Post

Qubes OS

Qubes OS est un système d'exploitation (OS) orienté sécurité

Posté
Par Yann
3 min lire
Qubes OS

Qubes OS

Qubes OS est un système d’exploitation (OS) orienté sécurité, qui vise à fournir la sécurité des systèmes d’information par l’isolement. Qubes est un logiciel open-source gratuit.wikipédia

https://www.qubes-os.org/

Téléchargement et vérification fichier ISO

Téléchargement direct ou torrent , https://www.qubes-os.org/downloads/

Vérification de la signature PGP https://www.qubes-os.org/security/verifying-signatures/

1-Importation clé de signature Qubes

1

gpg --keyserver pool.sks-keyservers.net --recv-keys 0x427F11FD0FAA4B080123F01CDDFA1A3E36879494

1
2
3
4

gpg: clef DDFA1A3E36879494 : clef publique « Qubes Master Signing Key » importée
gpg: aucune clef de confiance ultime n'a été trouvée
gpg:       Quantité totale traitée : 1
gpg:                     importées : 1

Une fois que vous avez obtenu la clé de signature Qubes Master, vous devez vérifier très attentivement l’empreinte de cette clé en obtenant des copies de l’empreinte digitale à partir de sources indépendantes de confiance et en les comparant à l’empreinte digitale de la clé téléchargée pour vous assurer qu’elles correspondent. Ensuite, définissez son niveau de confiance dans “ultimate” (oh, bien), afin qu’il puisse être utilisé pour vérifier automatiquement toutes les clés signées par la clé de signature Qubes Master:

1

gpg --edit-key 0x36879494

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42

gpg (GnuPG) 2.1.19; Copyright (C) 2017 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.


pub  rsa4096/DDFA1A3E36879494
     créé : 2010-04-01  expire : jamais      utilisation : SC  
     confiance : inconnu       validité : inconnu
[ inconnue] (1). Qubes Master Signing Key

gpg> fpr
pub   rsa4096/DDFA1A3E36879494 2010-04-01 Qubes Master Signing Key
Empreinte clef princip. : 427F 11FD 0FAA 4B08 0123  F01C DDFA 1A3E 3687 9494

gpg> trust
pub  rsa4096/DDFA1A3E36879494
     créé : 2010-04-01  expire : jamais      utilisation : SC  
     confiance : inconnu       validité : inconnu
[ inconnue] (1). Qubes Master Signing Key

Décidez maintenant de la confiance que vous portez en cet utilisateur pour
vérifier les clefs des autres utilisateurs (en regardant les passeports, en
vérifiant les empreintes depuis diverses sources, etc.)

  1 = je ne sais pas ou n'ai pas d'avis
  2 = je ne fais PAS confiance
  3 = je fais très légèrement confiance
  4 = je fais entièrement confiance
  5 = j'attribue une confiance ultime
  m = retour au menu principal

Quelle est votre décision ? 5
Voulez-vous vraiment attribuer une confiance ultime à cette clef ? (o/N) o

pub  rsa4096/DDFA1A3E36879494
     créé : 2010-04-01  expire : jamais      utilisation : SC  
     confiance : ultime        validité : inconnu
[ inconnue] (1). Qubes Master Signing Key
Veuillez remarquer que la validité affichée pour la clef n'est pas
forcément correcte avant d'avoir relancé le programme.

gpg> q

La clé de signature Qubes OS Release 3 (0xCB11CA1D03FA5082) est utilisée pour toutes les images ISO de la version 3:

1

gpg --recv-keys 0xC52261BE0A823221D94CA1D1CB11CA1D03FA5082

1
2
3
4
5
6
7
8

gpg: clef CB11CA1D03FA5082 : clef publique « Qubes OS Release 3 Signing Key » importée
gpg: marginals needed: 3  completes needed: 1  trust model: pgp
gpg: profondeur : 0  valables :   1  signées :   1
     confiance : 0 i., 0 n.d., 0 j., 0 m., 0 t., 1 u.
gpg: profondeur : 1  valables :   1  signées :   0
     confiance : 1 i., 0 n.d., 0 j., 0 m., 0 t., 0 u.
gpg:       Quantité totale traitée : 1
gpg:                     importées : 1

2-Vérification signature fichier

1

gpg -v --verify Qubes-R3.2-x86_64.iso.asc Qubes-R3.2-x86_64.iso

1
2
3
4
5
6

gpg: en-tête d'armure : Version: GnuPG v2
gpg: Signature faite le mar. 20 sept. 2016 19:33:37 CEST
gpg:                avec la clef RSA CB11CA1D03FA5082
gpg: utilisation du modèle de confiance pgp
gpg: Bonne signature de « Qubes OS Release 3 Signing Key » [totale]
gpg: signature binaire, algorithme de hachage SHA256, algorithme de clef rsa4096

Création d’une clé USB bootable

On se met en mode terminal dans le répertoire contenant le fichier ISO Insertion d’une clé USB de 8Go
Périphérique de la clé ,dans le terminal saisir :

1

dmesg

1
2
3
4
5
6
7

[...]
[10086.195181] usb-storage 1-5:1.0: USB Mass Storage device detected
[10086.195272] scsi host5: usb-storage 1-5:1.0
[10087.221974] scsi 5:0:0:0: Direct-Access     SanDisk  Cruzer Blade     1.00 PQ: 0 ANSI: 2
[10087.222983] sd 5:0:0:0: Attached scsi generic sg5 type 0
[10087.223359] sd 5:0:0:0: [sde] 15625216 512-byte logical blocks: (8.00 GB/7.45 GiB)
[...]

La clé est sur /dev/sde
Ecriture du fichier sur la clé en mode su

1

sudo dd if=Qubes-R3.2-x86_64.iso of=/dev/sde bs=4M
chiffrement
Cet article est sous licence CC BY 4.0 par l'auteur.