Guide d'autodéfense numérique

Il est bon de s’assurer que le téléchargement de l’image s’est bien déroulé en vérifiant l’empreinte de l’installeur, pour s'assurer de son intégrité et de son authenticité. Nous allons procéder en deux étapes, une première nous assurant de son intégrité, et une seconde assurant son authenticité.

Pour cela, il est nécessaire de démarrer sur un système déjà installé. Si l’on a accès à un ordinateur sous GNU/Linux, par exemple celui d'une amie, tout va bien. Si on ne dispose que d’un système live, il est par exemple possible de mettre l’image téléchargée sur une clé USB, puis de vérifier l’empreinte à partir du système live.

Vérifier l'intégrité du support d'installation

Pour cela suivre l'outil concernant les sommes de contrôle. Il sera nécessaire de calculer la somme de contrôle SHA512 du support d'installation téléchargé et vérifier si celle-ci correspond à celle contenue dans le fichier SHA512SUMS contenu dans le même dossier que le support d'installation. Fichier que l'on devra télécharger également.

Vérifier l'authenticité du support d'installation

Si la vérification de l'intégrité s'est bien déroulée, à savoir si les deux sommes de contrôles calculées correspondent, on peut poursuivre le processus afin de vérifier son authenticité. En effet, un adversaire pourrait fournir un support d'installation corrompu et sa somme de contrôle. La vérification précédente nous permettrait simplement de constater que le fichier téléchargé est bien celui qui était disponible sur le site web, pas qu'il est celui qu'on espère avoir. Le deuxième tome explique comment s’assurer de l’authenticité de l’installeur téléchargé, car l’empreinte est signée avec GnuPG, qui utilise la cryptographie asymétrique, il faudra donc directement se référer à l'outil concernant la vérification d'une signature. Après avoir téléchargé le fichier SHA1SUMS.sign, suivre les étapes permettant de vérifier la signature cryptographique du fichier SHA512SUMS.