Vérifier l'Audit Pack mensuel hors-ligne
Le client vous envoie un .jsonl.gz + .pdf + .sig. Comment savez-vous que le PDF provient du runtime monsys, et non de l'éditeur du client ?
- Sidebar → Audit Packs
- Télécharger .jsonl.gz + .sig pour le mois
- Cliquer 'Download verify-CLI'
- Lancer CLI localement — checkmarks vertes
↳ manifest_hash, hash-chain root, et signature Ed25519 sont tous dans le même fichier .sig. Validable indépendamment.
Idem via API (bash) — pour automatisation
wget https://get.monsys.ai/monsys-verify-eat-linux-x64
chmod +x monsys-verify-eat-linux-x64
./monsys-verify-eat-linux-x64 verify-pack \
--pack 2026-04.jsonl.gz \
--sig 2026-04.sig \
--pubkey https://transparency.monsys.ai/pubkeys/hub.pub
# ✓ manifest_hash matches signature
# ✓ hash chain root matches manifest
# ✓ Ed25519 signature valid against pubkey 7c34a9e2b1f0…
# ✓ 1247 entries in pack, 0 tampered