Le problème de ce type de système par chiffrement à clés asymétriques est qu'il faut être sur que la clé que vous possédez appartient bien à la personne à qui vous pensez qu'elle appartient.
En effet, si cela est mal verifié, ou n'est pas verifié du tout, quelqu'un de mal intentionné (C) pourrait se placer entre vous (A) et la personne avec qui vous voulez communiquer (B). Vous (A) penseriez ainsi chiffrer des messages à destination de (B) en les chiffrant réellement avec une clé de (C). (C) pourrait alors les déchiffrer, puis les rechiffrer en les ayant éventuellement modifiés, pour les envoyer à (B) en ce faisant passer pour vous (A).
Il faut donc trouver un moyen de vérifier que la clé publique de (B) que vous avez proviens réellement de (B).
Pour cela, il suffit de donner à (B), en vérifiant son identité, l'identifiant et le fingerprint (empreinte) de sa propre clé publique. Ceci se fait généralement lorsque l'on rencontre physiquement une autre personnes utilisant GPG, en vérifiant mutuellement l'identité de l'autre personne grâce à la présentation d'une pièce d'identité, et par l'échange de cartes de visites sur lesquelles figurent l'identifiant et le fingerprint des clés GPG de chacun.
Si nous nous rencontrons un jour, et que d'ici la vous utilisez GPG, je vous prouverai mon identité, et je vous donnerai une carte de visite sur laquelle vous trouverez en outre ceci:
Julien Francoz CoCoZ julien@francoz.net 1024D/920625BC: 5D4B 4D11 66D5 A49D 6E89 A4B0 1CF9 51FE 9206 25BC |
1024D/920625BC est l'identifiant de ma clé : il permet par exemple de la télécharger depuis un serveur de clés (nous verrons ça plus loin). Il se compose de la taille de la clé, suivi des 8 derniers caractères du fingerprint.
5D4B 4D11 66D5 A49D 6E89 A4B0 1CF9 51FE 9206 25BC est le fingerprint : c'est une sorte d'empreinte digitale de ma clé publique. Si deux empreintes sont identiques, alors c'est que les clés d'origines de ces deux empreintes sont identiques.
Il faut ensuite signer la clef: cela certifie que l'identité de la personne a été verifiée. Cette opération sera expliquée en détail dans la suite.
Pour réaliser un échange de clé securisée il faut donc:
S'échanger les cartes de visites en vérifiant les identités.
Récupérer la clé dont l'identifiant se trouve sur la carte de visite.
vérifier que le fingerprint calculé à partir de cette clé est identique à celui imprimé sur la carte de visite.
Signer la clef.
Précédent | Sommaire | Suivant |
Exemple d'utilisation | Niveau supérieur | Réseau de confiance |