Pour signer une archive, ce n'est pas pkzip qu'il faut prendre mais GPG, WinPT ou PGP.

(Voir http://sebsauvage.net/winpt_fr.html )

Merci pour l'info, mais j'ai vu que c'était possible à faire avec PKZIP et je n'ai pas d'autre choix que d'utiliser PKZIP. C'est pour ça que je recherche absolument le moyen de signer une archive avec PKZIP.
Merci d'avance

Ah... désolé je n'ai jamais signé d'archive avec pkzip.

Tu a regardé la doc ?

tu as regardé les options (pkzip /?) ?

Dis-moi, je n'y arrive pas avec pkzip, et je suis en train de tester WinPT pour me mettre à l'aise avec ses systèmes de clés publique et privée. Peux-tu me dire si je peux créer 2 utilisateurs bidons, faire signer le zip à 1 et le faire ouvrir à l'autre en vérifiant qu'il provient bien du premier?
Merci d'avance

Peux-tu me dire si je peux créer 2 utilisateurs bidons, faire signer le zip à 1 et le faire ouvrir à l'autre en vérifiant qu'il provient bien du premier?

Sans problème !

Comme ça tu peux faire des essais.

Bon, j'ai vraiment besoin de ton aide.
J'ai créé 2 utilisateurs : toto1 et toto2. toto1 a signé la clé publique de toto2.
toto2 créé un document test.doc et le signe ( clic droit de la souris -> WinPT -> Sign - j'ai fait avec le clic droit sur le fichier directement car CurrentWindows ne marche pas). Un fichier test.doc.sig se génère.Je ne sais pas du tout à quoi sert ce fichier, si tu pouvais m'aiguiller... Je veux vérifier que le fichier test.doc a bien été signé par toto2. Pour cela, je fais bouton droit sur le fichier -> WinPt -> Decrypt/verify. Et rien ne se passe, aucune fenêtre s'ouvre pour dire "The signature is good". Ce serait vraiemnt gentil de m'expliquer comment ça marche, merci.

Avant que toto1 et toto2 puissent communique, chaque dois récupérer la clé publique de l'autre.

(export key --> donner à l'autre).

Note que par défaut, WinPT considère que tu n'a pas de double personalité et que donc par défaut tu signe toujours avec le même (toto1 OU toto2, mais pas les deux à la fois).

Il faut jongler avec tes keyrings pour simuler le passage d'un utilisateur à l'autre.

Puisque c'est moi qui ait créé toto1 et toto2, j'ai forcément dans mon gestionnaire de clés leurs 2 clés publiques. J'ai essayé ce que tu me dis : dans le gestionnaire de clés, j'ai fait Key -> Export de chacune des clés de toto1 et toto2. Ca m'a enregistré 2 fichiers .asc que j'ai ensuite importé par Key -> Import. Or ça ne change rien puisque j'avais déjà toto1 et toto2 dans mon gestionnaire de clés.
Quand je signe, ça me demande avec lequel je veux signer, et là je choisis par exemple l'utilisateur toto2. Ca me génére un fichier .sig. A quoi il sert ? Et après, je veux verifier si le fichier vient bien de toto2, mais je ne sais pas comment faire pour faire comprendre que je suis toto1.
Merci si tu pouvais m'aider à nouveau, je nage un peu avec ces signatures, c'est du tout nouveau!!!

Chaque utilisateur son jeu de clés (fichiers secring.gpg et secring.pgp).

C'est à toi de d'échanger les 2 jeux de fichiers entre toto1 et toto2 pour simuler le changement d'utilisateur.

(Déplace-les dans un autre répertoire).

Le fichier .sig est à envoyer en même temps que ton fichier ZIP:

Celui qui le reçoit pourra contrôller le fichier ZIP reçu avec ce fichier .sig, et il verra que c'est bien toit qui l'a signé.
(bien sur il faut qu'il ait déjà importé ta clé publique).

MErci de ton aide.
Donc, je n'ai pas d'autres choix que de joindre mon .sig à mon fichier pour être assuré de la signature?
Celui qui reçoit doit-il juste ouvrir le .sig qui contient déjà la mention "The signature is good" ou doit-il aussi faire "Verify" sur le fichier zip qu'il reçoit ? Pour moi, on n'a pas besoin de faire la seconde manip, mais la première est-elle vraiment sécurisée ?

Donc, je n'ai pas d'autres choix que de joindre mon .sig à mon fichier pour être assuré de la signature?

Absolument.


Celui qui reçoit doit-il juste ouvrir le .sig qui contient déjà la mention "The signature is good" ou doit-il aussi faire "Verify" sur le fichier zip qu'il reçoit ?

ça dépend du logiciel qu'il utilise (winPT, PGP, etc.)
Généralement, il suffit de double-cliquer sur le fichier .sig pour vérifier automatiquement la signature.