Questions générales sur Manjaro Linux.
S'il vous plaît, avant de poster, essayez la fonction de recherche du forum.
Répondre

Clés GPG pour téléchargement des paquets ..

#1Messageil y a 4 ans

Bonjour,

Bête question:

J’essaye de bien saisir le fonctionnement des clés GPG. J’ai saisi le principe pour SSH mais moins en ce qui concerne le téléchargement de paquets venant des dépôts ! En gros, les clés publiques des dépôts sont déjà pré-installés sur nos machines ou doit-on les importer nous-mêmes en locale ? Et quel est le système d’authentification/intégrité/confidentialité de la communication avec ces dépôts (celui comme avec ssh avec la combinaison de chiffrement asymétrique / symétrique) ou autre? Comment peut-on authentifié une clé publique? Est-ce via l’empreinte de la clé?

Merci.

Clés GPG pour téléchargement des paquets ..

#2Messageil y a 4 ans

bonjour,

Tu peux voir dans les annonces (ERREUR de clés) que les clés des dépôts officiels sont importées par les paquets manjaro-keyring et archlinux-keyring (car nous avons des paquets importés directement de archlinux)
Ces clés sont gérés via pacman-key( voir wiki arch)

Quelques paquets (bin) aur nécessitent aussi des clés mais ici elles sont importées manuellement (pamac les importe automatiquement)

Clés GPG pour téléchargement des paquets ..

#3Messageil y a 4 ans

Donc les clés sont importés automatiquement (ou parfois manuellement) et donc notre machine chiffre un message avec une clé symétrique vers le(s) serveur(s)-dépôts et c’est là que la communication chiffrée (téléchargement de paquets) commence c’est bien cela? Par contre je vois parfois des communications avec des dépôts en http et non en https et est-ce donc des communications non chiffrées (que n’importe qui peut intercepter et changer)?

Clés GPG pour téléchargement des paquets ..

#4Messageil y a 4 ans

non non rien a voir avec la communication

ici les clés sont pour contrôler que le paquet téléchargé est bien "chiffré" par le mainteneur/développeur (donc que nous avons bien l'original et non un paquet modifié)
les paquets sont signés !

Après réception (sécurise ou non), pacman test l'intégrité du paquet : être sûr que le paquet est un original construit par une clé venant de ***-keyring

Clés GPG pour téléchargement des paquets ..

#5Messageil y a 4 ans

Et si le mainteneur change sa clé de chiffrement ? Il y aura alors un message erreur ou c’est pacman-key qui se chargera de récupérer la nouvelle clé ? Et pour la communication en https (et parfois en http)?

Clés GPG pour téléchargement des paquets ..

#6Messageil y a 4 ans

Oui, les mainteneurs changent de clés, c'est pourquoi nous avons dans nos mises à jour parfois un "*-keyring" :wink:

EDIT : Comme dit plus haut, puisque le paquet est contrôlé après téléchargement, que la communication soit sécurisée ou non ne change rien - Tu choisis le protocole de ton miroir, rien n'est imposé - c'est un téléchargement classique. Dans pacman.conf tu peux même changer de logiciel pour télécharger (wget, curl, lftp ...)

Clés GPG pour téléchargement des paquets ..

#7Messageil y a 4 ans

D’accord et pour le téléchargement des paquets, c’est du « https » classique qui rentre en jeu c’est bien cela ?

Merci pour tes réponses !
Répondre