Bonjour,
 
J'aimerai signé mes documents numeriquement pour assurer leurs authenticité. Et je pense ne pas avoir tout compris parce que dans tout les tutoriel, on me dit que pour signer, il suffit de faire une commande qui pond un fichier asc qu'on met avec le fichier et avec la clef publique comme ca n'importe quel utilisateur peut verifier.
 
 
Mais eux... si je prend un document aillieurs que je met mon fichier asc et que la cléf publique est redonne n'importe quel document pourrais être décrété comme le miens non ?
 
Merci
 
Frederick

Sans utiliser PGP :  
 
C'est une question de cles asymetriques. Tu signes avec ta cle privee et on peux verifier en utilisant ta clef publique si c'est bien toi qui a signe.

Non car la signature est différente selon le document.

OUi j'oublié, le fichier asc se fait a partir du document et de ma clef secrète, donc il n'y a que moi qui peut generer ce asc de ce document

J'ai encore du mal a comprendre et je m'en escuse (parce que je sens que je vais finir par être lourd..)
 
Je reprend le problème.
 
J'ai un texte (ou n'importe quel fichier mais l'occurence c'est du texte).
J'aimerai faire une signature numerique, ce que je fais avec gpg et la commande sign qui me sort un fichier .asc.
 
Jusqu'a la tout va bien.
 
Imaginons que Charles Junior Pathé tombe sur mon scénario duement ecris de mes doigh boudiné, et qu'il veut être certain que c'est moi qui est généré ce fichier. Il lui faudras autre chose que le fichier asc non ?
Ma clef publique non ?
 
Si non, euh comment alors ?
 
Si oui, cette clef publique, je peux l'integrer directement dans mon texte ?  ou est ce que c'est un non-sens de ma signature numerique ?
 
Merci !

La clé publique doit se transmettre par un autre moyen que le message (par exemple sur un site web, ou donnée physiquement sur un carte de visite ou un support numerique).
C'est le principe des serveurs de clé.
 
Après lorsque tu recuperes une clé, c'est a toi de juger de la confiance que tu lui accordes. Si tu es sûr et certain que la clé correspond bien à la personne, parce que par exemple elle te l'as fournie et confirmée physiquement, tu la marques en confiance totale, alors que si tu la recuperes sur le web sans que la personne ne t'ai donné un moyen de la verifier (avec le fingerprint par exemple) tu la marques en confiance faible...
 
Le principe de fonctionnement basique pour communiquer entre A et B c'est :
 
A et B s'echangent leur clés publique par un medium de communication quelconque, en fonction duquel ils accordent chacun une certaine confiance a la clé de l'autre.
 
A envoie un message à B :
- pour le signer il utilise sa clé privée, il genere donc une signature, et quand B la reçoit, il la verifie avec la clé publique de A. La confiance à accorder a cette signature depend de la confiance accordée a la clé
- pour le chiffrer il utilise la clé publique de B, B reçoit le message et le déchiffre avec sa clé privée, et la confiance fonctionne de la même manière
 
Fournir ta signature directement avec le message signé n'est pas un non-sens, c'est juste que la confiance accordée sera nulle, car tu fournis le cadenas et la clé directement

Hm
 
En fait j'ai du mal m'exprimer, je veux mettre mon fichier ASC généré dans un zip et ma clef publique dans le texte dans le zip aussi, c'est pas faisable ?

"J'ai pas du tout comprendre" ???
 
Euh... "je n'ai pas du tout compris" non ?
 
Ah mince je viens de comprendre le titre... bref c'est moi qui n'ai rien compris.
 
--> []

:-D pas mal

 
bah si, techniquement y a rien qui t'en empeche
 
par contre, je sais que moi, si je reçois un mail avec a la fois la clé et le message signé, j'accorderai pas beaucoup de confiance à cette clé

En passant :  
PGP = outil propriétaire
OpenPGP = norme cryptographique (libre)
GPG = outil libre
 
Sous linux, tu doit utiliser GPG, pas PGP je pense

oui pardon Gpg,
 
Donc je met juste le fichier ASC dans le fichier zip et je renvoi quelque part ou se trouve ma clef publique

heu... je suis pas sûr d'avoir compris ce que tu as mis
 
pour faire a peu pres propre :
1- tu poses ta clé publique à un endroit ou elle pourra etre recuperée (keyserver, page web, etc...)
2- tu envoies le .ASC (zippé ou non, c'est pas le probleme) dans ton mail, et tu y ajoutes l'identifiant de ta clé pour qu'elle soit recuperable sur un keyserver, où l'adresse web ou l'on peut la recuperer
 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
 
Tiens si tu veux un exemple :
 
ma clé publique pour mon adresse au boulot a comme identifiant
0x22AD1FD9 (elle est enregistrée sur wwwkeys.pgp.net)
 
et je signe ce post
 
-----BEGIN PGP SIGNATURE-----
Version: PGP 8.0.3
 
iQA/AwUBQE8WJoj8rdKbcZIVEQKcrwCfdwGEpTlQf6fbRFM5+9jV/qRs/nIAoM1C
gIc7oi6WzV1P4h7/4MTdoKFW
=hBlO
-----END PGP SIGNATURE-----

Et comment avec gpg je peux verifier la validité de ton message ?
 
sachant que j'ai ta clef publique

tu copies le message (avec les balises ----BEGIN----- et -----END---- faut jamais les supprimer) dans un fichier texte, mettons test.txt
 
et tu lances gpg --verify test.txt

 
Et si je fais les listes
 

 
ca veut dire que le message n'est pas authentique ?

Bon, on reprend depuis le debut.
 
La signature GPG permet de garantir que c'est le proprietaire de la clef X qui a signe le document. Pour la signer, il a du utiliser sa clef privee et sa passphrase. Il te fournit sa clef publique pour que tu puisse verifier que le contenu du fichier est bien le meme et qu'il n'a pas ete modifie entre-temps.
 
C'est la qu'intervient la signature de clef. Quand tu rencontre la personne dans la vraie vie en chair et en os, il te donne sa clef publique ou son fingerprint, et tu verifies que l'identite associee a la clef est la vraie, avec une piece d'identite (j'en ai deja vu un qui reniflait les passeports parce que les passepot anglais ont une odeur particuliere). Une fois que tu as bien verifie, tu signes la clef publique. Elle fait alors partie de ton "cercle de confiance" de niveau 1. Si cette clef a servi a signer d'autres clefs de la meme maniere, ces dernieres font partie du niveau 2, et ainsi de suite...
 
A l'arrivee tu as, d'un cote, valide l'apparetenance de la clef en question a son proprietaire. De l'autre, tu as la garantie (qui conserve une part de relativite, par exemple le gars peut avoir donne sa passphrase sous la torture) que le fichier a ete signe par le proprietaire de la clef. Par deduction, tu peux savoir que le fichier a bien ete signe par la personne qui le pretend.

OK ! Une clef publique est toujours la même ! Il faut que je mette la mienne sur mon site, ensuite dans ton mes fichier, je met la signature et si quelqu'un veut verifier il faut qu'il prenne ma clef publique sur mon site (modifiable normalement que par moi) et le clef dans le fichier.  
 
Mais le message précédent n'est pas authentifié !

non, ca veut dire que je suis un boulet
 
l'identifiant que je t'ai donné c'est ma clé perso, et j'ai signé avec ma clé du boulot
 
0x9B719215 c'est ma clé au bureau
 
comme je l'ai pas mise sur un serveur public, je te l'encoie par mail...
 
sorry, moi boulet, moi pas avoir fait gaffe

héhé ca prouve que ca marche bien !
 
Merci pour toute vos aide, j'ai peut être pas tout cerné mais le plus gros est fait

Une dernière question sans vouloir abuser de votre gentiless a tous.
 
Mais j'ai plusieur ordinateur, pour importer ma clef, il suffit que j'importe la clef public, et avec ma phrase je crypte aussi bien c'est ca ?