PGP-GPG : mettez vos courriers dans des enveloppes (4ème partie)

Vous avez survécu à mes explications théoriques et jargonesques… Vous avez réussi à récupérer les données nécessaires à l'installation de GPG et même, chose qui vous sidère encore, réussi à installer le monstre… Voilà donc que vous vous posez la question, l'éternelle question :

Et maintenant (ti ti ti tim) que vais-je fèèèère,
De toutes ces clés… dans mon ordinatèèèère ?
(Paroles douteuses, musique G. Bécaud)

Publier et recevoir des clés

Maintenant que vous avez installé PGP-GPG et créé votre première paire de clés, il vous reste à transmettre votre clé publique à vos correspondants. Ils pourront s'en servir pour vous envoyer, si l'envie les en prend, des messages cryptés, et ils pourront également s'assurer que vos prochains courriels proviennent bien de vous.

À l'ancienne

La méthode la plus classique, pour ne pas dire préhistorique, consiste à "exporter" votre clé publique sous forme d'un fichier ASCII, c'est à dire un fichier que tout ordinateur plus récent que le Sinclair ZX80 pourra lire (et encore, pour le Sinclair, je ne suis pas sûr, mais le mien est cassé…).

Dans le Trousseau d'Accès PGP, demandez Fichier/Exporter/Clé, comme ceci :

Donnez lui un nom, par exemple "ma clé publique.gpgkey" et surtout, n'oubliez pas de cocher la case "Armure ASCII". Celle-là :

Vous aurez alors un tout petit fichier que vous pouvez ouvrir avec n'importe quel éditeur de texte. Si vous le faites, vous verrez une suite de chiffres et de lettres comme ceci (c'est encore ma clé publique) :

>-----BEGIN PGP PUBLIC KEY BLOCK----- Version: GnuPG v1.4.1 (Darwin) mQGiBEKc3NgRBACM3Gp8UIE1R4vfJMBKR0JYfjKGJaB3r/ZYu0iyyLYvBKtSzTr9 ZFgKhissSPiUFLwF8QsWJ6RXtffD4puuzzf05S8zifgWnZCljQ6e5is6e5pPnmg9 0CjQ2AC0KPXNJkvVj+em/WvUrN1BdRGCcKrKW/0a8HGE0Jguh5Dkusqv3wCgyjTW U84TB3GS0DyL+QeaquzNd6cEAIW49dnKuqdpyv67Mjn9AKU5vG89nB+b9YfN7J9c 6sO2uhBcmTCNnHrlHeyo1NdMc08JptSHRijDMn9bLFQH6k40f6XcsYRUgjk9jrrs O3G6fCJMKyGa6zCsYdkSveDX3a/eQdEudjZxzx9cWpGGreyvQtkrDcDCvb0UrkLk HNKtA/9IB6th7A0JFU6S5RNWWDgVsO0oZpveaGpa+0YzZFw2ShmTY3FUSETHvPP1 Leg6e5JkQrYc0jChKo9pIUtQR9RXb3suzFugxwxuuGRaWSa/hLFknXFQPeQTQhym M7uDw675o27WJ5ZiqrhHv8kmWyzBg7W20DFqWHCugjAHlxAAqrQmT2xpdmllciBQ ZWxsZXJpbiA8b2xpdmllckBwZWxsZXJpbi5mcj6IYQQTEQIAIQIbAwYLCQgHAwID FQIDAxYCAQIeAQIXgAUCQpznbAIZAQAKCRBmZt0FLQr0AUXoAJ9W4mxuLl3xNlzJ Nq8QBwbibeg6IQCfV7tqjhXL4oN8eemlBVYQn/1zAyG0Ik9saXZpZXIgUGVsbGVy aW4gPGN1a0BwZWxsZXJpbi5mcj6IXgQTEQIAHgUCQrrGTwIbAwYLCQgHAwIDFQID AxYCAQIeAQIXgAAKCRBmZt0FLQr0ATz3AJ9Fqq+XHcJz+P8Vlg2sBy8aX68EvwCa AusX6FxcKdhW9WPGV38XNiPO0SG0K09saXZpZXIgUGVsbGVyaW4gPGxlY3RldXJz LmN1a0BwZWxsZXJpbi5mcj6IXgQTEQIAHgUCQrrGfgIbAwYLCQgHAwIDFQIDAxYC AQIeAQIXgAAKCRBmZt0FLQr0AQHeAKDIC9ZQoUk297BSjRunYcHY+/vBqwCfRT9c TLELahDwkAgKZwAPOfFeegC5Ag0EQpzdGxAIAM57477YKkfPXD20wGIYSVHPeref KGX7h9cGRadqU4bMRjJPEUbAMKpf2pmlTCbt/HhsMen2I8PuXChScy5BPEL19LyT ghY79HzpdA8MncCHyWfz61f+MYc2+506PoNygvoeKH48J7ycf06plQgEX6GBOk8Z L5RHzi3HUtXx3ABmjPOYhUTVMtBkQIs9TSW14kfokPZew1aRazExtaCg0hOv6Prq oUg/tE5NVdeP9FErpJYrHbyVOH1h1FnfCP18ynCCql4b0NRwIJ6b4POtBwMBP++C HjbYFGXdYz++mr620wqC3XGQMJq/dvIJYsruUejFZWPV99vzjQmeitDKTOsAAwUI AJ+MeNOFIfev1rjNPWPg36CnMzJn4WDf4a8ZYhQem7kNYwHVB2fvIdQPQ0CeKC3I RQWDe/DBnB6dd0ICYYdSiugLEinG8LTH4/51ZfHCDUdLOpDPQdurBIhpwle8gbUQ J2E99TF/IKS/3aZcGWIXv4aEhFF3GB3E3tWfJybCe2yjIEq1i2+3BUSSS6JHOD48 sWA+uaLool47224XOz5QfK5oD/b5nS/rbBAflU+Zw9SfASCKCYTwv2mNnp28Lrni 3HeSDsGoFxTh5NN6Be/Ure1XHwVRDE9/F89gUA5UAeNJFB0FZ8P3Ib/Py8mb66zU JUyUYOlneLcp5hNXBNXidLCISQQYEQIACQUCQpzdGwIbDAAKCRBmZt0FLQr0Ab79 AKCAfXc1DPlh9j1/VOecZLq6L7XXrACdHRJtimGhpvRgRFofBpKm8bXxhOg= =vvdQ -----END PGP PUBLIC KEY BLOCK-----

Vous pouvez l'envoyer par courriel (séparément), par disquette, sur un CD-DVD, la mettre sur votre site internet… Les méthodes ne manquent pas ! Et au cas où, par maladresse, vous auriez sélectionné votre clé secrète, pas de panique ! PGP Trousseau d'Accès refuse d'exporter les clés publiques aussi facilement que ça…

Quand vous recevez une clé sous cette forme ASCII, il vous suffit de demander au Trousseau PGP d'importer cette clé et le tour est joué. Si la clé est sur une page internet :

1. copiez tout le charabia (comme ci-dessus)
2. coller-le dans TextEdit
3. enregistrez le fichier sur votre disque dur
4. importez-le dans le Trousseau PGP. 

Vous verrez alors que vous avez bien enregistré une nouvelle clé publique, comme celle-ci :

À la moderne

Il y a une autre méthode. Bien plus simple. Automatique. La voici : dans les préférences, onglet "serveur de clés"… Pardon ? Les préférences de GPG Trousseau d'Accès ou les Préférences Système / Autre / GnuPG  ? Aucune importance, vous arriverez au même endroit !

Donc, je disais : dans les préférences, onglet "serveur de clés", sélectionnez un serveur spécialisé dans les clés. Par exemple, celui de la société PGP <wwwkeys.pgp.net>. Au passage, vous noterez l'absence de point entre le www et la suite… Et cochez la case :

À partir de… tout de suite, GPG va, automatiquement, se connecter à un serveur de clés chaque fois que vous recevrez un message signé d'une clé que vous n'avez pas encore - et la récupérer. Vous pourrez alors vous assurer que le message a bien été signé avec cette clé. Vous vous en souvenez ? Comme ceci :

En cas de concordance, PGP-GPG vous annonce fièrement que le message a bien été signé par "nom de contact" et "adresse électronique".

Dernière astuce : les serveurs de clés vous permettent de chercher un correspondant. GPG Trousseau d'accès fait ça très bien :

Vous pouvez chercher par nom, par adresse électronique, par empreinte…

Publier sa clé

Une fois que vous serez sûr que tout marche bien, vous voudrez publier votre clé. Rien de plus facile. Toujours dans PGP Trousseau d'Accès, demandez :

Et le tour sera joué. Même pas besoin de répéter l'opération ailleurs, les serveurs de clés propagent leurs données les uns vers les autres.

Il existe un autre système de serveurs de clés, disponible depuis des pages internet. C'est un système déclaratif, où l'on donne ses informations en ligne ici et qui contrôle votre adresse en vous interrogeant tous les six mois pour vérifier si vous êtes toujours là… Mais ce système ne communique pas (à ce que j'ai pu voir) avec les serveurs de clés classiques. Bref, vous perdez tous les avantages de PGP… Comme vous voyez, ce système ne m'a pas convaincu !

Signature et réseau de confiance

J'ai déjà été bien bavard, et j'ai pourtant encore des tonnes de choses à vous raconter. Alors j'espère que vous ne m'en voudrez pas trop si je passe maintenant à des considérations un peu plus théoriques et ne vous donne pas toujours le détail exact des procédures.

Quand vous êtes vraiment sûr d'une clé (par exemple, de la mienne), vous pouvez la signer. Comment faire ? Regardez la copie d'écran précédente ! Cela veut dire que vous mettez votre autorité (pour ce qu'elle vaut) dans la balance. Que vous dites : c'est vrai, je connais ce type, il est bien lui et son adresse est vraie également !

À partir de là, ma clé portera aussi votre signature. C'est une garantie de plus pour ceux qui la récupèrent sur un serveur de clé. Ultérieurement, quand vous recevrez une clé signée par moi et par d'autres lecteurs de Cuk, vous aurez beaucoup plus de raisons de croire que cette clé correspond bien à une personne réelle que je connais et qui est bien celle qu'elle prétend être…

Et c'est ainsi que, petit à petit, se créent des "réseaux de confiance". Qui n'offrent certes aucune garantie absolue, mais qui offrent des certitudes relatives de bonne qualité. Petite remarque perfide : c'est plus que ce qu'offrent les "tiers de confiance". J'ai essayé avec Thawte. J'ai créé mon certificat numérique personnel sur cette page. Ils m'ont posé quelques questions très personnelles et vérifé mon adresse électronique. Mais c'est tout. Alors, j'avoue, j'aurais plus confiance dans une clé PGP signée par François. Du moins, dès qu'il aura compris comme le faire et ce que cela implique !

Faire le ménage : la révocation

Je sais, demander à des Suisses de faire le ménage, c'est comme demander à des Français d'émettre des objections… Alors c'est aux Belges que je m'adresse :

Nous perdons tous nos clés. Généralement, c'est à la suite du crash d'un disque dur, ou d'un changement d'OS un peu trop brutal. Il faut alors annuler la clé. Le mieux est de le faire d'avance, et d'imprimer le certificat de révocation. Si nécessaire, on reprend le papier (quand on le retrouve), on tape les données dans l'ordinateur et la clé perdue est annulée.

Quel intérêt ? Imaginez que votre ordinateur ait été volé. Que la phrase de passe ait été simplissime. Du genre "toto". Et que, malchance des malchances, le voleur l'ait découverte. Il serait alors capable de signer à votre place. Il pourrait souscrire un prêt à 80% d'intérêt mensuels. Ou n'importe quoi d'autre. Les entreprises sont très, très sensibles à ce genre de risques. N'oubliez pas que les banques adorent PGP !

En annulant la clé perdue, vous ôtez tout risque. Un message signé avec une clé révoquée est signalé comme tel. Bien fou qui  croirait un tel message ! Vous, vous croiriez une message vous promettant un MacTel de dans deux ans et qui serait signé "Steve Jobs - attention, ceci est un faux" ? 

Les UID et autres trucs

J'utilise plusieurs adresses électroniques. Il y en a une pour vous, lecteur mon amour (© Louis Régo). Il y en a une pour François et l'administration de Cuk. Une pour ma famille. Une pour… Ça va, vous avez compris. Mais pour tous, j'utilise la même clé PGP. Mieux : il y a des adresses que j'utilise, mais où je ne signe pas. Hé bien, Mail fait tout ce travail pour moi. En fonction de l'adresse d'expédition, il inclue ou non la clé PGP. Le secret de ce miracle ? Les UID (User IDentification).

On peut déclarer, sur une clé PGP, plusieurs identités. Je n'ai ni la place, ni le temps de vous donner le détail de la procédure. Qui est d'ailleurs fort bien décrite dans ce document. Et dans la documentation. Sachez simplement que si vous utilisez plusieurs adresses, et plusieurs clés, c'est LE truc à utiliser !

Autre astuce, très agréable pour vos correspondants : vous pouvez faire disparaître les signes étranges que PGP insère en début et fin de message. Vous vous en souvenez, ce sont les :

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1

et autres

-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.1 (Darwin) iD8DBQFCwThnZmbdBS0K9AERAmzGAJ9u3vgRqAMwVRDALTxToVber3Ce1wCgskn1 D2DjSrWuaupQ1CO0h4p6KFA= =sOcJ -----END PGP SIGNATURE-----

Pour ce faire, vous devez vous rendre dans les Préférences de Mail, où GPGMail a installé son volet de préférences. Vous devez cocher cette case dans l'onglet composition :

La signature sera alors en pièce jointe. C'est beaucoup plus discret !

Il y en a des tonnes, des astuces comme celle là. J'ai beau avoir utilisé PGP depuis 1997, puis être passé à GPG depuis pas très longtemps, j'en découvre encore régulièrement…

PGP-GPG a une longue histoire. Elle est passionnante. Vous y trouverez les militaires US, un procès, du big busines… Ainsi que des pirates bien intentionnés, qui ont volé PGP pour le bien de tous. Et un héros, comme il se doit : Phil Zimmermann, l'américain moyen par qui tout est arrivé. Dans une grosse dizaine d'années, je verrai bien Hollywood nous en faire un grand film d'aventures… Ils nous ferons de belles scènes de poursuite en bagnole (à hydrogène) avec coups de feu (enfin, de Tazer) à tout va…

En attendant, si GPG, c'est vraiment trop galère pour vous, essayez PGP. Il y a trente jours d'essai gratuit, et c'est un logiciel bien fait !

Le plaisir de compliquer ce qui vous avait semblé simple

Juste un dernier petit détail : tout cela (les clés) ne vous garantit pas que votre correspondant est bien celui qu'il prétend être… PGP-GPG vous certifie seulement que le message (que vous avez reçu) a bien été signé avec la clé que vous avez récupéré sur un serveur de clés (ou ailleurs). C'est compliqué ? OK, un exemple :

Vous recevez un courriel signé de Steve Jobs, vous annonçant que vous avez gagné le prochain MacTel Triple Core à 5,75 GHz… Vous y croyez, ou vous vous dites que quelqu'un vous a fait une blague ? Une bonne façon de vous en assurer : appelez Apple et demandez la clé publique de Steve Jobs… Oui, la sécurité, c'est compliqué ! Alors, quand vous avez une raison de douter, préférez d'autres moyens au serveur de clés. Les moyens préhistoriques, par exemple. C'est comme sur un bateau : un bon capitaine ne se fie jamais à 100% à son GPS…

Ce qu'il faut se mettre dans la tête, c'est que PGP-GPG fait un lien fiable entre une clé et une signature. Pas entre une clé et la personne qui est censée détenir cette clé… Dans la pratique, PGP-GPG offre un moyen simple de vérifier le lien entre la clé et la personne : ce sont les empreintes. C'est bref et ça peut même être fait par téléphone. Mais là, nous dépasserions le cadre de cet article d'initiation. Je vous suggère, si vraiment vous avez besoin de ce niveau de sécurité, de lire la documentation.

Et ne rêvez pas d'identification sécurisée, de données biométriques incorporées dans des puces… Aujourd'hui, c'est plus de la Science-Fiction que du concret. En revanche, c'est un marché drôlement juteux ! Un de ces jours, je vous parlerai du RFID et des passeports européens…