Woâââa. Nan, c’est vrai que ce n’est pas simple.

En fait, une clé est identifiée par un numéro, son ID.

Pour faire une clé perso, il faut une clé privée, et une
clé publique.
C’est un peu compliqué... en fait, appeler clé publique/clé privée est
un abus de langage, ou une synecdoque [1].
On devrait plutot dire partie privée de la clé, partie publique de la clé ; la clé, c’est l’ensemble des deux.

Ou plutot : « partie privée de la clé dont l’ID de la partie publique
est 1234 » lorsque l’on parle de clé privée, et
« partie publique de la clé, dont le numéro (de la partie publique) est
1234 »

Mais c’est lourd.

De ces deux parties de ta clé, la partie privée est la plus important,
c’est celle qu’il faut à tout prix "cacher" aux yeux du monde. Tu es le seul
à pouvoir l’utiliser ; c’est là-dessus que repose la sécurité du système.

La partie publique, par contre, sera envoyée aux personnes avec qui tu veux dialoguer.
Attention, la partie publique et la partie privée ont chacun un ID différent.. c’est là
que c’est difficile à comprendre. Une seule clé, mais deux parties, avec chacune un ID distinct.

Sur le serveur de clés dont on a discuté tout à l’heure, tu ne trouveras donc que la
partie publique de la clé. Et un individu lambda qui veut chiffrer un mail, le fera
avec la partie publique de ta clé.

OK ? Je continue.

Dans ta clé (ensemble privé/publique), tu trouves :
 un fingerprint (empreintes digitales de certification)
 une liste d’identifiants (nom/prénom, email, commentaires)

Chaque identifiant peut être signé par une ou plusieurs clés.

Attends, attends... comment tu fais pour signer une clé ? Enfin... un identifiant, je veux dire ?

Tout d’abord, lorsque tu signes une clé, enfin sa partie publique... zut. Le truc que tu as
en ta possession et que tu as trouvé sur le serveur de clés, tu va signer tous les identifiants
(les ensembles nom/email/commentaires) qui sont dedans.
Ainsi, si le propriétaire ajoute un identifiant à sa clé, après que tu l’ais signée, ta
signature n’apparaîtra pas sur le nouvel identifiant. Et c’est normal.
C’est comme si tu avais signé un contrat dont une clause aurait été rajoutée après.

Si qulqu’un te demande de signer sa clé, tu commences par lui demander son fingerprint [2] par un moyen réputé sûr, qui te permette de l’identifier à coup sûr.
Par exemple, en le voyant de visu, ou par le courrier (bien que l’on puisse falsifier aussi du courrier
envoyé par La Poste)

Une fois que tu l’as, tu vérifies que le fingerprint reçu est bien celui qui
correspond à la clé que tu t’apprêtes à signer.
J’insiste sur le fingerprint... il faut vraiment que tu sois SÛR à 100%
que celui que tu as reçu est bien le fingerprint correspondant à la personne
censée être propriétaire de la clé que tu vas signer.
Si quelqu’un réussit à se faire passer pour un autre à ce moment-là, ce n’est pas une seule clé
qui est "corrompue", c’est le réseau de confiance entier.
Un fingerprint lu sur une carte de visite, sur un disquette, ou dans un courrier
dont tu peux identifier précisément l’émetteur est fiable.
Un fingerprint reçu par email ne l’est pas, sauf s’il est signé par un moyen quelconque.

Vérification faite, tu signes la clé avec ta propre clé :

A partir de ce moment, tu as certifié que tu faisais confiance au type
qui t’a demandé de signer sa clé, en disait "j’ai vérifié, la clé
n°1234 est bien celle de M. Toto TRUC".

Si M. Toto TRUC signe une clé, et que tu vois des données certifiées avec cette troisième clé, tu imagines que M. Toto TRUC a fait pareil pour signer la clé.
Tu peux donc faire confiance aux donnés certifiées par cette troisème clé, à condition que tu sois sûr que M. Toto est aussi soigneux que toi dans la vérification du fingerprint.
 GnuPG fonctionne sur un réseau de confiance.
 Il NE FAUT PAS signer une clé comme ça, c’est très très important de s’assurer que tu signes la bonne clé.
 IL FAUT TOUJOURS vérifier le fingerprint de la clé avant de la signer.
 IL FAUT VRAIMENT ETRE SUR que c’est le bon fingerprint qui te sert à vérifier la clé.
 Si tu n’es pas sûr que ce n’est pas le fingerprint de la clé, tu ne la signes pas.
 Et enfin, le fingerprint doit toujours correspondre à la clé.

Compris ?

Imaginons que moi, Gaétan RYCKEBOER, je vous demande de signer ma clé.
Le feriez vous ?

NON !!!

Je n’ai jamais donné physiquement mon fingerprint à qui que ce soit, et
la réception d’un fingerprint par email est non sûre, sauf si les
données sont signées par une clé que vous avez vous-même signé.

C’est le bordel, hein ?

Et c’est pour éviter de faire "entrer" une personne qui falsifie sa
clé, en se faisant passer pour quelqu’un d’autre, lors des opérations de
signatures mutuelles qui se font de temps en temps, comme parfois
aux mardi-linux, pour faire grandir son réseau de confiance.