Vérification de l'authenticité des CD Debian
Les publications officielles de CD Debian sont fournies
avec des fichiers de sommes de contrôle signés. Vous pouvez les rechercher
coté des images dans les répertoires iso-cd
,
jigdo-dvd
, iso-hybrid
, etc.
Cela vous permet de vérifier que les images téléchargées sont correctes.
Tout d'abord, les sommes de contrôle permettent de vérifier
que les CD n'ont pas été corrompus pendant leur téléchargement.
Ensuite, les signatures des fichiers de sommes de contrôle permettent
de confirmer que les fichiers sont ceux officiellement publiés par
les équipes Debian CD et Debian Live et qu’ils n'ont pas été altérés.
Pour valider le contenu d'une image de CD, assurez-vous
d'utiliser l'outil de sommes de contrôle approprié.
Des algorithmes de sommes de contrôle sûrs d'un point de vue cryptographique
(SHA256 et SHA512) sont utilisés pour toutes les publications. Pour leur mise
en œuvre, les outils sha256sum
ou sha512sum
sont
employer.
Pour s'assurer que les fichiers de sommes de contrôle sont eux-mêmes
corrects, utilisez GnuPG pour les vérifier à l'aide des fichiers de
signatures qui les accompagnent (par exemple SHA512SUMS.sign
).
Les clefs utilisées sont toutes dans le trousseau GPG Debian et la meilleure façon de les vérifier est d'utiliser
ce trousseau pour valider à l'aide du réseau de confiance.
Pour faciliter la vie des utilisateurs, voici les empreintes des clefs
qui ont été utilisées pour les publications de ces dernières années :
pub 4096R/64E6EA7D 2009-10-03 Empreinte de la clef = 1046 0DAD 7616 5AD8 1FBC 0CE9 9880 21A9 64E6 EA7D uid Debian CD signing key <debian-cd@lists.debian.org> pub 4096R/6294BE9B 2011-01-05 Empreinte de la clef = DF9B 9C49 EAA9 2984 3258 9D76 DA87 E80D 6294 BE9B uid Debian CD signing key <debian-cd@lists.debian.org> sub 4096R/11CD9819 2011-01-05 pub 4096R/09EA8AC3 2014-04-15 Empreinte de la clef = F41D 3034 2F35 4669 5F65 C669 4246 8F40 09EA 8AC3 uid Debian Testing CDs Automatic Signing Key <debian-cd@lists.debian.org> sub 4096R/6BD05CFB 2014-04-15