← retour aux snippets

gpg: signer et vérifier une signature détachée

Créer une signature .sig pour un fichier et vérifier son authenticité avec une clé publique.

bash security #gpg #signature #verify

16 août 2025

objectif

Garantir l’intégrité et l’origine d’un fichier distribué publiquement.

code minimal

# créer une signature détachée
gpg --armor --detach-sign --local-user YOURKEYID file.tar.zst

utilisation

# vérifier avec la clé publique importée
gpg --verify file.tar.zst.asc file.tar.zst

# importer une clé publique
gpg --keyserver keyserver.ubuntu.com --recv-keys 0xYOURKEYID

variante(s) utile(s)

# signer avec un sous-clé spécifique
gpg --local-user 0xSUBKEYID --detach-sign file.tar.zst

notes

échangez les clés par un canal sûr ou vérifiez leur fingerprint publiquement.
préférez des sous-clés de signature et des clés modernes (ed25519).
ne confondez pas signature détachée (.asc/.sig) et archive signée inline.