Avec Firefox

À la place d'une signature cryptographique, cette technique utilise un hash cryptographique. Nous la proposons car elle est particulièrement simple pour les utilisateurs de Windows.

1. Installer l'extension MD5 Reborned Hasher pour Firefox.

2. Redémarrer Firefox.

3. Ouvrir la fenêtre de Téléchargements depuis le menu Outils ▸ Téléchargements. MD5 Reborned Hasher fonctionne uniquement sur les fichiers qui apparaissent dans la fenêtre Téléchargements de Firefox.

Si vous utilisez Firefox version 20 à 25, MD5 Reborned Hasher est incompatible avec la nouvelle fenêtre de Téléchargements. Pour revenir a une fenêtre de Téléchargements compatible, faire ceci :

1. Ouvrir un nouvel onglet dans Firefox.
2. Écrire about:config dans la barre d'URL, puis appuyer sur Entrée.
3. Coller le nom de préférence suivant dans le champ de recherche :browser.download.useToolkitUI.
4. Changer la valeur de cette préférence à true, en faisant clic-droit sur la préférence et en choisissant Inverser.
5. Redémarrer Firefox.

Si vous utilisez Firefox version 26 ou supérieure, cette méthode ne fonctionne plus. Il n'est actuellement pas possible d'utiliser ces versions de Firefox pour vérifier une image ISO.

4. Si l'image ISO n'apparaît pas dans la liste des téléchargements récents :

   • Aller dans le menu Fichier ▸ Ouvrir un fichier….
   • Sélectionner l'image ISO que vous voulez vérifier. Choisir de sauvegarder l'image en gardant le même nom. Répondre Oui si Firefox vous demande si vous voulez la remplacer.
   • Ceci lance une copie locale de l'image ISO et l'ajoute à la fenêtre des Téléchargementss.

5. Cliquer sur le lien Check Digest… sur la ligne de la fenêtre des Téléchargements correspondant à l'image ISO. Si le lien Check Digest… n'apparaît pas, cela signifie que MD5 Reborned Hasher n'est pas correctement installé.

6. Dans la fenêtre Check File, choisir SHA256 comme type de hashage.

7. Cliquer sur Generate Digest.

8. Copier et coller le hash suivant correspondant à la version 0.23 dans la zone de texte Enter checksum.

   359d104737f1a448375d2030f938dea3d529468b8218485998ab893c1f7509eb

9. Lorsque que la génération hash est terminée, un résultat apparaît au bas de la fenere disant :

   • Okay, si l'image ISO est bonne,
   • Match failed!, si l'image ISO n'est pas bonne.

Utiliser la signature numérique

GnuPG est une implémentation d'OpenPGP comportant une interface graphique pour Windows et Mac OS X, qui rend possible la vérification de signatures cryptographiques avec ces systèmes d'exploitation :

• Gpg4win, pour Windows
• GPGTools, pour Mac OS X

Vous trouverez sur ces sites internet une documentation détaillée sur l'installation et l'usage de ces logiciels.

Pour Windows et Gpg4win

Après l'installation de Gpg4win, téléchargez la clef de signature Tails :

Tails signing key

Consultez la documentation de Gpg4win pour l'importer

Maintenant téléchargez la signature numérique correspondant au fichier ISO que vous souhaitez vérifier :

Tails 0.23 signature

Consultez la documentation de Gpg4win pour vérifier la signature

Si vous voyez l'avertissement suivant :

Not enough information to check the signature validity.
Signed on ... by tails@boum.org (Key ID: 0xBE2CD9C1
The validity of the signature cannot be verified.

Alors l'image ISO est quand même bonne, et valide d'après la clé de signature de Tails que vous avez téléchargé. Cet avertissement est lié à la confiance que vous avez placé dans la clé de signature de Tails. Voir Faire confiance à la clé de signature de Tails. Pour supprimer cet avertissement, vous devrez personnellement signer(en anglais) la clé de signature de Tails avec votre clé.

Pour Mac OS X et GPGTools

Après l'installation de GPGTools, vous devriez être en mesure de suivre les instructions "Linux et lignes de commandes". Pour ouvrir un terminal, ouvrez votre dossier Applications, puis Utilities/Utilitaires et double-cliquez sur Terminal.