#use wml::debian::template title="Signature de cl�s" #use wml::debian::translation-check translation="1.7" maintainer="Nicolas Bertolissio"
<p>Comme de nombreux d�veloppeurs se rencontrent lors de manifestations
commerciales ou de conf�rences, celles-ci sont devenues une fa�on simple de
faire signer des cl�s GnuPG et d'�tendre le r�seau de confiance. En particulier
pour les gens qui sont nouveaux dans le projet, la signature de cl� et la
rencontre d'autres d�veloppeurs se montrent tr�s int�ressantes.
<p>Ce document sert � vous aider � organiser une s�ance de signature de cl�s.
Les personnes de doivent signer une cl� qu'� au moins deux conditions :
<ol>
<li>le propri�taire de la cl� convint le signataire que l'identit� de l'UID est
bien la sienne au moyen de toute preuve que le signataire voudra bien accepter
comme convaincante. Habituellement cela signifie que le propri�taire de la cl�
doit pr�senter une carte d'identit� d�livr�e par un gouvernement avec une photo
et des informations lui correspondant (certains signataires savent que des
cartes d'identit� d�livr�es par des gouvernement sont facilement falsifiables
et peuvent donc demander des preuves compl�mentaires ou alternatives
d'identit�) ;
<li>le propri�taire de la cl� v�rifie que l'empreinte de la cl� � signer est
bien la sienne.
</ol>
<p>
Plus important encore, si le propri�taire de la cl� ne participe pas activement
� l'�change, vous ne pourrez pas remplir l'un ou l'autre des pr�requis.
Personne ne peut effectuer la premi�re partie des pr�requis du propri�taire de
la cl� pour le compte du propri�taire car sinon quiconque avec une carte
d'identit� vol�e pourrait facilement obtenir une cl� PGP allant avec en
pr�tendant �tre un repr�sentant du propri�taire. Personne ne peut effectuer la
seconde partie des pr�requis du propri�taire de la cl� pour le compte du
propri�taire car le repr�sentant pourrait substituer l'empreinte par celle
d'une autre cl� PGP avec le nom du propri�taire et faire signer la mauvaise
cl�.
<ul>
<li> Vous avez besoin d'une empreinte GnuPG imprim�e et d'une carte d'identit�
pour prouver votre identit� (passeport, permis de conduire au autre) ;
<li> Les empreintes sont distribu�es aux autres personnes devant signer votre
cl� apr�s la rencontre ;
<li> Si vous n'avez pas encore de cl� GnuPG, cr�ez-en une avec la commande
<code>gpg --gen-key</code> ;
<li> Ne signez une cl� que si l'identit� de la personne dont la cl� doit �tre
sign�e a �t� prouv�e ;
<li> Apr�s la rencontre, vous devrez r�cup�rer la cl� GnuPG afin de la signer.
L'exemple suivant peut vous aider ;
<pre>
gpg --keyserver keyring.debian.org --recv-keys 0xDEADBEEF
</pre>
<p>Si la personne dont vous souhaitez signer la cl� n'est pas dans le
trousseau de Debian, remplacez <code>keyring.debian.org</code> par une
serveur de cl� public comme <code>wwwkeys.pgp.net</code> (qui malgr� son
nom conserver des cl�s GnuPG).<p>
<p>Notez qu'il est possible d'utiliser les huit derniers chiffres
hexad�cimaux de la cl� ici et pour les autres op�rations avec GnuPG. Le
<tt>0x</tt> en t�te est aussi optionnel ;</p>
</li>
<li> Pour signer la cl�, entrez dans le menu d'�dition par :
<pre>
gpg --edit-key 0xDEADBEEF
</pre>
<li> Dans GnuPG s�lectionnez tous les UID � signer par <code>uid n</code>, o�
<code>n</code> est le num�ro de l'UID affich� dans le menu. Vous pouvez aussi
presser Entr�e pour signer tous les UID ;</li>
<li> Pour signer une cl�, tapez <code>sign</code>. L'empreinte de la cl� sera
alors affich�e pour que vous la compariez avec celle que vous avez obtenue de
la personne que vous aviez rencontr�e ;
<li> Quittez GnuPG par <code>quit</code> ;
<li> Pour v�rifier que vous avez bien sign� la cl�, vous pouvez ex�cuter :
<pre>
gpg --list-sigs 0xDEADBEEF
</pre>
<p>Vous devriez voir s'afficher votre nom et votre empreinte (dans sa
forme courte) ;</p>
</li>
<li> Une fois que vous �tes s�r que tout s'est bien pass�, vous pouvez envoy�e
la cl� sign�e � son destinataire par :
<pre>
gpg --export -a 0xDEADBEEF > quelqu-un.cl�
</pre>
<p>L'option <code>-a</code> exporte la cl� au format ASCII pour pouvoir
l'envoyer par courriel sans risque de corruption ;</p>
</li>
<li> Si quelqu'un signe votre cl� de cette fa�on, vous pouvez l'ajouter au
trousseau de Debian par :
<pre>
gpg --import mysigned.key
gpg --keyserver keyring.debian.org --send-keys <var><id de votre cl�></var>
</pre>
<p>La mise � jour de votre cl� peut prendre du temps aux responsables du
trousseau, soyez patient. Vous devriez aussi t�l�charger votre cl� � jour
vers un serveur de cl�s public.</p>
</li>
</ul>
<h3>Ce que vous de devriez pas faire</h3>
<p>Vous ne devriez jamais signer la cl� de quelqu'un d'autre que vous n'avez
pas rencontr� personnellement. La signature d'une cl� qui serait bas�e sur
autre chose qu'une rencontre directe d�truirait l'utilit� du r�seau de
confiance. Si un ami se pr�sente � d'autres d�veloppeurs avec votre carte
d'identit� et votre empreinte mais que vous n'�tes pas pr�sent pour v�rifier
que l'empreinte vous appartient, comment les d�veloppeurs peuvent-ils relier
l'empreinte et la carte d'identit� ? Ils n'ont que la parole de votre ami
et les autres signatures sur votre cl� – ce n'est pas mieux que s'ils
signaient votre cl� simplement parce que d'autres personnes l'ont sign�e !
</p>
<p>Faire signer sa cl� de nombreuse fois est agr�able et il est tentant de
raccourcir un peu la proc�dure. Mais avoir des signatures de confiance est bien
plus important que d'avoir beaucoup de signatures, aussi est-il tr�s important
de conserver le processus de signature aussi strict que possible. Signer la cl�
de quelqu'un d'autre est la caution que vous avez la preuve directe de
l'identit� du d�tenteur de la cl�. Si vous la signez sans en �tre totalement
s�r, il n'est plus possible de faire confiance au r�seau de confiance.
</p>
pgpqnq2I0Iu5s.pgp
Description: PGP signature
