# Audite-toi-même — Toolkit de vérification Verbum-Bible

Ce dossier permet à n'importe qui de vérifier que le corpus biblique servi
par Verbum-Bible n'a pas été altéré. Aucun téléchargement ni compte requis :
le code de vérification est ouvert, court, et auditable.

## Pourquoi

La charte d'honnêteté (article 3) promet que chaque mot affiché dans
l'application provient d'une source signée Ed25519. Cette promesse n'a de
valeur que si tu peux la vérifier toi-même. C'est exactement ce que ce
toolkit te permet.

## Comment

### 1. Télécharge les 4 fichiers

```
verbum-corpus.bin     (~9 Mo)  ← le corpus biblique signé
corpus-signing.pub    (32 octets) ← la clé publique Ed25519
verify.py             (~2 ko)  ← le script Python de vérification
README.md             (ce fichier)
```

Tous depuis https://www.verbum-bible.com/

```bash
curl -O https://www.verbum-bible.com/verbum-corpus.bin
curl -O https://www.verbum-bible.com/corpus-signing.pub
curl -O https://www.verbum-bible.com/verify/verify.py
```

### 2. Installe la dépendance

```bash
pip install cryptography
```

C'est la seule dépendance externe. La bibliothèque `cryptography` est
maintenue par la PyCA, largement auditée, et présente sur la plupart des
distributions Linux par défaut.

### 3. Vérifie

```bash
python3 verify.py verbum-corpus.bin corpus-signing.pub
```

### Sortie attendue

```
✓ Signature Ed25519 VALIDE.
  Fichier        : verbum-corpus.bin
  Taille         : 9,345,622 octets
  Body length    : 9,345,542 octets
  SHA-256        : <empreinte hexadécimale>
  Clé publique   : <clé hex>
```

Si la signature est invalide, le script retourne le code 1 et imprime un
message d'erreur. Cela signifie que le fichier a été modifié, ou que la
clé publique ne correspond pas à la clé privée qui l'a signé.

## Format du container

```
[4 octets : magic "VBM\x01"]
[4 octets : version (uint32 little-endian)]
[8 octets : body_len (uint64 little-endian)]
[body_len octets : corps postcard+zstd]
[64 octets : signature Ed25519 du préfixe ci-dessus]
```

L'implémentation Rust de référence est dans `crates/verbum-audit/src/lib.rs`
sur https://github.com/winterbim/verbum-bible (AGPL-3.0).

## Si tu trouves un problème

- Signature invalide chez toi mais pas chez d'autres → cache CDN corrompu,
  retéléchargé devrait régler.
- Signature invalide partout → ouvre une issue GitHub : c'est sérieux.
- Clé publique différente du dépôt → idem, à signaler.

Email : wint.fernandes@gmail.com — objet « Verify »