From: Michel Bouissou To: pingouin@sphinx.i-quake.com Date: Thu, 20 Sep 2001 13:46:33 +0200 Subject: [pingouin] GnuPG: Utilisation de serveurs de clés Bonjour, Nous avons vu précédemment que tout GnuPG repose sur un système de clés publiques, et que nous avons besoins d'avoir dans notre trousseau la clé publique de nos correspondants, si nous voulons pouvoir chiffrer des messages à leur intention. Pour faciliter l'échange de clés, il existe un certain nombre de "serveurs de clés publiques", auxquels nous pouvons envoyer notre propre clé publique (pour que d'autres puissent la trouver), ou auxquels nous pouvons demander les clés de nos correspondants, si nous ne les avons pas. La plupart des serveurs de clés sont synchronisés entre eux, ce qui veut dire que, si nous envoyons une clé à un serveur, elle sera probablement répliquée sur les autres serveurs "au bout d'un certain temps"... Quatre mises en garde avant de poursuivre: 1) Avant d'ENVOYER notre propre clé publique à un serveur, il faut nous assurer que nous serons en mesure de continuer à l'utiliser, et que nous serons capables de la révoquer en cas de besoin. Assurons-nous donc au préalable que: - Nous avons effectivement réalisé des copies de secours de notre trousseau (clés privées et clés publiques). - Nous ne risquons pas d'oublier notre phrase secrète ;-) 2) Les clés que l'on envoie à un serveur ne peuvent plus *jamais* en être retirées. Il faut en être conscient, et c'est pour cela qu'il est important d'être sûrs que nous pourrons conserver l'usage de notre clé avant de la télécharger sur un serveur (copies de secours, etc). A défaut, si nous perdions notre clé ou notre phrase secrète, certains correspondants pourraient continuer de nous écrire avec cette clé, et nous ne pourrions pas déchiffrer leurs messages. Et nous ne pourrions pas non plus révoquer cette clé "perdue"... 3) Quand nous téléchargeons la clé d'un de nos correspondant depuis un serveur, il faut avoir à l'esprit que la clé que nous y trouvons n'est pas nécessairement authentique (par exemple, il y a quelques années, un malveillant a généré un certain nombre de "fausses clés" portant mon nom et mon adresse e-mail et les a téléchargées sur un serveur. J'ai pu marquer ces clés comme "fausses", mais je n'ai pas pu les supprimer des serveurs). ==> Il faut donc toujours penser à contrôler les signatures authentifiant une clé que l'on a trouvée sur un serveur, et, au besoin, authentifier nous-même la clé ainsi trouvée avec son propriétaire... (Comme expliqué dans mon message "certification des clés") 4) Il est techniquement possible d'envoyer la clé d'un tiers à un serveur, si nous la possédons dans notre trousseau. Mais il est considéré comme discourtois et incorrect de le faire. Nous ne devrions envoyer que notre propre clé à un serveur. Nous pouvons nous permettre d'envoyer la clé d'un tiers à un serveur dans les cas suivants: - Avec l'autorisation du propriétaire de la clé; - Si cette clé était déjà présente sur ce serveur, et que nous y avons ajouté notre signature: C'est donc en fait une simple mise-à-jour de la certification de cette clé. Bien. Trève de mises en garde, voici comment procéder: 1) Pour envoyer une clé à un serveur: - Il suffit de connaître le nom du serveur auquel nous voulons envoyer notre clé, et de procéder ainsi: gpg --keyserver certserver.pgp.com --send-keys michel@bouissou.net gpg: DBG: increasing temp iobuf from 8192 to 16384 gpg: DBG: increasing temp iobuf from 16384 to 24576 gpg: l'envoi à `certserver.pgp.com' s'est déroulé avec succès (résultat=200) gpg --keyserver wwwkeys.eu.pgp.net --send-keys michel@bouissou.net gpg: DBG: increasing temp iobuf from 8192 to 16384 gpg: DBG: increasing temp iobuf from 16384 to 24576 gpg: l'envoi à `wwwkeys.eu.pgp.net' s'est déroulé avec succès (résultat=200) gpg --keyserver pgpkeys.mit.edu --send-keys michel@bouissou.net gpg: DBG: increasing temp iobuf from 8192 to 16384 gpg: DBG: increasing temp iobuf from 16384 to 24576 gpg: l'envoi à `pgpkeys.mit.edu' s'est déroulé avec succès (résultat=200) 2) Pour récupérer une clé depuis un serveur: - Si nous connaissons le numéro identifiant de la clé que nous voulons (par exemple, si ce numéro est spécifié dans la "signature" des mails de notre correspondant, nous pouvons directement demander cette clé à un serveur: gpg --keyserver wwwkeys.eu.pgp.net --recv-keys 5c2bee8f gpg: requête de la clé 5C2BEE8F de wwwkeys.eu.pgp.net... gpg: clé 5C2BEE8F: n'a pas changé gpg: Quantité totale traitée: 1 gpg: inchangée: 1 3) Pour rechercher une clé dont nous ne connaissons pas le numéro: - De nombreux serveurs de clés disposent d'une interface web permettant la recherche par le nom ou l'adresse e-mail de notre correspondant. => Un bon point de départ: http://www.openpgp.net/pgpsrv.html Et voilà. Amicalement. -- Michel Bouissou - OpenPGP DH/DSS ID 0x5C2BEE8F michel@bouissou.net Faites plaisir à votre ordinateur: Offrez-lui un pingouin ! _________________________________________________________ Liste de diffusion hébergée par Internet-Quake. http://www.i-quake.com Pour tout savoir sur cette liste ou pour vous désabonner, rendez-vous sur la page web: http://sympa.i-quake.com/wws/info/pingouin Pour vous désabonner directement par mail, envoyez un e-mail vide à l'adresse sympa@sympa.i-quake.com, avec pour sujet: signoff pingouin