Utiliser PGP

De Docaposte Cyberdéfense
Aller à : navigation, rechercher

DRAFT

CSIRT.red.png
Utilisation des moyens cryptographique

PGP

Gestion du document

Date de la première version :

09/05/2018

Date de la dernière version :

09/05/2018

Version :

1.0

Web Of Trust

En cryptographie, le Web Of Trust est un concept utilisé par PGP, GnuPG, ainsi que d'autres applications compatibles avec OpenPGP. La toile de confiance permet de vérifier la relation entre une clé publique et une identité numérique. C'est un modèle de confiance décentralisé, une alternative aux modèles de confiance centralisés de la plupart des autres PKI. Contrairement aux modèles centralisés où la confiance que l'on peut prêter ne passe que par une autorité de certification (CA ou hiérarchie de CA) dont on ne sait rien pour la plupart, une toile de confiance est relative à un individu qui peut choisir lui-même les tiers (en général d'autres personnes physiques) à qui il fait confiance. De ce fait, il existe de nombreuses toiles de confiances indépendantes. N'importe qui peut en faire partie (via son propre certificat), et être un lien entre différentes toiles.

Le concept de toile de confiance aurait été initialement décrit par Philip Zimmermann, créateur de PGP, dans le manuel de PGP 2.0, en 1992. C'est l'expression « web of confidence » (plus tard « web of trust ») qui est employée dans le guide de l'utilisateur de PGP 2.6.2, publié deux ans après, en octobre 1994.

(Source: Wikipedia)

Protection de l'identité

Comme vu ci-dessus, l'utilisation de PGP va s'appliquer dans un modèle beaucoup plus personnel de commucation sur internet. En entreprise ou pour les services public, nous utiliserons la norme X.509 gerer par une AC reconnue alors que dans la vie de tous les jours nous utiliserons PGP qui est gratuit. Cette identité virtuelle prendra de la valeur au fur et à mesure de son utilisation. Plus vous utiliserez votre identité pour des discussions en ligne, envoyer des mails, certifier que vous connaissez une personne, generer des adresses Bitcoin, plus celle-ci deviendra importante.

Sur internet Il y a beaucoup d'informations ayant pour objectif d'expliquer comment créer une nouvelle identité avec PGP. Malheureusement, beaucoup d'anciennes recommandations d'utilisations de certaines méthodes et de paramètres pourrait être dangeureux à long terme. Il n'y a pas non plus, trop d'informations sur la façon de protéger votre clé privé et ses dérivés si vous utilisez un ordinateur portable et que celui-ci est volé vous perdrez votre identité car tout dépendra comment vous avez protégé celle-ci.

Pré-requis

Installation du package OpenPG pour linux

Debian / ubuntu : 

$ apt install gnupg2

CentOS : 

$ yum install gnupg2
Installation du package OpenPG pour Windows et OSX
Vérification de l'accès au service PGP Docapost
Récupérée de « https://csirt.docapost.fr/index.php?title=Utiliser_PGP&oldid=1601 »