnement GNU/Linux pour exécuter des commandes GPG et de contrôle de somme.

Pour de l’aide pour l’installation de cet environnement, veuillez voir:

• https://ubuntu.com/tutorials/tutorial-ubuntu-on-windows

Une fois installé, allez à la section étapes.

macOS

Vous devez installer GnuPG (utilitaire pour vérifier la signature) et sha256sum (pour vérifier la somme de contrôle). Nous vous recommandons d’installer cela par Homebrew, un gestionnaire de paquets en ligne de commande pour macOS.

1. Installez: https://brew.sh/

2. Exécutez:

   brew install gnupg
   brew install coreutils
   

Une fois installé, allez à la section étapes.

GNU/Linux

La plupart - voire toutes - les distros (y compris Ubuntu MATE) sont offertes avec des paquets préchargés qui fournissent gnupg et sha256sum. Si ce n’est pas le cas de la vôtre, vous pouvez installer ces paquets par le gestionnaire de paquets de votre distro.

Dans Ubuntu, sha256sum est fourni avec coreutils.

Étapes

1. Obtenir les sommes de contrôle et la signature

Pour les téléchargements fournis par Canonical:

• http://cdimages.ubuntu.com/ubuntu-mate/releases/
• Téléchargez les fichiers SHA256SUM et SHA256SUM.gpg.

Le serveur de téléchargement de Canonical est en HTTP ! Est-ce sécurisé ?

C’est une question fréquemment posée. Nous utilisons l’infrastructure de Canonical étant une variante officielle d’Ubuntu. Bien des miroirs d’archives n’utilisent pas le SSL pour réduire la surcharge de l’HTTPS.

L’empreinte digitale GPG est validée contre la clé de serveur d’Ubuntu. Alors, peu importe où vous avez obtenu le fichier, si les signatures coïncident, vous pouvez faire confiance au fichier.

Ou pour les portages d’appareil fournis par nous:

• https://releases.ubuntu-mate.org
• Téléchargez les fichiers .sha256 et .sha256.sign.

Tout d’abord, voyons voir si vous disposez de la clé de signature:

gpg --keyid-format long --verify SHA256SUMS.gpg SHA256SUMS

Ou:

gpg --keyid-format long --verify *.sha256.sign *.sha256

SI cela dit:

gpg: Signature made Thursday, October 17, 2019 PM03:13:47 BST

gpg: using DSA key 46181433FBB75451

gpg: Can’t check signature: No public key

gpg: Signature made Thursday, October 17, 2019 PM03:13:47 BST

gpg: using RSA key D94AA3F0EFE21092

gpg: Can’t check signature: No public key

Si vous n’avez pas la clé publique, voir étape 2, sinon passez à l’étape 3.

2. Récupérez la clé (si applicable)

Voici comment télécharger la clé de signature à partir du serveur de clé de façon sécurisée. Cela doit être fait une seule fois sauf si d’aventure, les clés étaient mises à jour.

Dans cet exemple, les deux clés sont 46181433FBB75451 et D94AA3F0EFE21092. Exécutez cette commande, mais ajoutez 0x au début de ces clés, comme ceci:

gpg --keyid-format long --keyserver hkp://keyserver.ubuntu.com --recv-keys 0x46181433FBB75451 0xD94AA3F0EFE21092

Vous devriez avoir une sortie comme celle-ci:

gpg: key D94AA3F0EFE21092: public key “Ubuntu CD Image Automatic Signing Key (2012) [email protected]” imported

gpg: key 46181433FBB75451: 110 signatures not checked due to missing keys

gpg: key 46181433FBB75451: public key “Ubuntu CD Image Automatic Signing Key [email protected]” imported

gpg: no ultimately trusted keys found

gpg: Total number processed: 2

gpg: imported: 2

Ou:

gpg: key 7454357CFFEE1E5C: public key “Martin Wimpress [email protected]” imported gpg: Total number processed: 1 gpg: imported: 1

La suspicion est de mise si la clé publique appartient à un parfait inconnu, ou si elle paraît fausse.

3. Cela correspond-il ?

Exécutez cette commande:

gpg --keyid-format long --verify SHA256SUMS.gpg SHA256SUMS

Et la sortie:

gpg: Signature made Thursday, October 17, 2019 PM03:13:47 BST

gpg: using DSA key 46181433FBB75451

gpg: Good signature from “Ubuntu CD Image Automatic Signing Key [email protected]” [unknown]

gpg: WARNING: This key is not certified with a trusted signature!

gpg: There is no indication that the signature belongs to the owner.

Primary key fingerprint: C598 6B4F 1257 FFA8 6632 CBA7 4618 1433 FBB7 5451

gpg: Signature made Thursday, October 17, 2019 PM03:13:47 BST

gpg: using RSA key D94AA3F0EFE21092

gpg: Good signature from “Ubuntu CD Image Automatic Signing Key (2012) [email protected]” [unknown]

gpg: WARNING: This key is not certified with a trusted signature!

gpg: There is no indication that the signature belongs to the owner.

Primary key fingerprint: 8439 38DF 228D 22F7 B374 2BC0 D94A A3F0 EFE2 1092

Notez les lignes en gras qui confirment que le fichier a été signé par l’équipe d’Ubuntu. Si ce n’était pas véritable, le résultat serait MAUVAISE signature.

The “key is not certified” message is simply because you haven’t explicitly told GnuPG to trust this key. This is optional. You can learn more about GnuPG on the wiki page.

4. Vérifier les ISOs

Maintenant que nous savons que le fichier de somme de contrôle n’a pas été saboté, vous pouvez enchaîner avec la vérification pour la corruption comme d’habitude.

sha256sum -c SHA256SUMS 2>&1 | grep OK

Vous devriez voir “OK” dans sa sortie:

ubuntu-mate-20.04-desktop-amd64.iso: OK

Une sortie vide signifierait que le fichier est corrompu et devrait être téléchargé à nouveau.

Il y a d’autres manières de réaliser une vérification des sommes de contrôle qui ne requièrent pas un terminal, jetez un œil à notre page Vérifier pour la corruption pour plus de détails.

Cette page est une adaptation du tutoriel de vérification d’Ubuntu.