← retour aux snippets

gpg: vérifier la signature d'un tarball

Valider l'authenticité et l'intégrité d'une archive via sa signature détachée .asc.

bash security #gpg#signature#verify

objectif

Assurer qu’un artefact provient bien de l’auteur attendu et n’a pas été altéré.

code minimal

# importer la clé publique (fingerprint connu)
gpg --keyserver keys.openpgp.org --recv-keys 0xFINGERPRINT

# vérifier
gpg --verify app.tar.zst.asc app.tar.zst

utilisation

# lister les clés et vérifier le fingerprint
gpg --list-keys

variante(s) utile(s)

# exporter la clé pour partage interne
gpg --armor --export 0xFINGERPRINT > pubkey.asc

notes

  • validez le fingerprint via un canal distinct.
  • --verify doit afficher “Good signature” et indiquer la clé signataire.