Se rencontrer pour échanger ses clefs le 2 novembre à Paris

Par Mozinet, . Lien permanent Événement

Key Singing Party LinuxRéservez la date ! Le jeudi 2 novembre prochain, dans les bureaux parisiens de Mozilla, Ludovic Hirlimann (alias usul) organise une « Key signing party ».

Pour des raisons de sécurité et d’assurance, il faut prendre un ticket sur Eventbrite. Vous recevrez plus de renseignements par ce canal.

Si vous vous demandez, ce qu’est une KSP, commençons par dire que c’est dans le domaine de la cryptographie, discipline qui s’attache à protéger les messages (en en assurant la confidentialité, l’authenticité et l’intégrité) en utilisant des… clefs.

Des clefs de chiffrement – pas de cryptage – pour déchiffrer les messages (qui peuvent être décryptés sans en avoir la clef, par force brute par exemple). À part pour Canal+, évitez de parler de crypter un message avec une clef, un algorithme ou un logiciel.

L’an dernier Ludovic a donné une interview à Markina Corpus dans laquelle il présente GPG, l’intérêt des signatures et du chiffrement. On peut y lire à propos du système de chiffrement asymétrique avec une clef publique et une clef privée qui est au cœur du format OpenGPG :

Lorsque quelqu’un voudra nous envoyer un message que nous serons les seuls à pouvoir lire, il en chiffrera le contenu avec notre clef publique. Seule notre clef privée permettra de déchiffrer ce message.

Autre cas d’utilisation : si nous voulons certifier que nous sommes l’expéditeur d’un message, nous pouvons créer une empreinte du contenu, et la chiffrer avec notre clef privée, c’est ce qu’on appellera la signature à proprement parler. Le destinataire pourra également de son côté générer une empreinte et la comparer à celle qu’il obtient en déchiffrant la signature. S’il y a correspondance entre les deux empreintes, le destinataire pourra être sûr de deux choses grâce à cette signature numérique : c’est notre clef privée qui a permis de générer l’empreinte chiffrée du message et le contenu du message est le même que celui que nous avons envoyé (personne ne l’a altéré).

Nous avons poursuivi en lui posant aussi quelques questions :

Bonjour Ludovic, pourquoi faut-il se rencontrer en personne pour échanger ses clefs ?

Ludovic : Bonjour, c’est pour vérifier les identités. Ça donne du poids aux clefs : ceci est ma clef, je le prouve en vous rencontrant et vous dis que vous m’avez vu. C’est le concept du web of trust [ou toile de confiance décentralisée qui permet de vérifier la relation entre une clef publique et une identité numérique].

Il faut donc présenter sa carte d’identité pour la prouver ?

Oui, ou un passeport, ou bien, si on se connaît et que la confiance règne, rien. J’ai déjà signé la clef d’un développeur de l’OS Tails sans connaître son nom.

C’est la toile de confiance ? Tu signes ensuite les clefs des personnes que tu as rencontrées en personne ?

Oui.

Tu parles de clefs GPG/PGP, c’est lié à un programme particulier ?

GnuPG et PGP qui est un logiciel de Symantec – je ne suis plus sûr de qui le possède en fait – sont des programmes mettant en œuvre une norme ouverte ou RFC de l’IETF – OpenPGP – donc un standard indépendant d’un logiciel en particulier.

Tu dis « pour venir il faut s’inscrire avoir une clef et c’est tout », concrètement ça ressemble à quoi une clef ?

Il faut aussi venir avec le fingerprint (empreinte) de sa clef – j’enverrai un message avec des instructions via Eventbrite en temps utiles.

Concrètement, une clef c’est un ensemble de bits écrits sur du papier.

FOSDEM 2008 Key signing party

Actuellement, qui signe ses messages avec ces clefs ? Est-ce courant ? et dans quelles communautés ou organisations ?

Ce n’est pas très courant, juste les geeks. Les clefs servent aussi à chiffrer les emails, les fichiers… S’il y avait plus d’utilisateurs, genre 50 pour cent, ça rendrait le prix du spam bien plus élevé. Ça sert aussi à signer les logiciels et les codes sources. On le retrouve dans Tor et Tails. Après de manière systématique, je ne crois pas.

À ton avis, qui devrait particulièrement signer ses messages et ne le fait pas ou trop peu ?

Les journalistes, les hommes politiques, etc. Ça permettrait d’éviter les fake news.

C’est dans les bureaux de Mozilla Paris cette KSP, mais est-elle réservée aux membres du projet Mozilla ?

C’est comme les autres événements, c’est ouvert à tous. Mozilla sponsorise le lieu de rencontre.

Clé ou clef ?

Je suis old school donc clef.

Ça n’a donc pas de raison rationnelle ?

Non.

Merci Ludovic, nous réécrirons l’article avec la graphie clef :)

Voici quelques liens pour vous initier à OpenGPG et à la signature de messages avant de franchir le pas et de venir échanger vos clefs en novembre à Mozilla Paris.

Et enfin, le chiffrement et le principe des clefs privée et publique expliqués par Tristan Nitot dans le 56Kast (30 min) :

Mozilla Spaces ParisFondation Mozilla
16 bis, boulevard Montmartre, Paris 9ᵉ (plan libre)
Accès handicapé

Métro : préférez Grands Boulevards
(sortie Musée Grévin)

Se rendre à Mozilla Paris sur le wiki.


Mozinet

Notre précédent événement : Mozilla vous attend aux Journées du patrimoine les 16 et 17 septembre

Crédit illustrations : photo Stevenfruitsmaak sous licence CC By 2.5.

Haut de page