|
Coldsource.net Hébergement & Développement |
|
|
A propos de la vérification des signaturesMD5 : L'empreinte MD5 des fichiers vous permet de vérifier qu'il n'y a pas eu d'erreurs durant le télécharhement. Pour vérifier si le téléchargement s'est bien déroulé, vous devez calculer l'empreinte MD5 du fichier que vous avez récupéré (avec MD5Sum par exemple) et la comparer avec l'empreinte indiquée sur le site. Si les deux empreintes concordent, c'est que les deux fichiers sont identiques.
Signature : Le principe de la signature est plus complexe. Il vous permet de vérifier que le fichier que vous allez télécharger est bien celui que l'auteur a envoyé sur le site. Si une personne mal intentionnée tente de modifier ce fichier, par exemple en y insérant un virus, il ne pourra pas imiter la signature et vous saurez que le fichier a été modifié. Pour vérifier la signature vous devez posséder la clé publique de la personne ayant signé le fichier. Elle est toujours disponible en format texte dans le pannel de téléchargement. Puis vous pouvez utiliser GNUPG (par exemple) pour vérifier si la signature du fichier que vous avez téléchargé est correcte.
Cette vérification n'est pas absolue car la clé publique peut elle aussi avoir été modifiée. Cette vérification serait parfaite si vous disposiez d'un moyen sûr de récupérer la clé publique. Cependant, la clé publique est stockée sur un serveur différent, ce qui obligerait une personne voulant falsifier les signatures à avoir accès aux 2 serveurs (ce qui est peu probable car les deux serveurs sont totalement indépendants). Vous pouvez également vérifier si la clé publique que vous possédez concordre avec celle que vos amis ont. De plus, si la clé était compromise, un certificat de révocation serait émis par le propriétaire.
MD5Sum et GNUPG sont disponibles dans la section logiciels du site.
|