Différences

Ci-dessous, les différences entre deux révisions de la page.

--- app:gpg:start [2016/12/02 16:29] – créée yoann
+++ app:gpg:start [2021/02/01 21:51] (Version actuelle) – modification externe 127.0.0.1
@@ Ligne 1: / Ligne 1: @@
 {{tag>gpg cryptographie sécurité chiffrement signature}}
-====== Utilisation de GPG ======
-Générer et conserver en lieu sûr le certificat de révocation permettant de d'invalider la paire de clés en cas de compromission. Dasn la commande ci-dessous **XXXXXXXX** représente l'identifiant de la clé ou une identité associée.
+====== GnuPG ======
+===== Installation =====
+<code bash>
+apt-get install gnupg2
+</code>
+===== Générer une paire de clés =====
+==== Certificat de révocation ====
+Générer et conserver en lieu sûr le certificat de révocation. Il permettra d'invalider la paire de clés en cas de compromission. Dans la commande ci-dessous **XXXXXXXX** représente l'identifiant de la clé ou une identité associée.
 <code bash>
@@ Ligne 9: / Ligne 20: @@
 </code>
-Pour pouvoir communiquer, il faut pouvoir fournir sa clef publique à ses interlocuteurs. Deux formats sont disponibles: binaire ou textuel:
+===== Distribuer la clé publique =====
+Pour qu'un interlocuteur puisse chiffrer le message à notre attention ou vérifier l'intégrité des fichiers que nous signons, il faut lui transmettre notre clé publique. Deux formats sont disponibles: binaire ou textuel:
 <code bash>
@@ Ligne 18: / Ligne 31: @@
 $ gpg --output ma-clef-pub-armor.txt --armor --export XXXXXXXX
 </code>
+Les clés publiques peuvent être publiées n'importe où. Des serveurs dédiés mettent à disposition les clés publiques.
+  * keyserver.pgp.com
+  * pgpkeys.mit.edu
+  * pgp.webtru.st/
 ===== Gérér ses trousseaux =====
-Le trousseau contient les clés. un trousseau de clés publiques et un de clés privés
+Les trousseaux contiennent des clés. Un trousseau de clés publiques et un de clés privés.
+==== Récupérer une clé publique ====
+Si elle est disponible depuis un site web, wget permet de la récupérer localement:
+<code bash>
+# clés publique publiée sur un serveur web
+wget https://fqdn/identity.gpg.key
+</code>
+Avant d'ajouter la clé au trousseau, la bonne pratique consiste à vérifier qu'elle est valide et qu'elle correspond bien à notre interlocuteur. La commande ci-dessous lit la clé publique récupérée et affiche son ID et le mail de contact:
+<code bash>
+gpg identity.gpg.key
+</code>
+Ce couple d'informations (ID et mail) va nous permettre de nous assurer que la clé que nous venons de récupérer est bien celle de l'interlocuteur désiré en interrogeant un tiers de confiance: un serveur de clé stockant les identités:
+<code bash>
+gpg --search-keys ID
+</code>
+Si le serveur affiche une entrée avec le même ID et mail, la clé récupérée est la bonne, on peut l'ajouter au trousseau.
+<note>
+Il peut être intéressant de connaître les personnes ayant signé cette clé, voir section réseau de confiance.
+</note>
 ==== Importer un clé publique ====
@@ Ligne 52: / Ligne 100: @@
 $ gpg --delete-key XXXXXXXX
 </code>
+===== Réseau de confiance =====
+Pour attester une identité, gnupg propose le réseau de confiance. Lorsque deux personnes se connaissent, elles peuvent mutuellement signer leur clé. Plus une clé est signée par un nombre important de tiers connus, plus l'identité est sûre.
+Pour lister les tiers ayant signé une clé:
+<code bash>
+gpg --list-sigs ID
+</code>
+Si les tiers ayant signé la clé publique ne sont pas encore dans le trousseau local, les entrées sont listées avec la mention ''[identité introuvable]'', on peut alors relever leur ID, interroger le serveur de clé à leur propos via **%%gpg --search-keys%%** et les intégrer au trousseau local à convenance:

wikinotes

Outils pour utilisateurs

Outils du site

Différences

Outils de la page