Electrum Vérification signature paquet Linux

[Jerboa_81]

Bonjour à tous.

J'aimerais bien installer le portefeuille Electrum sur mon linux.
Je vais sur le site d'Electrum

J'install les dépendances:
sudo apt-get install python3-pyqt5 libsecp256k1-0 python3-cryptography

Je télécharge le paquet:
wget https://download.electrum.org/4.1.2/Electrum-4.1.2.tar.gz

Je télécharge la signature et je vérifie:
wget https://download.electrum.org/4.1.2/Electrum-4.1.2.tar.gz.asc
gpg --verify Electrum-4.1.2.tar.gz.asc

Et là il me dit:
gpg --verify Electrum-4.1.2.tar.gz.asc
gpg: les données signées sont supposées être dans « Electrum-4.1.2.tar.gz »
gpg: Signature faite le jeu 08 avr 2021 15:47:30 CEST
gpg:                avec la clef RSA 6694D8DE7BE8EE5631BED9502BD5824B7F9470E6
gpg: Impossible de vérifier la signature : No public key


Quelqu'un sait comment je dois vérifier la signature du paquet?
Je ne voudrais surtout pas installer une version pirate...

D'avance merci.
Bien à vous.

[Jerboa_81]

Rebonjour à tous.

Bon finalement faisons avec le fichier Appimage...

Sur le site d'Electrum (https://electrum.org/#download) j'ai téléchargé le fichier Appimage et la signature PGP.

J'ai téléchargé et importé la signature de ThomasV
wget https://raw.githubusercontent.com/spesmilo/electrum/master/pubkeys/ThomasV.asc
gpg --import ThomasV.asc

gpg: répertoire « /home/jerboa/.gnupg » créé
gpg: le trousseau local « /home/jerboa/.gnupg/pubring.kbx » a été créé
gpg: /home/jerboa/.gnupg/trustdb.gpg : base de confiance créée
gpg: clef 2BD5824B7F9470E6 : clef publique « Thomas Voegtlin (https://electrum.org) <thomasv@electrum.org> » importée
gpg: Quantité totale traitée : 1
gpg:               importées : 1

Le souci c'est que quand je vérifie la signature j'ai ceci, elle ne correspond pas!!!
gpg --verify ./electrum-4.1.2-x86_64.AppImage.asc

gpg: les données signées sont supposées être dans « ./electrum-4.1.2-x86_64.AppImage »
gpg: Signature faite le jeu 08 avr 2021 15:47:31 CEST
gpg:                avec la clef RSA 6694D8DE7BE8EE5631BED9502BD5824B7F9470E6
gpg: Bonne signature de « Thomas Voegtlin (https://electrum.org) <thomasv@electrum.org> » [inconnu]
gpg:                 alias « ThomasV <thomasv1@gmx.de> » [inconnu]
gpg:                 alias « Thomas Voegtlin <thomasv1@gmx.de> » [inconnu]
gpg: Attention : cette clef n'est pas certifiée avec une signature de confiance.
gpg:          Rien n'indique que la signature appartient à son propriétaire.
Empreinte de clef principale : 6694 D8DE 7BE8 EE56 31BE  D950 2BD5 824B 7F94 70E6

Quelqu'un pourrait-il m'aider?
Faut-il télécharger une autre signature de ThomasV?



J'ai réessayé avec le tar.gz maintenant que j'ai importé la signature de ThomasV avec GPG.

Mais le résultat est le suivant:
gpg --verify Electrum-4.1.2.tar.gz.asc

gpg: les données signées sont supposées être dans « Electrum-4.1.2.tar.gz »
gpg: Signature faite le jeu 08 avr 2021 15:47:30 CEST
gpg:                avec la clef RSA 6694D8DE7BE8EE5631BED9502BD5824B7F9470E6
gpg: Bonne signature de « Thomas Voegtlin (https://electrum.org) <thomasv@electrum.org> » [inconnu]
gpg:                 alias « ThomasV <thomasv1@gmx.de> » [inconnu]
gpg:                 alias « Thomas Voegtlin <thomasv1@gmx.de> » [inconnu]
gpg: Attention : cette clef n'est pas certifiée avec une signature de confiance.
gpg:          Rien n'indique que la signature appartient à son propriétaire.
Empreinte de clef principale : 6694 D8DE 7BE8 EE56 31BE  D950 2BD5 824B 7F94 70E6

Les deux logiciel que j'ai téléchargé seraient-ils corrompu?

Pouvez-vous m'aider s'il vous plait?

D'avance merci.
Bien à vous.

[LeGaulois]

Code:

gpg: Attention : cette clef n'est pas certifiée avec une signature de confiance.
gpg:          Rien n'indique que la signature appartient à son propriétaire

cela veut seulement dire que tu n'as pas établi le principe de toile de confiance (web of trust) avec les autres utilisateurs de GPG.
Tu peux ne pas tenir compte


Pour récupérer la clé GPG publique de ThomasV

Code:

gpg --keyserver keys.gnupg.net --recv-keys 6694D8DE7BE8EE5631BED9502BD5824B7F9470E6

Pour vérifier la signature GPG

Code:

gpg --verify <electrum file>.asc <electrum file>

en remplaçant <electrum file> par celui qui a été téléchargé

tu dois obtenir:

Code:

Good signature from "Thomas Voegtlin (https://electrum.org) <thomasv@electrum.org>

Code:

Primary key fingerprint: 6694 D8DE 7BE8 EE56 31BE  D950 2BD5 824B 7F94 70E6

[Jerboa_81]

Salut.

Voici ce que j'ai fait:

gpg --keyserver keys.gnupg.net --recv-keys 6694D8DE7BE8EE5631BED9502BD5824B7F9470E6
gpg: clef 2BD5824B7F9470E6 : « Thomas Voegtlin (https://electrum.org) <thomasv@electrum.org> » n'est pas modifiée
gpg: Quantité totale traitée : 1
gpg:              non modifiées : 1


Et voici ce que j'ai obtenu:

gpg --verify ./electrum-4.1.2-x86_64.AppImage.asc ./electrum-4.1.2-x86_64.AppImage
gpg: Signature faite le jeu 08 avr 2021 15:47:31 CEST
gpg:                avec la clef RSA 6694D8DE7BE8EE5631BED9502BD5824B7F9470E6
gpg: Bonne signature de « Thomas Voegtlin (https://electrum.org) <thomasv@electrum.org> » [inconnu]
gpg:                 alias « ThomasV <thomasv1@gmx.de> » [inconnu]
gpg:                 alias « Thomas Voegtlin <thomasv1@gmx.de> » [inconnu]
gpg: Attention : cette clef n'est pas certifiée avec une signature de confiance.
gpg:          Rien n'indique que la signature appartient à son propriétaire.
Empreinte de clef principale : 6694 D8DE 7BE8 EE56 31BE  D950 2BD5 824B 7F94 70E6


C'est ok ?


OK merci beaucoup, j'ai vu dans la doc de Electrum qu'effectivement on pouvait ignorer le

"Attention : cette clef n'est pas certifiée avec une signature de confiance.
Rien n'indique que la signature appartient à son propriétaire"

Voici le lien vers la doc pour ceux qui veulent:
https://electrum.readthedocs.io/en/latest/gpg-check.html

Encore Merci.


Edit modo : Fusion double post
Archive

[elma]

Merci pour le retour.