pgp.md 1.46 KB
Newer Older
mazenovi's avatar
mazenovi committed
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
# PGP / GPG

# <i class="fa fa-user-secret" aria-hidden="true"></i>

## PGP

* Phil Zimmermann
* munition / cryptowar
* PGP implémentation foireuse
* GPG GnuPG impléentation GPL
* asymétrique

## Création d’une clé PGP
% gpg --gen-key
▶ Créé la paire de clés de l’utilisateur
▶ Créé un « certificat » avec la clé publique et l’identité de l’utilisateur (clé publique)
▶ Signe la clé publique avec la clé privée
* C’est grosso-modo un certificat X.509 auto-signé

## Signature d’une clé PGP
Une clé PGP peut avoir

plusieurs signatures
▶ Alice fourni à Bob l’empreinte de sa clé publique
▶ Bob vérifie que l’empreinte correspond
▶ Bob signe la clé publique avec sa clé privée
▶ Bob envoie à Alice sa clé publique signée

▶ Alice importe sa clé dans son trousseau
▶ La clé existe déjà, seule la nouvelle signature est ajoutée

Bob peut aussi publier la clé d’Alice sur Internet... mais c’est mal vu
* et surtout c'est probablement déjà fait

## Réseau de confiance
Les signatures sont publiques :
* on sait qui à signé la clé de qui (donc qui fait confiance à qui)
« Les amis de mes amis sont mes amis »
[schéma slide 51]
On est en moyenne à 5.5 clés d’un autre utilisateur de PGP
* signature pas forcément symétrique

## difficulté du poartage web of Trust

* serveur de clé
* keybase

## commande pour se connecter à serveur de clé pour les mises à jour
* peut aussi être fait manuellement

## AndroidPG