GPG

De WikiOpenTruc
Aller à : navigation, rechercher

m.c. : signature , signatures , gpg , pgp ,


GPG = version open de PGP

à priori, GPG est préférable.

Il paraît que Phil Zimmerman (créateur de PGP) ... utilise désormais GPG.

Pour une utilisation basique (download + authentification), GPG est abordable. ça vaut donc le coup de passer 1 heure à comprendre.

En utilisation complète, GPG est par contre un logiciel plutôt riche, et donc aussi un peu ardu. Donc plutôt réservé à ceux qui en ont vraiment besoin.


Vérification de signature avec gpg

On peut consulter de la doc GPG sur la procédure.

Basiquement, il faut :

  • downloader : le fichier à vérifier, la signature associée à ce fichier, la clé publique du signataire
  • importer la clé publique du signataire dans gpg : gpg --import clepub.asc
  • gpg --verify fichier.asc fichier
  • De son coté, c'est avec sa clé privée que le signataire aura signé le fichier.


exemple de vérification :

$ gpg --import blabla.asc 
gpg: key blablabla: public key "Marcel Jules <marcel@gmail.com>" imported
gpg: Total number processed: 1
gpg:               imported: 1
gpg: no ultimately trusted keys found

$ gpg --verify fichier.asc fichier
gpg: Signature made mar. 17 févr. 2015 12:12:00 CET
gpg:                using RSA key blablabla
gpg:                issuer "marcel@gmail.com"
gpg: Good signature from "Marcel Jules <marcel@gmail.com>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: blablabla

Pour un document donné, une clé privée produit une signature unique.

Bonus 1 : en prime, il y a même un horodatage de la signature.

Bonus 2 : on peut assigner une date de validité à une clé publique.

La commande gpg est extrèmement riche (c'est de facto un assez gros logiciel), on ne va pas tout détailler ici.


gpg --fingerprint

  • gpg --fingerprint F48847D6 génère une empreinte (de 10 x 4 caractères) de la clé. Cette empreinte raccourcie permet de constater de visu que ladite clé correspond bien eg à l'empreinte que votre interlocuteur vous présente. C'est une garantie pour le récepteur, quand il discute d'une clé, qu'il discute bel et bien de la bonne clé. Et cela sans vérifier les x KO de la clé.
  • Les 8 derniers caractères de l'empreinte reprennent le nom de la clé


Serveurs de clefs


Liens


Voir aussi


Pages connexes