Voici ce que j'ai trouvé:

Et, peut-être vérifier avec:



Vous trouvez cela correcte ?
Vous avez une meilleur méthode à proposer ?

Bien à vous.


PS:
L'idée, ce serait quand-même de pouvoir faire un CheckSum sur la clé téléchargée et celle hébergée sur le serveur...
https://keys.openpgp.org/
http://keyserver.ubuntu.com/

MAIS, quand je vais rechercher la clé sur les serveurs, ce que, à mon avis, je ne fais pas bien,
j'obtiens un hash différent...

Bonjour LeGaulois et paid2.

Je vous remercie pour vos réponses.

Je connaissais bien ces 2 commandes et c'est effectivement ce que jai fait...

Mais, ce que je cherche, c'est à vérifier l'authenticité de la clé .asc auprès d'un organisme de confiance indépendant.
(Electrum.org:
"When you import a key, you should check its fingerprint using independent sources, such as here, or use the Web of Trust.")

Par exemple, pour Electrum.org, il y 3 clés .asc des signataires à télécharger.
https://electrum.org/#download

=> Ce sont ces 3 clés dont j'aimerais vérifier l'authenticité.

Bonjour à tous.

Sous Ubuntu, comment puis-je vérifier les signatures GPG importées ?
(Comme "ThomasV.asc" pour Electrum)

Electrum.org:
"When you import a key, you should check its fingerprint using independent sources, such as here, or use the Web of Trust."

Je vous remercie d'avance.

Bonjour à toutes et tous.

J'ai un portefeuille Electrum.

J'aimerais en créer un 2ieme et verser des BTC de mon 1er portefeuille vers le nouveau que j'aurais créer,
le tout, sur le même ordinateur.

Est-ce possible ?
Comment dois-je faire ?

Un grand merci d'avance.

Hello, Great Thanks NeuroticFish...

I've seen the link before but I was saving the file wrongly....
So, gpg didn't find a gpg key in the file...

I copied, past the key text in a file with nano and it worked.

Thank you.




Hello Adaseb.

I just tested the sha256sum of the app file and it's OK.

Thank You both ;-)

Hello Everyone,

I just downloaded Electrum-4.1.5...

I want to verify, with gpg, two signatures (for example ThomasV and Emzy).

I found the public key of ThomasV, that I imported with gpg (gpg --import ...)
I verified the ....ThomasV.asc
And It's OK...
gpg --verify electrum-4.1.5-x86_64.AppImage.ThomasV.asc electrum-4.1.5-x86_64.AppImage

The answer is (in french, sorry):
gpg: Signature faite le lun 19 jui 2021 20:22:33 CEST avec la clef RSA d'identifiant 7F9470E6
gpg: Bonne signature de « Thomas Voegtlin (https://electrum.org) <thomasv@electrum.org> »
gpg:                 alias « ThomasV <thomasv1@gmx.de> »
gpg:                 alias « Thomas Voegtlin <thomasv1@gmx.de> »
gpg: Attention : cette clef n'est pas certifiée avec une signature de confiance.
gpg:          Rien n'indique que la signature appartient à son propriétaire.
Empreinte de clef principale : 6694 D8DE 7BE8 EE56 31BE  D950 2BD5 824B 7F94 70E6


Now, I want to verify the ....Emzy.asc...
BUT I d'ont find the public key...

The answer for gpg --verify electrum-4.1.5-x86_64.AppImage.Emzy.asc electrum-4.1.5-x86_64.AppImage
is (yes, it's in french):

gpg: Signature faite le jeu 22 jui 2021 14:49:22 CEST avec la clef RSA d'identifiant 07DA627C
gpg: Impossible de vérifier la signature : clef publique introuvable


Is that ok ?  Or must I find the public key for the electrum-4.1.5-x86_64.AppImage.Emzy.asc ?

What must I do ?

Thank You All in advance.

Bonjour à tous.

Auriez-vous l'adresse d'un site qui informerait des différentes cyber-menace pour Electrum?

Je me suis biensure abonné à leur compte Twitter.

D'avance merci.
Bien à vous.

OK, Thank you.

Salut.

Voici ce que j'ai fait:

gpg --keyserver keys.gnupg.net --recv-keys 6694D8DE7BE8EE5631BED9502BD5824B7F9470E6
gpg: clef 2BD5824B7F9470E6 : « Thomas Voegtlin (https://electrum.org) <thomasv@electrum.org> » n'est pas modifiée
gpg: Quantité totale traitée : 1
gpg:              non modifiées : 1


Et voici ce que j'ai obtenu:

gpg --verify ./electrum-4.1.2-x86_64.AppImage.asc ./electrum-4.1.2-x86_64.AppImage
gpg: Signature faite le jeu 08 avr 2021 15:47:31 CEST
gpg:                avec la clef RSA 6694D8DE7BE8EE5631BED9502BD5824B7F9470E6
gpg: Bonne signature de « Thomas Voegtlin (https://electrum.org) <thomasv@electrum.org> » [inconnu]
gpg:                 alias « ThomasV <thomasv1@gmx.de> » [inconnu]
gpg:                 alias « Thomas Voegtlin <thomasv1@gmx.de> » [inconnu]
gpg: Attention : cette clef n'est pas certifiée avec une signature de confiance.
gpg:          Rien n'indique que la signature appartient à son propriétaire.
Empreinte de clef principale : 6694 D8DE 7BE8 EE56 31BE  D950 2BD5 824B 7F94 70E6


C'est ok ?

---

OK merci beaucoup, j'ai vu dans la doc de Electrum qu'effectivement on pouvait ignorer le

"Attention : cette clef n'est pas certifiée avec une signature de confiance.
Rien n'indique que la signature appartient à son propriétaire"

Voici le lien vers la doc pour ceux qui veulent:
https://electrum.readthedocs.io/en/latest/gpg-check.html

Encore Merci.

---

Edit modo : Fusion double post
Archive

Hello Everyone.

I would like to install Electrum on my Ubuntu Linux.

For this, I did Two way tar.gz and Appimage...

I downloaded and import the signature of ThomasV
wget https://raw.githubusercontent.com/spesmilo/electrum/master/pubkeys/ThomasV.asc
gpg --import ThomasV.asc

gpg: répertoire « /home/jerboa/.gnupg » créé
gpg: le trousseau local « /home/jerboa/.gnupg/pubring.kbx » a été créé
gpg: /home/jerboa/.gnupg/trustdb.gpg : base de confiance créée
gpg: clef 2BD5824B7F9470E6 : clef publique « Thomas Voegtlin (https://electrum.org) <thomasv@electrum.org> » importée
gpg: Quantité totale traitée : 1
gpg:               importées : 1


well



with the tar.gz:

I installed the dependencies
sudo apt-get install python3-pyqt5 libsecp256k1-0 python3-cryptography

I downloaded the tar.gz
wget https://download.electrum.org/4.1.2/Electrum-4.1.2.tar.gz

I downloaded the signature and verified:
wget https://download.electrum.org/4.1.2/Electrum-4.1.2.tar.gz.asc
gpg --verify Electrum-4.1.2.tar.gz.asc

gpg: les données signées sont supposées être dans « Electrum-4.1.2.tar.gz »
gpg: Signature faite le jeu 08 avr 2021 15:47:30 CEST
gpg:                avec la clef RSA 6694D8DE7BE8EE5631BED9502BD5824B7F9470E6
gpg: Bonne signature de « Thomas Voegtlin (https://electrum.org) <thomasv@electrum.org> » [inconnu]
gpg:                 alias « ThomasV <thomasv1@gmx.de> » [inconnu]
gpg:                 alias « Thomas Voegtlin <thomasv1@gmx.de> » [inconnu]
gpg: Attention : cette clef n'est pas certifiée avec une signature de confiance.
gpg:          Rien n'indique que la signature appartient à son propriétaire.
Empreinte de clef principale : 6694 D8DE 7BE8 EE56 31BE  D950 2BD5 824B 7F94 70E6


which means: "Attention: this key is not certified with trust signature"




with AppImage

with the Appimage package, the problem is the same:

gpg --verify ./electrum-4.1.2-x86_64.AppImage.asc

gpg: les données signées sont supposées être dans « ./electrum-4.1.2-x86_64.AppImage »
gpg: Signature faite le jeu 08 avr 2021 15:47:31 CEST
gpg:                avec la clef RSA 6694D8DE7BE8EE5631BED9502BD5824B7F9470E6
gpg: Bonne signature de « Thomas Voegtlin (https://electrum.org) <thomasv@electrum.org> » [inconnu]
gpg:                 alias « ThomasV <thomasv1@gmx.de> » [inconnu]
gpg:                 alias « Thomas Voegtlin <thomasv1@gmx.de> » [inconnu]
gpg: Attention : cette clef n'est pas certifiée avec une signature de confiance.
gpg:          Rien n'indique que la signature appartient à son propriétaire.
Empreinte de clef principale : 6694 D8DE 7BE8 EE56 31BE  D950 2BD5 824B 7F94 70E6


which means: "Attention: this key is not certified with trust signature"


Does the both software I downloded are corrupted?
Can someone help me?

Thanks in advance.

Rebonjour à tous.

Bon finalement faisons avec le fichier Appimage...

Sur le site d'Electrum (https://electrum.org/#download) j'ai téléchargé le fichier Appimage et la signature PGP.

J'ai téléchargé et importé la signature de ThomasV
wget https://raw.githubusercontent.com/spesmilo/electrum/master/pubkeys/ThomasV.asc
gpg --import ThomasV.asc

gpg: répertoire « /home/jerboa/.gnupg » créé
gpg: le trousseau local « /home/jerboa/.gnupg/pubring.kbx » a été créé
gpg: /home/jerboa/.gnupg/trustdb.gpg : base de confiance créée
gpg: clef 2BD5824B7F9470E6 : clef publique « Thomas Voegtlin (https://electrum.org) <thomasv@electrum.org> » importée
gpg: Quantité totale traitée : 1
gpg:               importées : 1

Le souci c'est que quand je vérifie la signature j'ai ceci, elle ne correspond pas!!!
gpg --verify ./electrum-4.1.2-x86_64.AppImage.asc

gpg: les données signées sont supposées être dans « ./electrum-4.1.2-x86_64.AppImage »
gpg: Signature faite le jeu 08 avr 2021 15:47:31 CEST
gpg:                avec la clef RSA 6694D8DE7BE8EE5631BED9502BD5824B7F9470E6
gpg: Bonne signature de « Thomas Voegtlin (https://electrum.org) <thomasv@electrum.org> » [inconnu]
gpg:                 alias « ThomasV <thomasv1@gmx.de> » [inconnu]
gpg:                 alias « Thomas Voegtlin <thomasv1@gmx.de> » [inconnu]
gpg: Attention : cette clef n'est pas certifiée avec une signature de confiance.
gpg:          Rien n'indique que la signature appartient à son propriétaire.
Empreinte de clef principale : 6694 D8DE 7BE8 EE56 31BE  D950 2BD5 824B 7F94 70E6

Quelqu'un pourrait-il m'aider?
Faut-il télécharger une autre signature de ThomasV?



J'ai réessayé avec le tar.gz maintenant que j'ai importé la signature de ThomasV avec GPG.

Mais le résultat est le suivant:
gpg --verify Electrum-4.1.2.tar.gz.asc

gpg: les données signées sont supposées être dans « Electrum-4.1.2.tar.gz »
gpg: Signature faite le jeu 08 avr 2021 15:47:30 CEST
gpg:                avec la clef RSA 6694D8DE7BE8EE5631BED9502BD5824B7F9470E6
gpg: Bonne signature de « Thomas Voegtlin (https://electrum.org) <thomasv@electrum.org> » [inconnu]
gpg:                 alias « ThomasV <thomasv1@gmx.de> » [inconnu]
gpg:                 alias « Thomas Voegtlin <thomasv1@gmx.de> » [inconnu]
gpg: Attention : cette clef n'est pas certifiée avec une signature de confiance.
gpg:          Rien n'indique que la signature appartient à son propriétaire.
Empreinte de clef principale : 6694 D8DE 7BE8 EE56 31BE  D950 2BD5 824B 7F94 70E6

Les deux logiciel que j'ai téléchargé seraient-ils corrompu?

Pouvez-vous m'aider s'il vous plait?

D'avance merci.
Bien à vous.

Bonjour à tous.

J'aimerais bien installer le portefeuille Electrum sur mon linux.
Je vais sur le site d'Electrum

J'install les dépendances:
sudo apt-get install python3-pyqt5 libsecp256k1-0 python3-cryptography

Je télécharge le paquet:
wget https://download.electrum.org/4.1.2/Electrum-4.1.2.tar.gz

Je télécharge la signature et je vérifie:
wget https://download.electrum.org/4.1.2/Electrum-4.1.2.tar.gz.asc
gpg --verify Electrum-4.1.2.tar.gz.asc

Et là il me dit:
gpg --verify Electrum-4.1.2.tar.gz.asc
gpg: les données signées sont supposées être dans « Electrum-4.1.2.tar.gz »
gpg: Signature faite le jeu 08 avr 2021 15:47:30 CEST
gpg:                avec la clef RSA 6694D8DE7BE8EE5631BED9502BD5824B7F9470E6
gpg: Impossible de vérifier la signature : No public key


Quelqu'un sait comment je dois vérifier la signature du paquet?
Je ne voudrais surtout pas installer une version pirate...

D'avance merci.
Bien à vous.