Key signing party

Cet article est une ébauche concernant la sécurité informatique.

Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

En cryptographie, une key signing party est un événement au cours duquel des internautes s'échangent des informations relatives à leur clé publique compatible OpenPGP.

Fonctionnement d'une key signing party modifier

L'échange se fait de visu, de la main à la main. En partant du principe qu'une clé publique appartient réellement à la personne qui le prétend, les participants signent numériquement le certificat contenant cette clé publique, le nom de la personne, et diverses informations avant de passer à la personne suivante (les participants se disposant généralement en 2 lignes, face à face, afin de vérifier la clé de la personne en face, se décalant d'une personne à chaque fois. Ainsi chacun signe la clé de tous les autres).

Bien que les clés OpenPGP soient généralement utilisées avec des ordinateurs personnels dans le cadre d'applications liées à Internet, les key signing parties se déroulent généralement sans ordinateur, puisque cela augmenterait le risque « d'abus de confiance ». Au lieu de cela, les participants communiquent une chaîne de caractères, appelée empreinte cryptographique, qui représente de façon unique leur clé publique^[1].

L'empreinte est créée via une fonction de hachage cryptographique, qui réduit la clé à une chaîne hexadécimale (plus courte et facilement gérable). Les participants échangent ces empreintes tout en vérifiant chacun l'identité des autres personnes. Puis, après la rencontre, chaque participant récupère (par le biais des serveurs de clés disponibles via Internet) les clés correspondant aux empreintes qu'on lui a données, et signe chacune des clés^[2].

En définitive, une key signing party permet à chacun d'accroître et de renforcer sa toile de confiance (web of trust, en anglais), et donc d'être sûr, qu'une clé récupérée depuis un serveur de clés appartient bien à la personne qui le prétend. Cette certitude est souhaitable, voire indispensable, dans de nombreux environnements ; le système de messagerie électronique conventionnel, par exemple, ne contient aucun moyen de se prémunir contre une usurpation d'identité ou d'adresse électronique.

Notes et références modifier

↑ (fr) Mike Ashley, Jean-François Paris et al., « Importer une clé publique », Le manuel de GNU Privacy Guard, 1999 (consulté le 17 mai 2016)
↑ (en) V. Alex Brennen, « Signing Keys », The Keysigning Party Howto, Chapter 5. After The Party, 24 janvier 2008 (consulté le 17 mai 2016)

Voir aussi modifier

Articles connexes modifier

Liens externes modifier

(en) The Keysigning Party Howto
(en) Manoj's Key-Signing Protocol

[1] (fr) Mike Ashley, Jean-François Paris et al., « Importer une clé publique », Le manuel de GNU Privacy Guard, 1999 (consulté le 17 mai 2016)

[2] (en) V. Alex Brennen, « Signing Keys », The Keysigning Party Howto, Chapter 5. After The Party, 24 janvier 2008 (consulté le 17 mai 2016)

[1]

[2]