Skip to main content
Surveillance
Self-Defense

Serveurs de clés publiques

Si vous prévoyez d’envoyer un message sécurisé à quelqu’un qui utilise la cryptographie par clé publique comme PGP , vous devez savoir quelle clé utiliser pour chiffrer votre message. Les serveurs de clés publiques agissent en tant qu’annuaire pour ces clés, permettant aux logiciels d’utiliser une adresse courriel, un nom ou une empreinte de clé pour chercher une clé complète et la télécharger. Il existe de nombreux serveurs de clés publiques PGP, mais ils partagent habituellement leurs collections de clés. Les serveurs de clés ne peuvent pas vérifier si les clés qu’ils publient sont authentiques ou falsifiées. N’importe qui peut téléverser une clé vers un serveur de clés publiques, au nom de n’importe qui. Cela signifie qu’une clé associée au nom d’une personne ou à une adresse courriel sur un serveur de clés pourrait ne pas être sa vraie clé. Afin de vérifier l’authenticité d’une clé, vous devez vérifier ses signatures ou confirmer son empreinte avec l’utilisateur initial de manière fiable.

PGP vous permet de signer les clés d’autrui, ce qui représente une façon d’utiliser votre propre clé pour affirmer qu’une clé particulière est la bonne clé à utiliser pour contacter une autre personne. L’objectif est de fournir une façon de distinguer les clés authentiques des fausses ; si les utilisateurs signent les bonnes clés pour les personnes qu’ils connaissent et avec qui ils communiquent, les autres peuvent utiliser ces signatures pour confirmer que les clés authentiques sont authentiques. Quand vous téléchargez une clé d’un serveur de clés, elle peut inclure des signatures d’autres personnes qui affirment que c’est la bonne clé. Si vous connaissez ces personnes et savez que vous avez la bonne clé pour elles, vous pouvez avoir davantage confiance dans la clé nouvellement téléchargée. Ce processus de vérification est aussi appelé la toile de confiance. Son avantage est qu’elle est décentralisée et n’est contrôlée par aucune autorité. Vous n’avez donc pas à croire une certaine compagnie ou un certain gouvernement pour savoir quelle clé utiliser quand vous écrivez à une nouvelle personne. Vous pouvez plutôt croire vos propres réseaux sociaux. Un désavantage important de la toile de confiance est que la publication de signatures pour les clés d’autres personnes informe le monde entier de l’identité de vos contacts ; cela crée une preuve publique que vous connaissez une personne en particulier. De plus, une utilisation correcte de la toile de confiance exige du temps et de l’attention, et certaines communautés n’y participent que rarement ou jamais.