Contrôle iso mal compris

Subitou · Décembre 5, 2021, 8:59am

Bonjour à toutes et tous,

Actuellement sous Kubuntu 18.04, je souhaiterais tester la dernière version (stable) de Debian.

À partir de la page : Debian -- Le système d'exploitation universel, j’ai téléchargé l’iso de la " * version netinst pour Debian 11" dans mon dossier « ISO ».

Dans le même dossier, j’ai enregistré les fichiers : « SHA512SUMS » et « SHA512SUMS.sign ». Dans la page « faq » du site je vois la commande dans un terminal (adaptée à la version 11) :

$ ./check_debian_iso SHA512SUMS debian-11.1.0-amd64-netinst.iso

Malheureusement, en me plaçant dans le dossier de l’iso, le retour du terminal dit ne pas trouver le dossier ou fichier. Je soupçonne que la commande ne pointe pas au bon endroit, dans ce cas je ne sais pas l’adapter, si toutefois c’est biens la procédure.

L’iso fait seulement un peu plus de 396 Mo, elle est une « netinst », j’ai cru lire que d’autres choses doivent être téléchargées, j’ignore à quel moment et si se serait possible au moment du test avec une clé live.

Necromago · Décembre 3, 2021, 12:20pm

Bonjour,

utilisez-vous ce qui est indiqué sur cette page ?

https://www.debian.org/CD/verify

PengouinPdt · Décembre 4, 2021, 4:46am

normalement, et à moins que je ne me trompe, c’est plutôt :

$ sha512sum -c --ignore-missing SHA512SUMS

Subitou · Décembre 4, 2021, 8:42am

Bonjour Necromago, merci pour votre intervention.

Oui pour la page, enfin j’essaie d’abord de comprendre. Par exemple, il faut contrôler les sommes de contrôle avec GnuPG. Je ne le trouve pas même à installer dans Kubuntu. J’ai enregistré un fichier " sha512sum " mais je ne le connais pas comme outil. Ensuite comment utiliser « SHA512SUMS.sign » qui doit bien servir dans ce contrôle.

Subitou · Décembre 4, 2021, 8:56am

Bonjour PengouinPdt,

J’ai testé cette solutiion depuis le dossier « ISO », et voici le retour du terminal :

~/DEBIAN/ISO$ sha512sum -c --ignore-missing SHA512SUMS
debian-11.1.0-amd64-netinst.iso: Réussi

Puis-je le considérer comme suffisant pour le contrôle de l’iso ?

MicP · Décembre 4, 2021, 9:27am

Bonjour

Je serai bien étonné que le paquetage gpg ne soit pas installé,
car si c’était le cas, la Vérification d’authenticité des paquets ne pourrait pas se faire.

Tu peux confirmer que le paquetage gpg est bien installé
en lançant la ligne de commande suivante :

apt policy gpg

Tu devrais avoir accès au manuel de la commande gpg :

man gpg

Subitou · Décembre 4, 2021, 11:59am

Merci MicP.

Eh oui, bête mais pas méchand , j’ai cherché GnuPG dans le Gestionnaire de paquets et Discover.

Sinon le retour de la commande au terminal donne :

gpg:
  Installé : 2.2.4-1ubuntu1.4
  Candidat : 2.2.4-1ubuntu1.4
 Table de version :
 *** 2.2.4-1ubuntu1.4 500
        500 http://fr.archive.ubuntu.com/ubuntu bionic-updates/main amd64 Packages
        100 /var/lib/dpkg/status
     2.2.4-1ubuntu1.3 500
        500 http://security.ubuntu.com/ubuntu bionic-security/main amd64 Packages
     2.2.4-1ubuntu1 500
        500 http://fr.archive.ubuntu.com/ubuntu bionic/main amd64 Packages

Quant à man gpg, la sortie est fournie en toutes sortes de commandes, en anglais et je devrais y trouver l’utilisation de GnuPG pour vérifier l’authenticité de l’iso ?

Donc, il y en a pour un bout de temps à me dépatouiller de tout ça.

PengouinPdt · Décembre 4, 2021, 12:07pm

Absolument !
Cela vérifie qu’il est bien conforme à l’original.

Quant à la clé GPG, c’est histoire de vérifier que l’auteur du projet est bien l’auteur de l’image ISO en question

Par contre, sur ce coup, je ne suis pas sûr de moi ; essayes :

$ gpg --verify fichier-de-signature image.iso

dindoun · Décembre 4, 2021, 12:18pm

pas totalement d’accord
on a vérifié que le sha512sum correspondait au fichier décrit dans SHA512SUMS, mais rien ne prouve que le fichier SHA512SUMS soit le vrai

Subitou · Décembre 4, 2021, 3:14pm

La commande :
gpg --verify SHA512SUMS.sign debian-11.1.0-am
d64-netinst.iso
me retourne :
gpg: Signature faite le sam. 09 oct. 2021 22:53:48 CEST
gpg: avec la clef RSA DF9B9C49EAA9298432589D76DA87E80D6294BE9B
gpg: Impossible de vérifier la signature : Pas de clef publique

Subitou · Décembre 5, 2021, 8:33am

À ce stade je me perds dans les procédures , lecture et relecture des tutos sur la question, d’autant plus qu’elles ne renvoient pas une réponse décisive.

L’application graphique « Gtkhash » que je viens d’essayer, me renvoie d’autres chiffrements sans me dire si tout va bien ou non pour l’iso .

Je ne désespère pas d’avoir au final, une idée claire dans une méthode que je conçois bien.

PengouinPdt · Décembre 5, 2021, 9:13am

Bon, on va reprendre clairement depuis le début :

Téléchargement de l’ISO et des fichiers de signature et somme de contrôle sha512 depuis le site officiel :

Vérification de l’authenticité du CD :
2.1 Téléchargement des clés GPG :

$ gpg --keyserver keyring.debian.org --recv-keys "1046 0DAD 7616 5AD8 1FBC  0CE9 9880 21A9 64E6 EA7D"
$ gpg --keyserver keyring.debian.org --recv-keys "DF9B 9C49 EAA9 2984 3258  9D76 DA87 E80D 6294 BE9B"
$ gpg --keyserver keyring.debian.org --recv-keys "F41D 3034 2F35 4669 5F65  C669 4246 8F40 09EA 8AC3"

2.2 Vérification GPG :

$ gpg --verify SHA512SUMS.sign debian-11.1.0-amd64-netinst.iso

Validation du contenu du CD :

$ sha512sum -c --ignore-missing SHA512SUMS

Voilà !

Subitou · Décembre 5, 2021, 4:15pm

Ok, je reprends tout .

L’iso « debian-11.1.0-amd64-netinst.iso » est déjà téléchargé.
J’ai déjà enregistré les fichiers :

SHA512SUMS
SHA512SUMS.sign

qui sont dans le même dossier que l’iso. Après, ça commence à se compliquer.

Tout d’abord, l’iso contient-il une clé d’authentifiaction à comparer avec une clé officielle ? Ensuite pourquoi y a t-il 3 clés à recueillir par le terminal et comment vont-elles être intégrées dans la vérification ?

Bon, je me place déjà dans mon dossier « ISO » de mon arborescence « Dossier personnel/DEBIAN/ISO » et j’ouvre un terminal pour recueillir chaque clé gpg :

En tant que nouvel utilisateur je ne peux pas inclure plus de 2 liens, je ne sais pas à quoi ça correspod… J’ai retiré les réponses des 3 clés…

Je passe à la vérification GPG :
gpg: Signature faite le sam. 09 oct. 2021 22:53:48 CEST
gpg: avec la clef RSA DF9B9C49EAA9298432589D76DA87E80D6294BE9B
gpg: MAUVAISE signature de « Debian CD signing key debian-cd@lists.debian.org » [
inconnu]

« MAUVAISE signature de… », a priori, pas de correspondance ?

Je termine avec la validation du contenu du CD :

debian-11.1.0-amd64-netinst.iso: Réussi

Subitou · Décembre 6, 2021, 8:07am

Au gré des lectures sur les vérifications, je m’aperçois qu’il y a des version iso « cdimage » et que le mien est typé « netinst ».

Par ailleurs, je n’ai pas vu l’évocation de clé usb dite « bootable » pour la version Debian.

Je me demande donc si cet iso, une fois validé, est capable de créer une clé autoamorçable de la distribution afin de la tester in vitro sur ma machine sans passer par une installation obligatoire via Internet.

antek · Décembre 6, 2021, 9:38am

Oui, l’image « netinst » est de petite taille et nécessite une connexion pour installer tous les composants alors que l’image « cd » ou « dvd » contient tous les composants (99,9…%) nécessaires à un poste de travail.

Les deux sont forcément boutables, mais ne permettent pas un fonctionnement de l’OS in vivo !
Pour ça il faut une image « live », par exemple → Index of /cdimage/unofficial/non-free/cd-including-firmware/current-live/amd64/iso-hybrid
L’installation depuis une session live (avec Calamarès) est déconseilléee (par moi !), des problèmes peuvent survenir.

Subitou · Décembre 6, 2021, 11:03am

Ok antek, je vois que je ne suis pas au fait de la question.

Pour clarifier la situation, avec mon iso actuelle, je dois installer la distribution à la place de l’actuelle, lui adjoindre ses composants fonctionnels pour un poste de travail via ma connexion Internet et constater ensuite si ça va convenir ou non ?

dindoun · Décembre 6, 2021, 4:38pm

Oui, à condition que tu aies le bon pilote pour ton rj45 et/ou wifi.

salut
n’ayant jamais eu aucun problème, peux -tu nous expliquer quels problemes tu as eus?

antek · Décembre 7, 2021, 8:37am

Je n’en ai pas eu car je ne l’ai jamais utilisé.
C’est tout un constat de la lecture « des forum ».
A noter qu’avec un live on peut utiliser l’installateur Debian, choix apparaissant à l’ouverture de la session.

Subitou · Décembre 7, 2021, 9:16am

Bonjour dindoun,

Pour tester la distribution avant installation, j’ai téléchargé l’iso « live » via la page :

https://cdimage.debian.org/debian-cd/current-live/amd64/iso-hybrid/

dans un dossier nommé « Gnome » dans « ISO », ce qui donne dorénavant l’arborescence :
« Dossier Personnel/DEBIAN/ISO/Gnome », qui rassemble les fichiers « iso » et « sha » ci-dessous.

debian-live-11.1.0-amd64-gnome.iso
SHA512SUMS
SHA512SUMS.sign

Dans le contrôle de l’iso, je n’ai pas compris ce que les commandes suivantes donnent dans la vérification :

PengouinPdt:

$ gpg --keyserver keyring.debian.org --recv-keys "1046 0DAD 7616 5AD8 1FBC  0CE9 9880 21A9 64E6 EA7D"
$ gpg --keyserver keyring.debian.org --recv-keys "DF9B 9C49 EAA9 2984 3258  9D76 DA87 E80D 6294 BE9B"
$ gpg --keyserver keyring.debian.org --recv-keys "F41D 3034 2F35 4669 5F65  C669 4246 8F40 09EA 8AC3"

Pour les autres, j’ai les mêmes retours que pour l’iso « netinst » :

~/DEBIAN/ISO/Gnome$ gpg --verify SHA512SUMS.sign debian-live-11.1.0-amd64-gnome.iso
gpg: Signature faite le sam. 09 oct. 2021 22:54:18 CEST
gpg:                avec la clef RSA DF9B9C49EAA9298432589D76DA87E80D6294BE9B
gpg: MAUVAISE signature de « Debian CD signing key <debian-cd@lists.debian.org> » [inconnu]

~/DEBIAN/ISO/Gnome$ sha512sum -c --ignore-missing SHA512SUMS
debian-live-11.1.0-amd64-gnome.iso: Réussi

et pour moi le contrôle n’accorde pas une totale authenticité…

Necromago · Décembre 7, 2021, 1:53pm

Chaque fois que je télécharge une ISO, je fais le test du sha256sum minimum.
On n’est pas à l’abri d’un souci sur le transfert.

Même sur smartphone