aboutsummaryrefslogtreecommitdiffstats
path: root/french/events/keysigning.wml
blob: 65b9a85f3345bf50a3f9b2e496f95bc3d7a0f1ea (plain) (blame) 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164

#use wml::debian::template title="Signature de clés"
#use wml::debian::translation-check translation="c4faf7d38264352c8c2861edac022312c173ab7e" maintainer="Nicolas Bertolissio"

<p>
Comme de nombreux développeurs se rencontrent lors de manifestations
commerciales ou de conférences, celles-ci sont devenues une façon simple de
faire signer des clés OpenPGP et d'étendre le réseau de confiance. Et les gens
qui sont nouveaux dans le projet apprécient particulièrement la signature de
clé et la rencontre d'autres développeurs.
</p>

<p>Ce document a pour but de vous aider à organiser une séance de signature de
clés. Veuillez noter que tous les exemples utilisent le serveur de clés
<code>keyring.debian.org</code>. Si la clé recherchée n'est pas dans le
trousseau de Debian, remplacez <code>keyring.debian.org</code> par un serveur
de clé public comme <code>keys.openpgp.org</code> (qui est un serveur de
validaton de clé).
</p>

<p>
Deux conditions au moins sont nécessaires pour une signature de clé&nbsp;:
</p>

<ol>
  <li>le propriétaire de la clé persuade le signataire que l'identité de l'UID
      est bien la sienne au moyen de toute preuve que le signataire voudra bien
      accepter comme convaincante. Habituellement cela signifie que le
      propriétaire de la clé doit présenter une pièce d'identité délivrée par
      un gouvernement avec une photo et des informations lui correspondant
      (certains signataires savent que des pièces d'identité délivrées par des
      gouvernements sont facilement falsifiables et peuvent donc demander des
      preuves complémentaires ou alternatives d'identité)&nbsp;;</li>
  <li>le propriétaire de la clé vérifie que la longueur de la clé à signer est
      correcte et que l'empreinte est bien la sienne.</li>
</ol>

<p>
Plus important encore, si le propriétaire de la clé ne participe pas activement
à l'échange, vous ne pourrez pas remplir l'un ou l'autre des prérequis.
Personne ne peut effectuer la première partie des prérequis du propriétaire de
la clé pour le compte du propriétaire car sinon quiconque avec une carte
d'identité volée pourrait facilement obtenir une clé OpenPGP allant avec en
prétendant être un représentant du propriétaire. Personne ne peut effectuer la
seconde partie des prérequis du propriétaire de la clé pour le compte du
propriétaire car le représentant pourrait substituer l'empreinte par celle
d'une autre clé OpenPGP avec le nom du propriétaire et faire signer la mauvaise
clé.
</p>

<ul>
  <li>Vous avez besoin d'empreintes OpenPGP imprimées, de la longueur de la clé
      et d'un document pour prouver votre identité (passeport, permis de
      conduire ou autre)&nbsp;;</li>
  <li>Les empreintes et la longueur de la clé sont distribuées aux autres
      personnes devant signer votre clé après la rencontre&nbsp;;</li>
  <li>Si vous n'avez pas encore de clé OpenPGP, créez-en une avec la commande
      <code>gpg --gen-key</code>&nbsp;;</li>
  <li>Ne signez une clé que si l'identité de la personne dont la clé doit être
      signée a été prouvée&nbsp;;</li>
  <li>Après la rencontre, vous devrez récupérer la clé OpenPGP afin de la signer.
      L'exemple suivant peut vous aider&nbsp;;

      <pre>
       gpg --keyserver keyring.debian.org --recv-keys 0xDEADBEEF
      </pre>

      <p>
      Notez qu'il est possible d'utiliser les huit derniers chiffres
      hexadécimaux de l'empreinte ici et pour les autres opérations avec GnuPG.
      Le <tt>0x</tt> en tête est facultatif&nbsp;;
      </p>
      </li>
  <li>Pour signer la clé, entrez dans le menu d'édition par&nbsp;:

      <pre>
       gpg --edit-key 0xDEADBEEF
      </pre>
      </li>
  <li>Dans GnuPG sélectionnez tous les UID à signer par <code>uid n</code>, où
      <code>n</code> est le numéro de l'UID affiché dans le menu. Vous pouvez
      aussi presser la touche «&nbsp;Entrée&nbsp;» pour signer tous les
      UID&nbsp;;</li>
  <li>Pour signer une clé, tapez <code>sign</code>. L'empreinte et la longueur
      de la clé seront alors affichées pour que vous la compariez avec celles
      obtenues de la personne rencontrée&nbsp;;</li>
  <li>Lorsque le niveau de confiance vous est demandé, veuillez choisir
      «&nbsp;un peu&nbsp;»&nbsp;;</li>
  <li>Quittez GnuPG par <code>quit</code>&nbsp;;</li>
  <li>Pour vérifier que vous avez bien signé la clé, vous pouvez
      exécuter&nbsp;:

      <pre>
       gpg --list-sigs 0xDEADBEEF
      </pre>

      <p>
      Vous devriez voir s'afficher votre nom et votre empreinte (dans sa forme
      courte)&nbsp;;
      </p>
      </li>
  <li>Une fois que vous êtes sûr que tout s'est bien passé, vous pouvez envoyer
      la clé signée à son destinataire par&nbsp;:

      <pre>
       gpg --export -a 0xDEADBEEF &gt; quelqu-un.clé
      </pre>

     <p>
     L'option <code>-a</code> exporte la clé au format ASCII pour pouvoir
     l'envoyer par courriel sans risque de corruption&nbsp;;
     </p>
     </li>

  <li>Si quelqu'un signe votre clé de cette façon, vous pouvez l'ajouter au
      trousseau de Debian par&nbsp;:

      <pre>
       gpg --import --import-options merge-only mysigned.key
       gpg --keyserver keyring.debian.org --send-keys <var>&lt;id de votre clé&gt;</var>
      </pre>

      <p>
      La mise à jour de votre clé par les responsables du trousseau peut
      prendre du temps, soyez patient. Vous devriez aussi télécharger votre clé
      à jour vers un serveur de clés public.
      </p>
      </li>
</ul>

<p>
Le paquet Debian <a href="https://packages.debian.org/signing-party">\
signing-party</a> fournit des outils pour vous aider dans ce processus.
<tt>gpg-key2ps</tt> crée un fichier PostScript avec votre clef OpenPGP pour
imprimer des fiches papiers contenant votre empreinte digitale et
<tt>gpg-mailkeys</tt> envoie un courriel contenant une clef signée à son
auteur. Ce paquet comprend aussi <tt>caff</tt> qui est un outil plus avancé.
Veuillez vous reporter à la documentation du paquet pour de plus amples
informations.
</p>


<h3>Ce que vous ne devez pas faire</h3>

<p>
Vous ne devez jamais signer la clé de quelqu'un que vous n'avez pas rencontré
personnellement. La signature d'une clé, basée sur autre chose qu'une rencontre
directe, détruit l'utilité du réseau de confiance. Si un ami se présente à
d'autres développeurs avec votre carte d'identité et votre empreinte mais que
vous n'êtes pas présent pour vérifier que l'empreinte vous appartient, comment
les développeurs peuvent-ils associer l'empreinte et la carte d'identité&nbsp;?
Ils n'ont que la parole de votre ami et les autres signatures sur votre clé
&ndash; ce n'est pas mieux que s'ils signaient votre clé simplement parce que
d'autres personnes l'ont signée&nbsp;!
</p>

<p>
Faire signer sa clé de nombreuses fois est agréable et il est tentant de
raccourcir un peu la procédure. Mais avoir des signatures de confiance est bien
plus important que d'avoir beaucoup de signatures, aussi est-il très important
de conserver le processus de signature aussi strict que possible. Signer la clé
de quelqu'un d'autre est la garantie que vous avez la preuve directe de
l'identité du détenteur de la clé. Si vous la signez sans cette certitude, il
n'est plus possible de faire confiance au réseau de confiance.
</p>

© 2014-2024 Faster IT GmbH | imprint | privacy policy