[pacman-key] que faut-il déduire de cette liste ? (résolu)

[mimile]

Salut,

Avant toute chose, je précise que ces notions de clefs, de trousseaux, d'empreintes et de signatures m'échappent complètement, ce qui justifie ce sujet (pas rigoler) :

J'ai quand même compris qu'il s'agissait de "filtrer" les paquets selon des degrés de fiabilité selon les developpers mais quand même ... je m'y perds.

Après avoir exécuté pacman-key --init, j'ai exécuté - comme dit dans les news - la commande pacman-key --populate-archlinux, ce qui m'a affiché ceci :

[root@Archie okapi]# pacman-key --populate archlinux
==> Ajout des clefs depuis archlinux.gpg…
gpg: clé FFF979E7: « Allan McRae (Arch Linux Master Key) <allan@master-key.archlinux.org> » n'a pas changé
gpg: clé CDFD6BB0: « Dan McGee (Arch Linux Master Key) <dan@master-key.archlinux.org> » n'a pas changé
gpg: clé 4C7EA887: « Ionut Biru (Arch Linux Master Key) <ionut@master-key.archlinux.org> » n'a pas changé
gpg: clé 6AC6A4C2: « Pierre Schmitz (Arch Linux Master Key) <pierre@master-key.archlinux.org> » n'a pas changé
gpg: clé 824B18E8: « Thomas Bächler (Arch Linux Master Key) <thomas@master-key.archlinux.org> » n'a pas changé
gpg: clé EAE999BD: « Allan McRae <me@allanmcrae.com> » n'a pas changé
gpg: clé D30DB0AD: « Andrea Scarpino (Arch Linux) <andrea@archlinux.org> » n'a pas changé
gpg: clé 0F2A092B: « Andreas Radke <andyrtr@archlinux.org> » n'a pas changé
gpg: clé EC133BAD: « Angel Velásquez <angvp@archlinux.org> » n'a pas changé
gpg: clé 5CF9C8D4: « Alexander Rødseth <rodseth@gmail.com> » n'a pas changé
gpg: clé 0901C163: « Balló György <ballogyor@gmail.com> » n'a pas changé
gpg: clé 00F0D0F0: « Gaetan Bisson <gaetan.bisson@normalesup.org> » n'a pas changé
gpg: clé 4CE1C13E: « Florian Pritz <bluewind@xinu.at> » n'a pas changé
gpg: clé 487328A9: « Bartlomiej Piotrowski <b@bpiotrowski.pl> » n'a pas changé
gpg: clé B47A0DAB: « Connor Behan <connor.behan@gmail.com> » n'a pas changé
gpg: clé 6521E06D: « Christopher Brannon <chris@the-brannons.com> » n'a pas changé
gpg: clé 99AD6E84: « Gavin Marciniak-Bisesi <Daenyth@gmail.com> » n'a pas changé
gpg: clé F53A76ED: « Dan McGee <dpmcgee@gmail.com> » n'a pas changé
gpg: clé B4440678: « Daniel Isenmann <daniel@archlinux.org> » n'a pas changé
gpg: clé 1985A992: « Dieter Plaetinck <dieter@plaetinck.be> » n'a pas changé
gpg: clé F56C0C53: « Dave Reisner <d@falconindy.com> » n'a pas changé
gpg: clé 9205AC90: « Eric Belanger <eric@archlinux.org> » n'a pas changé
gpg: clé A9999C34: « Evangelos Foutras <evangelos@foutrelis.com> » n'a pas changé
gpg: clé F04569AE: « Giovanni Scafora <giovanni@archlinux.org> » n'a pas changé
gpg: clé 215B37AD: « Guillaume ALAUX <guillaume@archlinux.org> » n'a pas changé
gpg: clé 4FA415FA: « Jan Alexander Steffens (heftig) <jan.steffens@gmail.com> » n'a pas changé
gpg: clé 615137BC: « Ionut Biru <ibiru@archlinux.org> » n'a pas changé
gpg: clé 796CA067: « Ike Devolder <ike.devolder@gmail.com> » n'a pas changé
gpg: clé 3CFD4BB6: « Jonathan Conder <jonno.conder@gmail.com> » n'a pas changé
gpg: clé 7C50773E: « Jelle van der Waa <jelle@vdwaa.nl> » n'a pas changé
gpg: clé 3B94FA10: « Jan de Groot <jgc@archlinux.org> » n'a pas changé
gpg: clé 013C2580: « Jaroslav Lichtblau (trusted user) <dragonlord@aur.archlinux.org> » n'a pas changé
gpg: clé 589874AB: « Jürgen Hötzel <juergen@hoetzel.info> » n'a pas changé
gpg: clé 983D4366: « Justin Davis (juster) <jrcd83@gmail.com> » n'a pas changé
gpg: clé D21E1A55: « Kaiting Chen <kaitocracy@gmail.com> » n'a pas changé
gpg: clé BAB142C1: « Kyle Keen <keenerd@gmail.com> » n'a pas changé
gpg: clé D1CEDDAC: « Laurent Carlier <lordheavym@gmail.com> » n'a pas changé
gpg: clé 9326B440: « Lukas Fleischer <info@cryptocrack.de> » n'a pas changé
gpg: clé DA2EE423: « Massimiliano Torromeo (Personal non-work identity) <massimiliano.torromeo@gmail.com> » n'a pas changé
gpg: clé 9741E8AC: « Pierre Schmitz <pierre@archlinux.de> » n'a pas changé
gpg: clé E19DAA50: « Peter Richard Lewis <pete@muddygoat.org> » n'a pas changé
gpg: clé 2D1493D2: « Rémy Oudompheng <remy@archlinux.org> » n'a pas changé
gpg: clé 70E80477: « Роман Кирилич (Roman Kyrylych) <roman@archlinux.org> » n'a pas changé
gpg: clé 8406FFF3: « Ronald van Haren <ronald@archlinux.org> » n'a pas changé
gpg: clé C0711BF1: « Rashif Rahman (Ray) <schiv@archlinux.org> » n'a pas changé
gpg: clé 91B842AE: « Jakob Gruber <jakob.gruber@gmail.com> » n'a pas changé
gpg: clé 2072D77A: « Seblu <seblu@seblu.net> » n'a pas changé
gpg: clé F27FB7DA: « speps <speps@aur.archlinux.org> » n'a pas changé
gpg: clé EA433FC7: « Sergej Pupykin <arch@sergej.pp.ru> » n'a pas changé
gpg: clé F1D357C1: « Lukas Jirkovsky <l.jirkovsky@gmail.com> » n'a pas changé
gpg: clé AB441196: « Stéphane Gaudreault <stephane@archlinux.org> » n'a pas changé
gpg: clé E62EB915: « Sven-Hendrik Haase <sh@lutzhaase.com> » n'a pas changé
gpg: clé 0C84C0A5: « Thomas Dziedzic <gostrc@gmail.com> » n'a pas changé
gpg: clé 8E4B1A25: « Thomas Bächler <thomas@archlinux.org> » n'a pas changé
gpg: clé 06361833: « Tom Gundersen <teg@jklm.no> » n'a pas changé
gpg: clé 7EDF681F: « Tobias Powalowski <tobias.powalowski@googlemail.com> » n'a pas changé
gpg: clé 3C4F88BC: « Timothy Redaelli <tredaelli@archlinux.info> » n'a pas changé
gpg: clé 295AFBF4: « Thorsten Töpper <atsutane@freethoughts.de> » n'a pas changé
gpg: clé 437520BD: « Vesa Kaihlavirta <vegai@iki.fi> » n'a pas changé
gpg: clé C2E5C0D2: « Xyne. <xyne@archlinux.ca> » n'a pas changé
gpg: Quantité totale traitée: 60
gpg: inchangée: 60
==> Signature locale des clefs de confiance dans le porte-clefs…
-> Signature locale de la clef 0E8B644079F599DFC1DDC3973348882F6AC6A4C2…

pub 3072R/6AC6A4C2 créé: 2011-11-18 expire: jamais utilisation: SC
confiance: marginale validité: inconnu
sub 1024R/86872C2F créé: 2011-11-18 expire: jamais utilisation: E
sub 3072R/1B516B59 créé: 2011-11-18 expire: jamais utilisation: A
[ inconnue] (1). Pierre Schmitz (Arch Linux Master Key) <pierre@master-key.archlinux.org>


pub 3072R/6AC6A4C2 créé: 2011-11-18 expire: jamais utilisation: SC
confiance: marginale validité: inconnu
Empreinte de la clé principale: 0E8B 6440 79F5 99DF C1DD C397 3348 882F 6AC6 A4C2

Pierre Schmitz (Arch Linux Master Key) <pierre@master-key.archlinux.org>

Etes-vous vraiment sûr(e) que vous voulez signer cette clé
avec votre clé « Pacman Keychain Master Key <pacman@localhost> » (A52C8325)

La signature sera marquée comme non-exportable.

Signer réellement ? (o/N)

1ère question : la première ligne (par exemple) :

gpg: clé FFF979E7: « Allan McRae (Arch Linux Master Key) <allan@master-key.archlinux.org> » n'a pas changé

On est bien content pour lui (et une série d'autres dans le même cas) mais qu'implique le fait qu'il "n'a pas changé" ?

2ème question : (la dernière ligne au sujet de Pierre Schmitz) que dois-je faire ? signer ? pas signer ? ? (au passage je note que Pierre Schmitz est repris en 4ème position dans la liste avec la mention "n'a pas changé".

3ème question : signature non exportable ??? qu'est-ce que ça implique.

Je précise que j'ai lâchement mis "never" à Siglevel pour éviter toute contrariété mais la sécurité s'en ressent évidemment.

Merci pour vos avis.

[FoolEcho]

Tu veux un cours de crypto accéléré ?

2ème question : (la dernière ligne au sujet de Pierre Schmitz) que dois-je faire ? signer ? pas signer ? ? (au passage je note que Pierre Schmitz est repris en 4ème position dans la liste avec la mention "n'a pas changé".

Ça va rester coton même sans rentrer dans les détails (donc désolé des approximations):
- tu as ta propre clé (faite par le init)
- cette clé est utilisée pour signer les clés principales (master keys) d'Arch (après que tu aies vérifié que leurs empreintes soient correctes !) ce qui signifie en gros: je certifie que la clé de Pierre Schmitz est bien la clé de Pierre Schmitz (et comment je le sais ? ... parce que j'ai vérifié son empreinte... par plusieurs sources si possibles et auprès de lui directement -- là est la faille du système si on est parano)
- les clés principales servent à garantir de la même manière que lorsqu'un développeur ou un TU (utilisateur de confiance) a signé un paquet, c'est bien lui qui l'a signé et pas un tiers malicieux (leurs clés sont normalement signés par au moins 3 des 5 clés principales). Lorsqu'une clé a été cassée ou que sa validité est à terme, la clé est révoquée et il faut remettre en branle les signatures pour rétablir la sécurité.
- en accordant un niveau de confiance suffisant à ces clés principales, pacman peut vérifier si la clé d'un tel est valide ce qui permet d'établir un cercle de confiance et donc de garantir que le paquet signé par un tel n'a pas été trafiqué entre le moment où le paquet a été fait et celui où tu l'as reçu (il y a deux notions distinctes à ce niveau: l'intégrité du paquet permet de savoir si le paquet n'est pas corrompu mais n'indique en rien si c'est bien "le bon" (via les sommes de contrôles) ; et la signature du paquet qui assure son authenticité).

Tu dois donc, après avoir vérifié leurs empreintes (voir wiki, news, blog d'allan, etc.), signer les clés principales et leur accorder un niveau de confiance suffisant (le populate reprend toutes les étapes de la procédure manuelle, à savoir importation des clés principales/signature/confiance voir pacman-key)... et bien sûr modifier ton pacman.conf en conséquence (voir le .pacnew).

On est bien content pour lui (et une série d'autres dans le même cas) mais qu'implique le fait qu'il "n'a pas changé" ?

C'est sous l'effet du refresh-keys lors de la mise à jour. Cela permet de mettre à jour le trousseau local par rapport au serveur.

3ème question : signature non exportable ??? qu'est-ce que ça implique.

Cela signifie que tout ça ne sert qu'à toi, c'est-à-dire qu'un tiers qui connaît ta clé publique ne peut pas se baser sur ta propre signature pour dire "il fait confiance à un tel, je lui fais confiance, donc je fais confiance à tous ceux auquel il a accordé sa confiance").

[mimile]

Merci d'avoir pris la peine de me fournir toutes ces précisions mais je dois humblement avouer qu'elles sont un peu trop techniques pour moi.

Côté pratique, puisque populate-archlinux a tout configuré automatiquement, je peux modifier mon pacman.conf dont le Siglevel était "never" par les valeurs indiqués dans pacnew : PackageRequired ?

Je ne sais plus où j'ai lu qu'il était intéressant d'indiquer "marginale" qui est de nature à poser moins de problème.

SI PackageRequired pose problème, j'indiquerai "marginale" et au pire, je reviendrai à "never".

Je vais tester pour voir ce que ça donne.

Je reviendrai dire ce que ça donne.

EDIT 1 : never remplacé par PackageRequired :

Cibles (4) : audacious-plugins-3.2.3-1 libguess-1.1-1 libmowgli-1.0.0-1
audacious-3.2.3-1

Taille totale de téléchargement : 1,51 MiB
Taille totale installé : 6,93 MiB

Procéder à l'installation ? [O/n] O
:: Récupération des paquets du dépôt extra...
libmowgli-1.0.0-1-i686 34,2 KiB 471K/s 00:00 [######################] 100%
libguess-1.1-1-i686 6,8 KiB 612K/s 00:00 [######################] 100%
audacious-plugins-3... 1142,6 KiB 483K/s 00:02 [######################] 100%
audacious-3.2.3-1-i686 364,8 KiB 485K/s 00:01 [######################] 100%
(4/4) vérification de l'intégrité des paquets [######################] 100%
Erreur : libmowgli: signature from "Gaetan Bisson <gaetan.bisson@normalesup.org>" is unknown trust
Erreur : libguess: signature from "Gaetan Bisson <gaetan.bisson@normalesup.org>" is unknown trust
Erreur : audacious-plugins: signature from "Gaetan Bisson <gaetan.bisson@normalesup.org>" is unknown trust
Erreur : audacious: signature from "Gaetan Bisson <gaetan.bisson@normalesup.org>" is unknown trust
Erreur : la validation de la transaction a échoué (paquet invalide ou corrompu (signature PGP))
Des erreurs se sont produites, aucun paquet n'a été mis à jour.
[okapi@Archie ~]$

Je vais essayer avec "marginale" ...

EDIT-2 : Marginale (ou Marginal) : option purement et simplement rejetée

Retour à Siglevel = never

[FoolEcho]

Merci d'avoir pris la peine de me fournir toutes ces précisions mais je dois humblement avouer qu'elles sont un peu trop techniques pour moi.

Pourtant c'est la version simple.

Côté pratique, puisque populate-archlinux a tout configuré automatiquement, je peux modifier mon pacman.conf dont le Siglevel était "never" par les valeurs indiqués dans pacnew : PackageRequired ?

Je ne sais plus où j'ai lu qu'il était intéressant d'indiquer "marginale" qui est de nature à poser moins de problème.

SI PackageRequired pose problème, j'indiquerai "marginale" et au pire, je reviendrai à "never".

Tu confonds. Marginale s'applique au niveau de confiance accordée aux clés que tu as signé (c'est le niveau minimum requis, le populate utilise un cran au-dessus, c'est tout) pas au type de vérification, SigLevel défini dans pacman.conf. (ou juste le wiki...)
Vu ton erreur, je pense que tu n'as pas correctement effectué le pacman-key --populate (à priori, tu n'as pas signé les clés principales... un pacman-key --list-sigs permettrait de faire l'état des lieux de ton trousseau / ne t'inquiète pas cela ne montre que les parties publiques des clés).

[mimile]

Merci pour ta réponse.

Ce qui est simple pour l'un peut paraître compliqué pour l'autre.

Piloter un planeur ou un avion de tourisme avec plan de vol et contact radio en anglais (obligatoire en Belgique) me paraît (maintenant) simple et ce n'est pas en lisant les wiki (manuels de pilotage) qu'on y arrive surtout si on ne connaît pas le sens des mots utilisés

Bref, en ce qui concerne notre sujet, voici le résultat de la commande pacman-key --list-sigs : http://pastebin.archlinux.fr/447727

A noter qu'en simple utilisateur, il est indiqué :

gpg: NOTE: la base de confiance n'a pas les permissions d'écriture

[FoolEcho]

Ce qui est simple pour l'un peut paraître compliqué pour l'autre.

En l'occurrence, il suffit simplement de lire la news, de lancer les commandes (si besoin... car ça ne s'applique pas pour ceux qui utilisent pacman-key depuis des mois, à l'exception de la mise à jour du pacman.conf) et de lire la sortie avec attention...
Au vu de ton trousseau, c'est bien ce que je disais: les clés principales n'ont pas été signées (pour info: quand une question est posée avec pour réponse o/N par exemple, si tu fais entrée, le choix par défaut est celui en majuscules). Pour info, comment je le sais ? car ta clé n'est mentionnée nulle part sur les 5 clés principales (tu n'auras qu'à refaire la liste après signature, tu verras la différence ).
... tu peux récupérer le coup manuellement, voir wiki et procédure manuelle (oui, je suis joueur )... ou tu peux refaire le populate, en faisant bien attention aux quelques questions posées (et en vérifiant les empreintes avant d'accepter de signer !).

Code : Tout sélectionner

pacman-key --populate archlinux

et enfin de fusionner pacman.conf avec le .pacnew.
http://archlinux.fr/news/verification-d ... par-pacman

A noter qu'en simple utilisateur, il est indiqué :

gpg: NOTE: la base de confiance n'a pas les permissions d'écriture

On s'en fiche, c'est juste pour lire (pour modifier ça passe par root).

[mimile]

Grand merci à toi.

Problème résolu.

Après vérification et signature de clefs, j'ai consulté le pacnew qui suggère comme siglevel : packagerequired.

J'ai donc remplacé never par packagerequired dans pacman.conf et maintenant plus de problème.

Avant de procéder comme dit ci-dessus, j'avais vainement essayé d'installer audacious qui me pose problème et que j'avais supprimé.

Maintenant il s'installe normalement mais me pose toujours le même problème.

J'avais posté à ce sujet mais je n'ai pas reçu de réponse.

Je vais le relancer.

Encore merci.

Amicalement,