La signature et GPG
Par jean-philippe gaulier le mardi, avril 5 2005, 16:50 - Les ânes-rient de Gore - Lien permanent
Afin de ne pas faire que des anneries dans cette section, du moins espérons le, je tenterai ici et là de mettre des travaux pratiques que nous effectuons avec Gore.
Aujourd'hui, nous avons signé sa clef GPG. Vous avez d'ailleurs un excellent article à ce sujet sur léa-linux, pour ceux qui ne connaîtaient pas.
GPG est un moyen de s'assurer, dans une certaine mesure, que le destinataire qui vous envoie un message ou un document est bien celui qu'il prétend être. En effet, aujourd'hui, nombre sont les mails usurpés, ne serait-ce que par les virus, il est donc vital de s'assurer qu'un document vient bien de la personne qui dit l'envoyer. C'est la première fonction de GPG, signer. La deuxième fonction n'est pas moins intéressante. En effet, elle permet de chiffrer, c'est à dire rendre incompréhensible pour le commun des mortels, les données que vous transférez à votre interloccuteur. Ainsi, aucun autre que la personne à qui vous destinez les données ne sera en mesure de recevoir le dit message. Cela est très utile lorsque vous souhaitez transférer des données sensibles tels que les mots de passe, pour ne pas dire indispensable !
Au-delà du premier principe de GPG, il existe le trustring, ou cercle de confiance. Ce cercle entend définir toute personne pouvant assurer de la véracité de l'information fournit par la clef GPG de votre interloccuteur. En effet, mettons que je souhaites me faire passer pour Gore auprès d'un interloccuteur qui aurait des données m'intéressant, au hasard, son FAI, je vais procéder comme suit pour usurper son identité :
- je vais prendre une adresse email faisant croire que je suis gore : gore_(@)_copaindegeekette.com,
- je vais écrire à son FAI en lui demandant, au hasard, son mot de passe, en disant que je l'ai perdu,
- je vais signer le message en utilisant une clef gpg que j'aurai forgé pour l'occasion,
- le destinataire aura alors le choix de faire confiance ou non à la signature donnée.
C'est là que le trustring intervient. En effet, si gore a une clef gpg non vérifiée par d'autres personnes, qu'est ce qui assure que c'est bien sa clef GPG ? Rien ! D'où l'importance de faire signer sa clef par autant de personnes que possible.
Attention toutefois, il est inutile d'envoyer plein de mails pour faire signer votre clef, car un rituel bien instauré gère tout ce vacarme (que je traduirai peut être un jour, si je dépile...).
Voilà pourquoi le Gore a reçu aujourd'hui sa première signature.
Quant à moi, vous pouvez trouver ma clef ici.