Re: Quelques questions sur les clés OpenPGP

Top Page

Reply to this message
Author: Fernando
Date:  
To: guilde
Old-Topics: Re: Quelques questions surles clés OpenPGP
New-Topics: Re: Quelques questions surles clés OpenPGP
Subject: Re: Quelques questions sur les clés OpenPGP
Le 26/03/2012 16:23, Jérémy Bobbio a écrit :
> On Mon, Mar 26, 2012 at 12:00:05PM +0200, Fernando wrote:
>> 1- Quel est l'intérêt de signer les uid (souvent des adresses
>> courrielles) d'une clé séparément ?
>> Il n'y a qu'une clé, avec tous les uid, donc pourquoi séparer pour
>> chaque uid ?
>
> Une signature permet de dire « je certifie que cette clé est bien
> celle de telle personne qui a accès à telle adresse email ».


Ok, je comprends mieux, merci.

>
> La méthode utilisée par un logiciel comme caff (qui se trouve dans le paquet Debian
> signing-party [1]) est d'ailleurs recommandée pour signer des clés. Ce
> dernier va effectuer une signature indépendante pour chaque uid, et
> l'envoyer par email chiffré à l'adresse correspondante. Cela permet de
> vérifier que la personne dont on signe la clé a bien accès à cette
> adresse email, qu'elle est capable de déchiffrer les messages qui y
> arrivent. Enfin, ça permet à cette dernière de faire ce qu'elle veut de
> ta signature : la publier avec son trousseau ou pas.


Oui: j'apprécie beaucoup l'idée de laisser le propriétaire de la clé
choisir de publier ou pas les signatures.
caff est très pratique et s'utilise facilement, _à_condition_ d'avoir un
MTA configuré sur sa machine.

> Par ailleurs, c'est tout à fait important de pouvoir révoquer des uids
> séparément (exemple : j'ai quitté ma fac, donc l'adresse email qu'elle
> me fournissait n'est plus plus valide). Or, une révocation, c'est bien
> qu'une signature un peu particulière…


Je viens justement de fermer un de mes comptes de messagerie électronique !
Je déduis de ces infos que je peux supprimer sereinement l'uid en
question, et publier à nouveau ma clé publique, le tout sans impact sur
les signatures ni sur les correspondants ayant "l'ancienne" clé publique.
Quelqu'un peut confirmer ?

Ça rejoint un peu mon 2ème point d'hier: est-ce qu'un
"clean+publication" a un impact sur les signatures et/ou correspondants ?
D'une manière générale, est-ce qu'il y a un "guide des bonnes pratiques"
de GnuPG/OpenPGP ?
Notamment pour ce qui concerne les actions liées à la publication de clé.


>
> [1] http://packages.debian.org/signing-party
>
> HTH,


Yes: IHT (it helped, thanks !) ^_^

@+
Fernando