OBSD4* : wiki

Signify : signer et vérifier des fichiers cryptographiquement

manpage

Synopsis

signify -C [-q] -p pubkey -x sigfile [file …]
signify -G [-n] [-c comment] -p pubkey -s seckey
signify -S [-ez] [-x sigfile] -s seckey -m message
signify -V [-eqz] [-p pubkey] [-t keytype] [-x sigfile] -m message

Description

L'utilitaire signify crée et vérifie des signatures cryptographiques. Une signature vérifie l'intégrité d'un message.

Pour connaître les différentes options, lisez le manpage !

Statut de sortie

L'utilitaire signify sort avec un code 0 en cas de succès, et un code supérieur à 0 s'il échoue. Ce qui peut arriver à cause d'une des raisons suivantes :

  • Quelques uns des fichiers nécessaires n'existent pas.
  • La pass-phrase tapée est incorrecte.
  • Le message du fichier est corrompu et sa signature ne correspond pas.
  • Le message du fichier est trop grand.

Exemples

⇒ Créer une nouvelle paire de clé :

$ signify -G -p newkey.pub -s newkey.sec

⇒ Signer un fichier, en spécifiant un nom de signature :

$ signify -S -s key.sec -m message.txt -x msg.sig

⇒ Vérifier une signature, en utilisant le nom de signature par défaut :

$ signify -V -p key.pub -m generalsorders.txt

⇒ Vérifier un répertoire contenant un fichier SHA256.sig et un ensemble complet d'une version de fichiers :

$ signify -C -p /etc/signify/openbsd-63-base.pub -x SHA256.sig

⇒ Vérifier le fichier bsd.rd avant une mise à niveau :

$ signify -C -p /etc/signify/openbsd-63-base.pub -x SHA256.sig bsd.rd

⇒ Signer une archive gzip :

$ signify -Sz -s key-arc.sec -m in.tgz -x out.tgz

⇒ Vérifier une archive gzip au-travers d'un ensemble de commande :

$ ftp url | signify -Vz -t arc | tar ztf -

Voir aussi

Histoire

La commande signify est apparue la première fois dans OpenBSD 5.5.

Auteurs

Ted Unangst <tedu@openbsd.org> et Marc Espie <espie@openbsd.org>.


Traduction du manpage signify(1) !


[Mini-Tuto] Explications

Retrouvez ci-dessous de petites explications…

Vérification

Vérification de signature

Pour vérifier une signature faite avec :

$ signify -C -p Nom_Projet.pub -x Nom_Projet.sig

On peut légèrement abréger la commande, tel que :

$ signify -Cp Nom_Projet.pub -x Nom_Projet.sig

Vérification de fichier

Pour vérifier juste la signature d'un seul fichier d'un projet signé :

$ signify -Cp Nom_Projet.pub -x Nom_Projet.sig fichier

Création

Créer une paire de clés publique, privée

⇒ Pour créer une paire de clés (privée/publique) :

$ signify -G -p Nom_Projet.pub -s Nom_Projet.sec

L'invite de commande shell vous demande de taper une passphrase, puis de la confirmer !

Créer une clé sans passphrase

⇒ Pour générer une clé sans passphrase :

$ signify -G -n -p Nom_Projet.pub -s Nom_Projet.sec

Création d'un fichier de signature

Veiller à créer un fichier de sommes de contrôle - de préférence sha512(1), tel que, par exemple :

find ./ -exec sha512 {} + > Nom_Projet.sha512

Il y a bien sûr d'autres moyens de générer un fichier de sommes de contrôle, tel que l'usage de cksum(1)

Ensuite, créer un fichier de signature est très simple :

$ signify -S -s Nom_Projet.sec -m Nom_Projet.sha512 -e -x Nom_Projet.sha512.sig

Venez discuter de ce mini-tuto sur notre forum ;)