vérification intégrité des binaires

Mon utilisation de LilyPond m'amène à télécharger relativement souvent
les dernières versions de développement ou parfois les versions
stables quand elles ont mises à jour mais finalement jamais la version
antique proposée par mon gestionnaire de paquet (Debian ...).

Ce soir en téléchargant la dernière version de développement, le
téléchargement s'est avéré incomplet et j'ai bien mis 20 minutes avant
de comprendre que c'est mon fichier téléchargé qui était pourri et que
ce n'était pas un problème lié à LilyPond qui refusait de s'installer.

Du coup je me dis que c'est pas hyper sécurisé de télécharger des
binaires et de les installer à la main sans vérifier si les fichiers
sont intègres (quand on est boulet comme moi en le téléchargant) et si
ils proviennent bien du site qui prétend me les proposer (via GnuPG).

Je souhaiterais donc suite à ça pouvoir a minima vérifier la
concordance d'une somme de contrôle des binaires que je télécharge sur
lilypond.org (j'ai pas vu de somme de contrôle associée aux binaires
proposés) et le must serait de pouvoir faire vérifier l'archive par
GnuPG ... Je n'ai rien trouvé dans les archives.

Qu'en pensez vous? Vous êtes-vous déjà posé la question ? Est ce que
cela entraînerait du boulot supplémentaire pour pas grand chose (genre
proposer un lien sur la page de téléchargement vers un fichier texte
signé avec les hash dedans)?

Selon vous, est-ce une suggestion utile ou délire de geek paranoïaque
qui ne fera rien qu'à compliquer la vie ?

···

--
Michel Villeneuve

Bonsoir,

Non, moi je trouve que ce serait une bonne idée que de sécuriser les transferts afin d'être raisonnablement serein sur l'intégrité des paquets...sous quelle forme cela peut-il être réalisé...aucune compétence pour formuler la moindre proposition...

cordialement,

···

Le 15/11/2010 20:48, Michel Villeneuve a écrit :

Mon utilisation de LilyPond m'amène à télécharger relativement souvent
les dernières versions de développement ou parfois les versions
stables quand elles ont mises à jour mais finalement jamais la version
antique proposée par mon gestionnaire de paquet (Debian ...).

Ce soir en téléchargant la dernière version de développement, le
téléchargement s'est avéré incomplet et j'ai bien mis 20 minutes avant
de comprendre que c'est mon fichier téléchargé qui était pourri et que
ce n'était pas un problème lié à LilyPond qui refusait de s'installer.

Du coup je me dis que c'est pas hyper sécurisé de télécharger des
binaires et de les installer à la main sans vérifier si les fichiers
sont intègres (quand on est boulet comme moi en le téléchargant) et si
ils proviennent bien du site qui prétend me les proposer (via GnuPG).

Je souhaiterais donc suite à ça pouvoir a minima vérifier la
concordance d'une somme de contrôle des binaires que je télécharge sur
lilypond.org (j'ai pas vu de somme de contrôle associée aux binaires
proposés) et le must serait de pouvoir faire vérifier l'archive par
GnuPG ... Je n'ai rien trouvé dans les archives.

Qu'en pensez vous? Vous êtes-vous déjà posé la question ? Est ce que
cela entraînerait du boulot supplémentaire pour pas grand chose (genre
proposer un lien sur la page de téléchargement vers un fichier texte
signé avec les hash dedans)?

Selon vous, est-ce une suggestion utile ou délire de geek paranoïaque
qui ne fera rien qu'à compliquer la vie ?

_______________________________________________
liste de diffusion lilypond-user-fr
lilypond-user-fr@gnu.org
http://lists.gnu.org/mailman/listinfo/lilypond-user-fr

Bonjour,
Désolé d'avoir répondu à Moebius seulement, voici pour la liste.

moebius a écrit :

Bonsoir,

Bonsoir,

Non, moi je trouve que ce serait une bonne idée que de sécuriser les
transferts afin d'être raisonnablement serein sur l'intégrité des
paquets...sous quelle forme cela peut-il être réalisé...aucune
compétence pour formuler la moindre proposition...

Ben, si je peux aider...

Mon utilisation de LilyPond m'amène à télécharger relativement souvent
les dernières versions de développement ou parfois les versions
stables quand elles ont mises à jour mais finalement jamais la version
antique proposée par mon gestionnaire de paquet (Debian ...).

Ce soir en téléchargant la dernière version de développement, le
téléchargement s'est avéré incomplet et j'ai bien mis 20 minutes avant
de comprendre que c'est mon fichier téléchargé qui était pourri et que
ce n'était pas un problème lié à LilyPond qui refusait de s'installer.

Du coup je me dis que c'est pas hyper sécurisé de télécharger des
binaires et de les installer à la main sans vérifier si les fichiers
sont intègres (quand on est boulet comme moi en le téléchargant) et si
ils proviennent bien du site qui prétend me les proposer (via GnuPG).

Je souhaiterais donc suite à ça pouvoir a minima vérifier la
concordance d'une somme de contrôle des binaires que je télécharge sur
lilypond.org (j'ai pas vu de somme de contrôle associée aux binaires
proposés) et le must serait de pouvoir faire vérifier l'archive par
GnuPG ... Je n'ai rien trouvé dans les archives.

Qu'en pensez vous? Vous êtes-vous déjà posé la question ? Est ce que
cela entraînerait du boulot supplémentaire pour pas grand chose (genre
proposer un lien sur la page de téléchargement vers un fichier texte
signé avec les hash dedans)?

Selon vous, est-ce une suggestion utile ou délire de geek paranoïaque
qui ne fera rien qu'à compliquer la vie ?

Je trouve que c'est une excellente idée et je suis surpris que les
développeurs n'y aient pas pensé...

Un simple md5sum <Nom du paquet> ne coûte rien...
Quant à réunir toutes les sommes md5 dans un fichier, c'est pas sorcier
non plus. Une commande récursive sur chaque dossier de l'arborescence
pourrait suffire à créer un fichier de sommes md5.

Au delà de questions de sécurité, les soucis de mauvais transfert
seraient en partie résolus.
Et pour les plus inquiets, des sommes "sha1" sont encore moins
"hackables", et pas plus difficiles à mettre en oeuvre.
(md5 a déjà été contourné, mais avec des moyens énormes...)

Cordialement,

Philippe

···

Le 15/11/2010 20:48, Michel Villeneuve a écrit :

Désolé, j'ai encore envoyé en privé...
Voici donc pour la liste :

Bonjour,

J'ai pondu un petit script qui fait (chez moi en tous cas) ce que
demandait Michel Villeneuve dans son mail.

Je suis sous Linux (debian (i386 et ppc) et Ubuntu, ça dépend des
machines...), je l'ai donc naturellement écrit en bash.

Il s'appelle mkrcmd5f (Make recursive md5 file). Vous pouvez lui ajouter
un ".sh" si ça vous chante.
Le script parcourt une arborescence à partir de sa racine et pour chaque
fichier "normal", calcule la somme md5, et la met dans un fichier
temporaire. S'il trouve un répertoire, il fait de même sur celui-ci.
Il ne tient pas compte des liens, des fichiers spéciaux, etc., et à la
fin du traitement, crée un fichier dans le répertoire concerné avec
dedans toutes les sommes. Si un fichier contenant déjà des sommes et
portant le même nom existe, il le remplace.
Il ne fait rien si le répertoire est vide.
Les fichiers sont bien sûr lisibles par les utilisateurs normaux, même
s'il doit être lancé par "root" ou avec sudo.
Il est très largement modifiable (nom des fichiers générés, choix de la
méthode de cryptage, etc.

Ça marche chez moi. J'espère qu'il conviendra.

Mais je suis loin d'être un pro en la matière (j'ai bien galéré deux
jours !), aussi, je serais reconnaissant à ceux qui savent de me donner
leur avis, et me corriger si possible.

Si on pouvait faire passer ce script à ceux qui gèrent les dépôts, ça
serait encore mieux...

J'espère que les dépôts n'utilisent pas winchose...

Cordialement,

Philippe

PS : vérifiez que les droits /lecture écriture exécution/ sont bien
conservés pour "root", le téléchargement les modifie...

mkrcmd5f (2.99 KB)

J'ai pondu un petit script qui fait (chez moi en tous cas) ce que
demandait Michel Villeneuve dans son mail.

Super!

Ça marche chez moi. J'espère qu'il conviendra.

Pareil ça marche chez moi aussi. Je ne sais pas si il sera adopté par
les développeurs, mais en tout cas moi je l'ai adopté pour un usage
perso, merci!!!!

Valentin a ajouté ma deemande au tracker :
Google Code Archive - Long-term storage for Google Code Project Hosting. Merci à lui.

Ce que j'ai en tête pour la forme que ça pourrait prendre est une
simple page en texte brut reprenant la liste des sommes de contrôle,
comme là :

http://cdimage.ubuntu.com/lucid/daily/current/MD5SUMS

ce qui permet de faire la vérification rapidement et accessoirement la
signature de ce fichier dans une autre page au nom explicite :

http://cdimage.ubuntu.com/lucid/daily/current/MD5SUMS.gpg

ainsi qu'un lien de la page de téléchargement vers ces pages. Il me
semble que cette façon de faire est relativement classique pour les
projets ayant choisi de diffuser des sommes de contrôle de leurs
binaires.

Après md5 ou SHA1, je n'ai pas d'opinion là-dessus. SHA1 est plus
robuste, nécessite un peu plus de temps de calcul mais rien de
significatif vu la faible taille de LilyPond (juste les binaires). md5
remplira néanmoins parfaitement sa fonction il me semble.

···

Le 20 novembre 2010 15:27, Philippe Neyrat <****@****> a écrit :

--
Michel Villeneuve