Le blog de Genma
Vous êtes ici : Accueil » Informatique & Internet » Chiffrement » Les Key signing party

Les Key signing party

D 25 juillet 2014     H 09:00     A Genma     C 0 messages   Logo Tipee

TAGS : GPG

Key signing party

Je reprends ici dans son intégralité le texte de Wikipedia Key signing party qui explique assez bien le déroulement d’une Key signing party.

En cryptographie, une key signing party est un événement pendant lequel des personnes s’échangent entre elles leurs clefs compatibles PGP. L’échange se fait de visu, de la main à la main. En partant du principe qu’on a confiance en le fait que la clef appartient bien à la personne qui le prétend, les participants signent numériquement le certificat contenant cette clef publique, le nom de la personne, et ainsi de suite.

Bien que les clefs PGP (Pretty Good Privacy) soient généralement utilisées avec des ordinateurs personnels dans le cadre d’applications liées à Internet, les key signing parties se déroulent généralement sans ordinateur, puisque cela augmenterait le risque d’abus de confiance. Au lieu de cela, les participants communiquent une chaîne de lettres et de numéros, nommée empreinte de la clef publique, qui représente leur clef.

L’empreinte est créée via une fonction de hachage cryptographique, qui réduit la clef à une chaîne (plus courte et plus facilement gérable). Les participants échangent ces empreintes tout en vérifiant chacun l’identité des autres personnes participant à l’échange. Puis, après la rencontre, chaque participant récupère (par le biais des serveurs de clés existant sur Internet) les clefs correspondant aux empreintes qu’on lui a données, et signe chacune des clefs.

En définitive, une key signing party permet à chacun d’accroître et de renforcer sa toile de confiance (en anglais, Web of Trust), et donc d’être sûr, qu’une clé récupérée depuis un serveur de clés appartient bien à la personne qui le prétend. Cette certitude est souhaitable, voire nécessaire, dans de nombreux environnements ; par exemple, le système de messagerie électronique conventionnel ne contient aucun moyen de se prémunir d’une usurpation d’identité ou d’adresse de messagerie.

En pratique comment ça marche

Lorsque l’on rencontre quelqu’un, il faut lui remettre un papier qui contient donc l’identifiant de sa clef GPG. Le plus simple est d’utiliser le programme gpg-key2ps qui fait partie du paquet "signing-party" (On cherche et installe "signing-party" sous sa distribution GNU/Linux). Une fois le programme gpg-key2ps installé, on doit faire des commandes sur la ligne de commande :

gpg-key2ps -p a4 XYZABC > out.ps
ps2pdf out.ps out.pdf

Avec XYZABC l’identifiant de sa clef et out.pdf le fichier à imprimé.

Problèmes : il faut taper deux lignes dans la ligne de commande, ce qui n’est pas forcément sexy/peut être rebuttant pour le débutant. Mais GPG n’étant pas pour les débutants...

Le format des petits papiers issus de gpg-key2ps ne sont pas non plus des plus attrayant visuellement, ce que j’ai personnellement fait, c’est de mettre ça dans LibreOfficeCalc, ce qui m’a permis d’ajouter une image de mon avatar :

Ce est tout de suite plus agréable visuellement.

Les problématiques liées aux Key signing party

En ce qui concerne les problématiques liées aux Key signing party, je les ai déjà évoquées dans deux articles :
 GPG, Key signing party et pseudonyme
 GPG, Toile de confiance, Clef publique
Vers lesquels je vous renvoie.
Ainsi que Clef GPG et le certificat de révocation, car quand une clef est révoquée, la nouvelle clef doit de nouveau être validée/signée et il est donc nécessaire de participer à des Key signing party...

Dans la même rubrique

14 février 2020 – KeepassXC - Faire des phrases de passe

7 septembre 2016 – Keepass au quotidien c’est possible

18 août 2016 – Une de mes clef GPG révoquée était une fausse

4 mars 2016 – Tails et Volume persistant

30 juillet 2015 – Calomel SSL Validation