Vérification de la signature de l'exécutable Cygwin

Salut,

J'ai récemment voulu installé Cygwin, et sur leur page d'installation il propose de vérifier l'intégrité du fichier exécutable proposé via sa signature et une clef public.

Je trouve ça plutôt pas mal. Mais je n'ai pas la moindre idée de comment utiliser cette signature et cette clef public. Et je n'ai pas trouvé plus d'explication sur leur site.

Si quelqu'un a une idée de comment procéder, je suis preneur.

Mis à part ça, je serais curieux de savoir si certains utilise ce genre de signature/clef pour authentifier/vérifier l'intégrité des données échangé sur internet.

Cette signature est une signature PGP, il te faut donc un logiciel de gestion de clé/signature pgp. L’implémentation historique est un logiciel propriétaire lui-même appelé PGP. L'implémentation GNU est GPG. Pour vérifier la signature je te laisse te référer aux documentions correspondantes.

Pour la partie "utilisation en vrai" :

Le schéma de trust network PGP n'est pas très répandu. Par contre les certificats X.501 qui remplissent un rôle semblables (mais de manière beaucoup plus centralisée) sont ce qui identifie les sites en SSL (le cadenas vert/bleu dans la barre d'adresse). Certains (dont moi) aimeraient bien que les gens généralisent PGP pour leurs mails et leurs communications en général (on en parlait un peu ici). Des projets comme Monkey Sphere essayent de l'étendre au web/ à l'identification de serveurs.

Pour compléter la partie «utilisation en vrai», les paquets Debian sont signés avec GPG si je ne m'abuse. Cela permet de s'assurer que les paquets que l'on installe depuis des miroirs avec apt-get sont conformes à ceux émis par les mainteneurs.