Le blog de Genma
Vous êtes ici : Accueil » Informatique & Internet » Chiffrement » GPG, Toile de confiance, Clef publique...

GPG, Toile de confiance, Clef publique...

D 15 novembre 2013     H 08:51     A Genma     C 0 messages   Logo Tipee

TAGS : Chiffrement GPG Les réflexions du Genma

Récupération de ma clef publique

Comme je le disais dans mon article sur Free et le https, il n’y a pas de connexion https de possible sur les pages persos de free (espace d’hébergement sur lequel se trouve ce blog). A la suite de la publication de ma clef PGP publique et de l’ajout dans la partie Contact - Mentions légales de cette même clef et du fingerprint associé, de la publication de l’article Clef GPG - Mise à jour du formulaire de contact , j’ai reçu un message du très sympathique Cryptomars (du site cryptoparty.fr) qui me disait : Publier 1 fingerprint sur un site sans https/TLS/SSL n’est pas très utile finalement. :) Tu devrais plus insister sur la nécessité absolue de vérifier l’empreinte de la clef publique d’un correspondant par une méthode sûre : vérification en personne, vérification lors d’un appel vidéo avec le protocole ZRTP en utilisant le logiciel Jitsi par exemple, vérification via le réseau de confiance, ou vérification par téléphone si on connait la voix de la personne..

Constituer la toile de confiance

En cryptographie, une key signing party est un événement pendant lequel des personnes s’échangent entre elles leurs clefs compatibles PGP. L’échange se fait de visu, de la main à la main. En partant du principe qu’on a confiance en le fait que la clef appartient bien à la personne qui le prétend, les participants signent numériquement le certificat contenant cette clef publique, le nom de la personne, et ainsi de suite. Pour en savoir plus

J’ai souhaité partagé cette remarque importante et je vous invite donc, quand cela est possible (en région parisienne), lors d’une rencontre IRL, à me demander un papier édité par gpg-key2ps du paquet signing-party. Ou à demander par exemple, de publier un message particulier reçu par mail sur Twitter ou sur ce blog, pour confirmer que le mail, la clef associée sont bien associée à ce blog et au compte Twitter.

Une fois que vous avez une certaine certitude sur ma clef et le fait qu’elle est bien reliée à "Genma", vous avez la possibilité de signer cette clef, lui accordant ainsi une certaine confiance et constituant de ce fait une toile de confiance.

Remarque intéressante que j’ai entendu à ce sujet, rien ne prouve que nous ne sommes pas plusieurs derrière l’identité de Genma. Cela prouvera juste la personne que vous avez vu à un instant "t" en vrai et une incarnation possible de "Genma". Après, il est possible de me revoir régulièrement et j’aurais toujours la même apparence et toujours le même pseudonyme. Mais l’usurpation d’identité reste toujours possible. Cela ne prouve rien, cela conforte juste un peu plus le fait qu’il y a un "Genma" sur le Net’ et que vous l’avez rencontré, que vous pouvez communiqué avec lui de façon sécurisé/chiffré.

Des signatures des clefs GPG et réseau social

Un réseau social, c’est l’ensemble des liens qui unissent des individus. En regardant qui a signé la clef de qui, on peut commencer à établir une carte du réseau social de ces personnes. Cette carte ne sera pas complète, mais peut avoir un intérêt car elle est peut être plus ciblée et précise que la liste des amis Facebook que l’on peut avoir par exemple. Car autant sur Facebook on est susceptible d’accepter n’importe qui, autant dans le cadre des signatures de clef GPG, Et le fait d’avoir signé leur clef indique qu’on les a rencontrées en vrai au moins une fois et que l’on a pu constaté leur identité (principe de ces rencontres). Mais surtout que l’on est susceptible de communiquer avec ces personnes de façon chiffrée. On a donc fasse là un ensemble de personnes qui sont sensibilisées au chiffrement des données, qui ont des choses à cacher, voir qui sont de vilains cryptoanarchistes. On a donc tout un groupe que l’on est susceptible de vouloir surveiller. A méditer.

Dans la même rubrique

14 février 2020 – KeepassXC - Faire des phrases de passe

7 septembre 2016 – Keepass au quotidien c’est possible

18 août 2016 – Une de mes clef GPG révoquée était une fausse

4 mars 2016 – Tails et Volume persistant

30 juillet 2015 – Calomel SSL Validation