[or-cvs] r18939: {} add fr/verifying-signatures.wml (website/trunk/fr)

fredzupy at seul.org fredzupy at seul.org
Thu Mar 12 14:11:49 UTC 2009 

Author: fredzupy
Date: 2009-03-12 10:11:49 -0400 (Thu, 12 Mar 2009)
New Revision: 18939

Added:
   website/trunk/fr/verifying-signatures.wml
Log:
add fr/verifying-signatures.wml

Added: website/trunk/fr/verifying-signatures.wml
===================================================================
--- website/trunk/fr/verifying-signatures.wml	                        (rev 0)
+++ website/trunk/fr/verifying-signatures.wml	2009-03-12 14:11:49 UTC (rev 18939)
@@ -0,0 +1,139 @@
+## translation metadata
+# Based-On-Revision: 18807
+# Last-Translator: fredzupy at gmail.com
+# Translation-Priority: 2-medium
+
+#include "head.wmi" TITLE="Vérifier les signatures" CHARSET="UTF-8"
+
+<div class="main-column">
+
+<h2>Comment vérifier les signatures des paquets</h2>
+<hr />
+
+<p>Chaque fichier sur notre <a href="<page download>">page de téléchargement</a> est accompagné
+par un fichier du même nom que le paquet avec l'extention
+« .asc ».  Par exemple, le fichier courant d'installation « tout en un pour Windows » :
+<package-win32-bundle-stable-sig>.</p>
+
+<p>Ces fichiers .asc sont des signatures PGP. Elles vous permettent de vérifier que les fichiers que vous avez téléchargés
+sont exactement ceux que vous aviez l'intention de télécharger.</p>
+
+<p>Bien entendu, vous avez besoin d'avoir nos clés pgp dans votre trousseau : si vous ne
+connaissez pas les clés pgp, vous ne pouvez pas être certain que ce soit nous qui avont signé. Les clés
+de signature utilisées sont :</p>
+<ul>
+<li>Roger's (0x28988BF5) typiquement pour signer l'archive code source.</li>
+<li>Nick's (0x165733EA, ou sa sous clé 0x8D29319A)</li>
+<li>Andrew's (0x31B0974B)</li>
+<li>Peter's (0x94C09C7F, ou sa sous clé 0xAFA44BDD)</li>
+<li>Matt's (0x5FA14861)</li>
+<li>Jacob's (0x9D0FACE4)</li>
+</ul>
+
+<h3>Étape Une :  Importer les clés</h3>
+<hr />
+<p>Vous pouvez aussi bien importer les clés directement de GnuPG :</p>
+
+<pre>gpg --keyserver subkeys.pgp.net --recv-keys 0x28988BF5</pre>
+
+<p>ou chercher les clés avec </p>
+
+<pre>gpg --keyserver subkeys.pgp.net --search-keys 0x28988BF5</pre>
+
+<p>et lorsque vous en sélectionnez une, elle sera ajoutée à votre trousseau.</p>
+
+<h3>Étape deux :  Vérifier les empreintes</h3>
+<hr />
+<p>Vérifier les empreintes pgp en utilisant :</p>
+<pre>gpg --fingerprint (insert keyid here)</pre>
+Les empreintes pour les clés devraient être :
+
+<pre>
+pub   1024D/28988BF5 2000-02-27
+      Key fingerprint = B117 2656 DFF9 83C3 042B  C699 EB5A 896A 2898 8BF5
+uid                  Roger Dingledine &lt;arma at mit.edu&gt;
+
+pub   3072R/165733EA 2004-07-03
+      Key fingerprint = B35B F85B F194 89D0 4E28  C33C 2119 4EBB 1657 33EA
+uid                  Nick Mathewson &lt;nickm at alum.mit.edu&gt;
+uid                  Nick Mathewson &lt;nickm at wangafu.net&gt;
+uid                  Nick Mathewson &lt;nickm at freehaven.net&gt;
+
+pub  1024D/31B0974B 2003-07-17
+     Key fingerprint = 0295 9AA7 190A B9E9 027E  0736 3B9D 093F 31B0 974B
+uid                  Andrew Lewman (phobos) &lt;phobos at rootme.org&gt;
+uid                  Andrew Lewman &lt;andrew at lewman.com&gt;
+uid                  Andrew Lewman &lt;andrew at torproject.org&gt;
+sub   4096g/B77F95F7 2003-07-17
+
+pub   1024D/94C09C7F 1999-11-10
+      Key fingerprint = 5B00 C96D 5D54 AEE1 206B  AF84 DE7A AF6E 94C0 9C7F
+uid                  Peter Palfrader
+uid                  Peter Palfrader &lt;peter at palfrader.org&gt;
+uid                  Peter Palfrader &lt;weasel at debian.org&gt;
+
+pub   1024D/5FA14861 2005-08-17
+      Key fingerprint = 9467 294A 9985 3C9C 65CB  141D AF7E 0E43 5FA1 4861
+uid                  Matt Edman &lt;edmanm at rpi.edu&gt;
+uid                  Matt Edman &lt;Matt_Edman at baylor.edu&gt;
+uid                  Matt Edman &lt;edmanm2 at cs.rpi.edu&gt;
+sub   4096g/EA654E59 2005-08-17
+
+pub   1024D/9D0FACE4 2008-03-11 [expires: 2010-03-11]
+      Key fingerprint = 12E4 04FF D3C9 31F9 3405  2D06 B884 1A91 9D0F ACE4
+uid                  Jacob Appelbaum &lt;jacob at appelbaum.net&gt;
+sub   4096g/D5E87583 2008-03-11 [expires: 2010-03-11]
+</pre>
+
+<p>(Bien entendu, si vous voulez être certain que ces clés sont bien les bonnes,
+vous devriez les contrôler à plusieurs endroits ou mieux, les faire signer
+et ce faisant, contruire un chemin de confiance pour celles-ci.)</p>
+
+<h3>Étape trois :  Vérifier les fichiers téléchargés</h3>
+<hr />
+<p>Si vous utilisez GnuPG, il vous suffit de mettre le fichier .asc et le téléchargement dans le même
+répertoire et taper "gpg --verify (fichier).asc (fichier)". Il devrait dire
+quelquechose comme "Good signature" ou "BAD signature" en utilisant ce type de
+commande :</p>
+
+<pre>
+gpg --verify tor-0.1.0.17.tar.gz.asc tor-0.1.0.17.tar.gz
+gpg: Signature made Wed Feb 23 01:33:29 2005 EST using DSA key ID 28988BF5
+gpg: Good signature from "Roger Dingledine &lt;arma at mit.edu&gt;"
+gpg:                 aka "Roger Dingledine &lt;arma at mit.edu&gt;"
+gpg: WARNING: This key is not certified with a trusted signature!
+gpg:          There is no indication that the signature belongs to the owner.
+Primary key fingerprint: B117 2656 DFF9 83C3 042B  C699 EB5A 896A 2898 8BF5
+</pre>
+
+<p>
+Notez qu'il y a une mise en garde du fait que vous n'avez pas assigné un index de confiance à cet
+utilisateur. Ceci signifie que votre programme a vérifié la clé qui a produit cette signature.
+Il revient à l'utilisateur de décider si cette clé appartient réellement aux développeurs. La
+meilleur méthode est de les rencontrer en personne et échanger les empreintes gpg. Les clés peuvent
+également être signées. Si vous regardez les clés de Roger ou Nick's, d'autres personnes ont
+essentiellement dit « nous avons vérifié que c'est Roger/Nick ». Donc si vous faites confiance à ces 
+tierces personnes, alors vous avez un degré de confiance pour arma/nick.
+</p>
+
+<p>Tout ceci signifie que vous pouvez ignorer ce message ou assigner un niveau de confiance.</p>
+
+<p>Pour votre information, ceci est un exemple d'une <em>MAUVAISE</em> vérification. Il
+signifie que la signature et le contenu du fichier ne correspondent pas :</p>
+
+<pre>
+gpg --verify tor-0.1.0.17.tar.gz.asc
+gpg: Signature made Wed Feb 23 01:33:29 2005 EST using DSA key ID 28988BF5
+gpg: BAD signature from "Roger Dingledine &lt;arma at mit.edu&gt;"
+</pre>
+
+<p>Si vous voyez un message comme celui ci-dessus, alors vous ne devriez pas faire confiance au contenu du fichier.</p>
+
+<p>Si vous faites tourner Tor sur Debian vous devriez lire les intructions sur comment
+<a
+href="https://wiki.torproject.org/noreply/TheOnionRouter/TorOnDebian">importer
+ces clés dans apt</a>.</p>
+
+</div><!-- #main -->
+
+#include <foot.wmi>

More information about the tor-commits mailing list