GPG, Key signing party et pseudonyme

, par  Genma , popularité : 3%

Pour savoir ce que sont en détails que ces Key signing party, je vous invite à lire la page Key signing party sur Wikipedia ainsi que Toile de confiance - Web of Trust.

Signer des clefs GPG d’un pseudonyme

Ce que je voudrais faire ici, c’est parler de la constitution de cette toile de confiance dans le cadre du pseudonymat. En effet, normalement, dans une Key signing party, on présente un papier d’identité pour valider l’identité de la personne. Au delà du fait qu’il faut voir la confiance que l’on accorde aux papiers d’identité (qui peuvent être falsifiés), encore faut-il être un personnage publique sous ses vraies nom et prénom. Beaucoup de hackers, d’hacktivistes ou autre dont moi utilisons des pseudonymes. Et personnellement, je n’ai que faire de leur véritable identité, je les connais sous un pseudo et c’est ainsi que je veux les connaitre. Pour certains, on peut connaitre leur vrai nom, d’autres font tout pour le dissimuler, le cacher. Alors comment faire dans ce cas là ?

Valider l’identité numériques

Au delà de la validation de la clef GPG en elle-même, dans le cas d’un pseudonyme, c’est l’identité numérique qu’il est important de valider. C’est la présence en ligne, sur les différents comptes de réseaux sociaux blog etc. qui importe.

On met alors en place un système de cross-validation. Par exemple, lors d’un échange par un moyen de communication, on convient ensemble d’un mot de passe ou d’une phrase de passe. On échange ensuite ce mot de passe par un autre moyen, en l’occurrence un mail, ou lors de la rencontre IRL. Ou inversement, quand je me présente à des inconnus sous le nom de Genma, en parlant de ce blog, de mon Twitter etc. ceux-ci me demandent de faire quelque chose de particulier sur le blog, de publier un message particulier sur Twitter. Ou de leur renvoyer par mail chiffré avec leur clef publique une information particulière. Ils me répondent et on valide ma clef publique à mon tour.

Ainsi on valide tour à tout les différents comptes de réseaux sociaux, les mails et on s’assure que c’est bien la même personne qui est derrière les différents comptes sous un même pseudonyme. Une réflexion intéressante que l’on m’a faite à ce sujet a été : "qui me dit que vous n’êtes pas plusieurs personnes peuvent être derrière le pseudonyme de Genma".

Dans ce cas, une personne seule "prête son visage" pour les rencontres publiques vu que c’est toujours la même personne qui se présente sous ce pseudonyme lors de différentes interventions (indiquées sur l’agenda de ce blog par ailleurs). De plus, l’analyse de ma façon d’écrire, de parler sur les différents comptes (blog et Twitter essentiellement) conforterait le fait qu’il n’y a qu’une seule et même personne.

Les signatures d’une clef

Pour en revenir à la signature de la clef GPG, sujet de départ de ce texte, le but est de valider la clef publique. On peut récupérer facilement une clef publique GPG mais qu’est ce qui nous garantit qu’elle appartient bien à celui à qui on pense qu’elle appartient. Les signatures permettent de créer un cercle de confiance, de dire "moi, je valide que cette clef est bien celle de celui à qui elle prétend appartenir" et plus il y a de personnes que l’on connait et en qui on a confiance qui ont validées une clef, plus on peut accorder de confiance à cette clef, jusqu’au moment où on pourra soi-même signer la clef à la suite de la rencontre de la personne.

Conclusion

Il faut voir où l’on place la confiance dans la signature des clefs. De même il faut savoir et garder à l’esprit que les signatures de clefs GPG définissent un graphe social. Certains ne veulent pas que les signatures de clefs soient publiées en lignes et donc publiques. GPG est complexe. Il ne faut pas l’oublier. Et chaque mois, j’en apprends un peu plus sur l’étendue de cette complexité (qui va au delà du simple fait d’ajouter une extension dans Thunderbird), la gestion des signatures des clefs étant un des aspects de cette complexité.