Retrouvez ci-dessous de petites explications…

Pour vérifier une signature faite avec :

$ signify -C -p Nom_Projet.pub -x Nom_Projet.sig

On peut légèrement abréger la commande, tel que :

$ signify -Cp Nom_Projet.pub -x Nom_Projet.sig

Pour vérifier juste la signature d'un seul fichier d'un projet signé :

$ signify -Cp Nom_Projet.pub -x Nom_Projet.sig fichier

⇒ Pour créer une paire de clés (privée/publique) :

$ signify -G -p Nom_Projet.pub -s Nom_Projet.sec

L'invite de commande shell vous demande de taper une passphrase, puis de la confirmer !

⇒ Pour générer une clé sans passphrase :

$ signify -G -n -p Nom_Projet.pub -s Nom_Projet.sec

Veiller à créer un fichier de sommes de contrôle - de préférence sha512(1), tel que, par exemple :

find ./ -exec sha512 {} + > Nom_Projet.sha512

Il y a bien sûr d'autres moyens de générer un fichier de sommes de contrôle, tel que l'usage de cksum(1)…

Ensuite, créer un fichier de signature est très simple :

$ signify -S -s Nom_Projet.sec -m Nom_Projet.sha512 -e -x Nom_Projet.sha512.sig

Venez discuter de ce mini-tuto sur notre forum ;)

• man signify

signify -C [-q] -p pubkey -x sigfile [file …]
signify -G [-n] [-c comment] -p pubkey -s seckey
signify -S [-ez] [-x sigfile] -s seckey -m message
signify -V [-eqz] [-p pubkey] [-t keytype] [-x sigfile] -m message

L'utilitaire signify crée et vérifie des signatures cryptographiques. Une signature vérifie l'intégrité d'un message.

Pour connaître les différentes options, lisez le manpage !

L'utilitaire signify sort avec un code 0 en cas de succès, et un code supérieur à 0 s'il échoue. Ce qui peut arriver à cause d'une des raisons suivantes :

• Quelques uns des fichiers nécessaires n'existent pas.
• La pass-phrase tapée est incorrecte.
• Le message du fichier est corrompu et sa signature ne correspond pas.
• Le message du fichier est trop grand.

⇒ Créer une nouvelle paire de clé :

$ signify -G -p newkey.pub -s newkey.sec

⇒ Signer un fichier, en spécifiant un nom de signature :

$ signify -S -s key.sec -m message.txt -x msg.sig

⇒ Vérifier une signature, en utilisant le nom de signature par défaut :

$ signify -V -p key.pub -m generalsorders.txt

⇒ Vérifier un répertoire contenant un fichier SHA256.sig et un ensemble complet d'une version de fichiers :

$ signify -C -p /etc/signify/openbsd-63-base.pub -x SHA256.sig

⇒ Vérifier le fichier bsd.rd avant une mise à niveau :

$ signify -C -p /etc/signify/openbsd-63-base.pub -x SHA256.sig bsd.rd

⇒ Signer une archive gzip :

$ signify -Sz -s key-arc.sec -m in.tgz -x out.tgz

⇒ Vérifier une archive gzip au-travers d'un ensemble de commande :

$ ftp url | signify -Vz -t arc | tar ztf -

• fw_update(1), gzip(1), pkg_add(1), sha256(1)

La commande signify est apparue la première fois dans OpenBSD 5.5.

Ted Unangst <tedu@openbsd.org> et Marc Espie <espie@openbsd.org>.

Traduction du manpage signify(1) !

Contribut(rice|eur)s :