[Ldl62] Mes =?utf-8?q?pr=E9cisions_sur_les_commentaires_de_Michel_-_Clef?= GPG

Alain Vaugham alain at vaugham.com
Ven 18 Sep 01:36:19 CEST 2009


Le jeudi 17 septembre 2009 23:00, Houry Jean-Louis a écrit :
> > > Clef GPG : 0xD26D18BC
>
> Ça veut dire quoi, cette clef s'il vous plaît?

GPG signifie Gnu Privacy Guard
C'est un logiciel.
Il permet de signer électroniquement un fichier ou de chiffrer un document.

GPG fonctionne avec deux clefs.
0xD26D18BC, c'est le numéro de ma clef. Ce numéro n'est pas confidentiel.
J'ai une autre clef qui elle, est confidentielle.


Voici un exemple d'utilisation.
C'est la comparaison entre un courrier électronique et un courrier papier.

Un email, c'est un simple fichier texte que l'on expédie sur la toile.
Ce texte est lisible par un humain au même titre qu'une carte postale qui 
voyage dans un camion peut être lue par les employés de La Poste ou par le 
voisin qui aurait vu atterir cette carte dans sa boîte aux lettres par 
erreur.
Il n'y a aucune confidentialité à ce niveau-là.

On peut souhaiter préserver la confidentialité de ce qui est écrit sur la 
carte postale.
Dans le cas du papier on la mettra dans une enveloppe.
Dans le cas de l'email on va le chiffrer (on obtient une bouillie illisible).

(Je schématise)
Celui qui va ouvrir l'enveloppe prendra connaissance du contenu même si il 
n'est pas le destinataire autorisé. Pour éviter ça, on a inventé l'accusé de 
réception avec présentation d'une pièce d'identité au guichet.
Dans le cas de l'email on va intégrer la clef non confidentielle (on dit 
publique) du destinataire dans le courrier comme ça, lui seul pourra 
déchiffrer le email. 

Ce que l'on n'a pas prévu à La Poste c'est de s'assurer que l'adresse de 
l'expéditeur est bien réelle et qu'en plus elle soit bien celle de celui qui 
poste l'enveloppe (usurpation d'identité).
La signature de courriers électroniques avec GPG permet de remédier à cette 
anomalie. On peut donc vérifier si l'émetteur est bien celui qu'il dit qu'il 
est grâce à sa clef publique.

Imaginons un instant que chaque individu possède sa clef GPG et qu'il signe 
ses emails avec. Que deviendraient alors les spams non signés? ;-)


Dans la vraie vie la plupart des états identifient leur sujets avec un numéro 
unique de carte d'identité (en plus du numéro de sécurité sociale pour la 
France). Il est évident qu'on ne transmet pas ces numéros dans nos emails 
pour s'identifier. On a donc trouvé une autre astuce. Les humains qui le 
souhaitent se rencontrent physiquement face à face pour vérifier leur 
identités sur les passeports ou les cartes d'identités avec la photo. Il se 
communiquent leur clef publique à cet instant là. Si ils sont convaincus de 
l'identité de celui qui est en face alors ils mémoriseront l'adresse email et 
le numéro de clef publique de celui qui est en face. 
Pour faciliter les recherches pour tous, chacun peut déposer sa clef publique 
et son adresse email sur des serveurs de clefs.
Au final une personne peut donc avoir été identifiée par beaucoup d'autres. Il 
lui sera ensuite difficile de prouver qu'un courrier ou un document chiffré 
portant sa signature ne provient pas d'elle.

GPG est donc un système qui pemet l'identification des individus.
De nos jours, on peut réellement s'inquiéter de l'utilisation qui peut en être 
faite.
Mais d'un autre côté, on ne peut ignorer qu'il s'agit aussi d'un outil 
permettant de préserver une confidentialité numérique... du moins, tant que 
nos politiciens daignent encore nous accorder ce petit espace de liberté :-(

De la lecture ici :
http://fr.wikipedia.org/wiki/GNU_Privacy_Guard


-- 
Alain Vaugham
Clef GPG : 0xD26D18BC



Plus d'informations sur la liste de diffusion Ldl62