Tails transitioned to a new signing key between Tails 1.3 (February 24) and Tails 1.3.1 (March 31). If you had the previous signing key, make sure to import and verify the new signing key.

Vous avez besoin d'avoir GnuPG installé. GnuPG est l'implementation de OpenPGP pour Linux. Il est installé par défaut avec Debian, Ubuntu, Tails et bien d'autres distributions.

Get the Tails signing key

Tout d'abord, téléchargez la clé de signature de Tails:

Tails signing key

Ouvrez un terminal et importez la signature Tails avec les commandes suivantes:

cd [le dossier dans lequel vous avez téléchargé la clef]
gpg --keyid-format long --import tails-signing.key

La sortie devrait vous indiquer que la clef a été importée:

gpg: key DBB802B258ACD84F: public key "Tails developers (offline long-term identity key) <tails@boum.org>" imported
gpg: Total number processed: 1
gpg:               imported: 1  (RSA: 1)

Si vous aviez déjà importé une clef Tails par le passé, la sortie devrait vous indiquer que la clef n'a pas été modifiée :

gpg: key DBB802B258ACD84F: "Tails developers (offline long-term identity key) <tails@boum.org>" not changed
gpg: Total number processed: 1
gpg:              unchanged: 1

Si vous obtenez le message suivant à la fin du message de sortie :

gpg: no ultimately trusted keys found

Le sens des autres messages reste le même : ce message supplémentaire ne concerne pas la clé de signature de Tails que vous venez de télécharger mais signifie habituellement que vous ne vous êtes pas encore fait votre propre paire de clés, ce qui n'est pas d'une grande importance pour vérifier l'image ISO.

Verify the ISO image

Maintenant téléchargez la signature numérique correspondant au fichier ISO que vous souhaitez vérifier et sauvegardez-la dans le même dossier que le fichier ISO :

Tails 1.4 signature

Lancez alors la vérification, qui peut prendre plusieurs minutes :

cd [le dossier contenant l'image ISO]
gpg --keyid-format long --verify tails-i386-1.4.iso.sig tails-i386-1.4.iso

Si la signature numérique correspond à l'image ISO , vous recevrez un message vous l'indiquant :

pg: Signature made Sun 08 Feb 2015 08:17:03 PM UTC
gpg:                using RSA key 3C83DCB52F699C56
gpg: Good signature from "Tails developers (offline long-term identity key) <tails@boum.org>" [unknown]
Primary key fingerprint: A490 D0F4 D311 A415 3E2B  B7CA DBB8 02B2 58AC D84F
     Subkey fingerprint: BA2C 222F 44AC 00ED 9899  3893 98FE C6BC 752A 3DB6

or:

pg: Signature made Sun 08 Feb 2015 08:17:03 PM UTC
gpg:                using RSA key 98FEC6BC752A3DB6
gpg: Good signature from "Tails developers (offline long-term identity key) <tails@boum.org>" [unknown]
Primary key fingerprint: A490 D0F4 D311 A415 3E2B  B7CA DBB8 02B2 58AC D84F
     Subkey fingerprint: A509 1F72 C746 BA6B 163D  1C18 3C83 DCB5 2F69 9C56

Si vous voyez l'avertissement suivant

gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: A490 D0F4 D311 A415 3E2B  B7CA DBB8 02B2 58AC D84F

L'image ISO est malgré tout correcte, et valide selon la clé que vous avez téléchargé.Cet avertissement a plutôt à voir avec la confiance que vous accordez à la clé de signature de Tails. Voir Faire confiance à la clé de signature de Tails. Afin de ne plus avoir cet avertissement, vous devrez personnellement signer la clé de signature de Tails avec votre propre clé.

Si l'image ISO est corrompu, vous recevrez un message de ce type :

gpg: Signature made Sat 30 Apr 2015 10:53:23 AM CEST
gpg:                using RSA key DBB802B258ACD84F
gpg: BAD signature from "Tails developers (offline long-term identity key) <tails@boum.org>"