11- Sous clefs et auto-signature

jeudi 4 décembre 2003
par  Gaétan RYCKEBOER
popularité : 1%

En pratique, de quelle façon les adresses e-mail contenues dans les UID sont-elles utilisées par mon client mail ?
Comment ça marche, les clés secondaires ?

Une clef contient effectivement plusieurs User ID ; c’est à dire que pour un même numéro de clef, il y a plusieurs adresses de courriel, associées chacune à un nom d’utilisateur.
Lorsque tu lis un courriel, le client de messagerie va demander à gpg de regarder dans ton trousseau de clefs publiques, s’il n’y en a pas une avec un UID qui correspond à l’adresse électronique d’où semble provenir le courriel.
S’il trouve une telle clef, gpg va regarder si elle a été signée par qauelqu’un à qui tu fais confiance, et calcule la valeur de confiance que l’on peut accorder à cette clef.

En fonction de ce "score", gpg va répondre au client de messagerie. Il va lui préciser si oui ou non le message est signé par une clef à laquelle tu peux faire confiance, et à quel niveau de confiance.

Pour cela, il est important d’estimer la confiance (en fait, lui affecter une valeur = valeur de confiance) que tu accordes aux clefs que tu signes, et éventuellement aux gens que tu n’a pas signé, mais avec lesquels tu dialogues régulièrement Et dont les clefs sont signées par un biais ou un autre par ta propre clef. Cela évite à gpg de recalculer à chaque fois une valeur qui exprime ta confiance. Il prend les valeurs que tu as attribuée aux clefs.

Attention, il faut apporter un soin particulier à la définition d’une valeur de confiance pour une clef donnée. Il faut encore une fois que tu te poses la question : « Cette personne, est-ce que je la connais ? Comment puis-je vérifier que ce n’est pas un imposteur ? Des personnes que je connais ont-elles signé la clef de cette personne ? »

Au final, tu ne signeras pas cette clef, puisque tu n’as pas vu son passeport, mais les autres questions, il faut que tu te les poses.
Tu dois également te demander si cette personne a bien compris le fonctionnement de gpg et de ses réseaux de confiance, et si elle ne signe pas n’importe comment. Eh oui, la confiance que tu lui accorderas influencera aussi indirectement la confiance apportée aux personnes et leurs clés (puiqu’elles ont été signées par la clé de cette personnes, avec une valeur de confiance calculée par gpg... On l’a vu au début du paragraphe).


Et les clefs secondaires ?

C’est une sorte de serpent de mer... Le besoin initial était de pouvoir révoquer sa clef, sans perdre le réseau de confiance. Tu as une clé primaire, qui est signée, que tu utilises pour signer. A cette clef, tu ajoutes des UID, ils ne sont pas signés, c’est normal.

Quelqu’un a dit un jour, que ce serait bien d’y ajouter des clefs secondaires, pour les différentes adresses email, ta vie personelle et professionelle, tes différents travaux... Ainsi, tu révoques la clef secondaire quand tu le souhaîtes, tu ne perds pas ton réseau de confiance.

Ce raisonnement a deux failles.

  1. Que se passe-t-il si quelqu’un finit par s’introduire dans le réseau de confiance ? Il ne sera jamais "sorti", puisque tu gardes ta clef ad vitam eternam. Un "espion dormant" le restera le temps qu’il le souhaîtera. Et un jour, il pourra mettre à mal la confiance de l’ensemble des personnes de ton réseau de confiance. Ce n’est donc pas sûr, et va à l’encontre des buts sous-jacents de gpg.
  2. Comment être sûr de la validité de la clef secondaire ? On vient tout juste de parler des clef ElGamal doubles, et de la possibilité de corruption de la fiabilité de ces dispositifs. Certains ont une clef ElGamal secondaire de leur clef primaire... comment faire dans ce cas ? La clef est-elle sûre ? Quand vous recevez un mail, vous vérifiez toujours avec quelle clef il l’a signée ? La secondaire, voire quelle clef secondaire ? La clef primaire ?

Non, décidément. Tout est mélangé, compliqué, complexifié par l’utilisation de ces clefs ; gpg est déjà suffisamment compliqué comme cela. Personnellement, je décourage fortement l’utilisation de clefs secondaires ; c’est jouer avec le feu. Un bonne clef, c’est une clef primaire DSA, pour chiffrer, et la clé secondaire ElGamal, pour signer. Point.


Dans la mesure ou mes UID sont auto-signés par ma clé privée (afin d’en attester de leur propriété), le fait de révoquer cette
auto-signature n’invaliderait-il pas indirectement l’UID entier (je n’ai dès lors plus de problème si je décide par exemple de changer d’email) ?

C’est une bonne idée, je n’y vois pas de contre indication ;-)
Voir à ce propose le chapitre 10 de la FAQ, relatif à la révocation des signatures.

Le fait de révoquer ma clé publique n’a des conséquences que sur ma
propre sécurité, n’est-ce pas ?

Révoquer une clef publique veut dire que tu vas dire au monde entier que tu avais une clef, mais que pour une raison X ou Y, il ne faut plus l’utiliser. Si quelqu’un reçoit un jour un message signé par cette clef, il ne devra pas lui faire confiance.

D’autre part, lorsque tu te recréeras une nouvelle clef publique, l’ancienne et sa révocation resteront sur le serveur. Tu apparaîtras donc plusieurs fois sur le serveur de clefs. Cela n’a pas d’autres implications que le regard de la personne qui s’en rendra compte et se demandera pourquoi.


Commentaires

Annonces

Annuaire LibreNord

Retrouvez l’annuaire de logiciels libres créé par l’association Club Linux Nord-Pas de Calais sur le site suivant http://www.librenord.org


Sur le Web