GnuPG

Bonsoir, j’essais de comprendre un peu GnuPG.
Je ne vois pas la nuance entre GnuPG et PGP on dirait presque que c’est la même chose, il me semble pourtant que PGP est une alternative non opensource?

alors le principe des clés publique et privée j’ai bien compris mais j’ai quelques questions.
Ca correspond à quoi une signature? en fait on code avec la clé privée et si la personne peut décoder avec la clé publique c’est qu’on est bien l’auteur?
Ensuite je me demande pourquoi on demande le nom et si chaque personne qui voit notre signature peut voir notre nom? En fait on peut aussi utiliser un pseudo?

[strike]Enfin je me demande, comment envoyer un message chiffré. Je veux dire par là que si je veux envoyer un message chiffré pour que seul frédérick puissent le lire alors il faut que je créé une clé réservé à cet usage?
Mais je lui envoie comment la clé publique? certainement pas dans le mail chiffré sinon n’importe qui peut déchiffrer le message.
Alors comment ca se passe?[/strike]
je dis n’importe quoi il faut que j’utilise la clé publique de frédérick. Mais quand il n’a pas de clé c’est fichu?

Il faut que la personne avec qui tu veux communiquer ait aussi créé de son côté sa propre paire de clefs (publique et privée).

Ensuite vous allez vous rencontrer physiquement pour échanger vos clefs publiques respectives.

=====
Ta clef privée va te servir à signer le message que tu lui transmets, et il pourra s’assurer que c’est bien toi qui a signé ce message grâce à ta clef publique (que tu lui as donné).
Une fois que tu as signé ce message, tu pourra le chiffrer avec sa clef publique (qu’il t’as donné).

Il pourra déchiffrer le message reçut avec sa clef privée,
et une fois déchiffré, il pourra s’assurer que la signature contenue dans le message est bien la tienne grâce à ta clef publique (que tu lui as donné).

====
Il va utiliser sa clef privée pour signer le message qu’il voudra t’envoyer, et utilisera ta clef publique pour le chiffrer.

Tu utilisera ta clef privée pour déchiffrer le message qu’il t’as transmis, et tu pourra utiliser sa clef publique pour vérifier que c’est bien lui qui a créé le message.

Quelques liens:

Intégrité (cryptographie)

Confidentialité

Authentification

Non-répudiation

Signature numérique

Key signing party

Chiffrement

Cryptographie

Cryptographie asymétrique

terminologie secteur informatique

documentation GnuPG (site officiel)

Vous pouvez aussi utiliser des serveur de clef publique, mais la garanti que la clef publiée correspond bien à la personne qui se dit en étre propriétaire est moins forte qu’un échange avec la personne physique en face de soi.

D’accord, je vois un peu plus clair.

Par contre pour le nom, j’ai pas trop confiance pour mettre mon vrai nom prénom. Par défaut il y a des personne auquels je ne souhaite pas communiquer ces informations mais j’aurais aimé communiqué ma clé publique. Certains utilisent-ils des pseudo? (lorsqu’on a une identité virtuelle par exemple). C’est possible?

Ca ne sert à rien de révoquer une clé si on ne l’a pas envoyée sur le serveur de clé c’est ca?

une autre question, je vois que debian signe les hash md5 et sha1 de ses dépôts de cd téléchargeable.
ca devrait me garantir que debian est bien l’auteur de ces dépôts. Mais voilà j’ai pas la clé publique de Debian elle est où?
Et si quelqu’un change la clé publique de Debian sur leur site et puis change les signatures de dépôts… en fait ca ne me garanti pas que ce soit réellement Debian l’auteur?

Je te conseille d’avoir autant de couples de clefs que d’identité (virtuelles ou réelles)