aboutsummaryrefslogtreecommitdiffstats
path: root/doc/fr/FAQ
diff options
context:
space:
mode:
Diffstat (limited to 'doc/fr/FAQ')
-rw-r--r--doc/fr/FAQ1111
1 files changed, 0 insertions, 1111 deletions
diff --git a/doc/fr/FAQ b/doc/fr/FAQ
deleted file mode 100644
index 48c28ae76..000000000
--- a/doc/fr/FAQ
+++ /dev/null
@@ -1,1111 +0,0 @@
-
-GNUPG : FOIRE AUX QUESTIONS
-
-Version : 1.2
-Dernière modification : 10 septembre 2001
-Maintenu par : Nils Ellmenreich <nils 'at' gnupg.org>
-Traduction : Gilbert Fernandes <gilbertf 'at' posse-press.com>
-
-Ce document est la FAQ de GnuPG. La dernière version HTML est
-disponble ici : <http://www.gnupg.org/faq.html>
-
-L'index est produit automatiquement. Des erreurs peuvent donc
-s'y trouver. Toutes les questions ne seront pas situées dans leurs
-sections afférentes. Les suggestions quand à l'amélioration de cette
-FAQ seront les bienvenues.
-
-Veuilez envoyer vos additions et corrections au mainteneur de la FAQ.
-Il serait plus pratique si vous pouviez fournir une réponse à inclure
-directement dans la FAQ. Toute aide sera fortement appréciée.
-
-Veuillez ne pas nous envoyer de message du type : "Ceci devrait
-être une FAQ, quelle est la réponse ?". Si la réponse ne se trouve
-pas dans la FAQ c'est que la question n'a pas été considérée.
-Dans ce cas, recherchez dans les archives de la liste de
-distribution par email.
-
-
-
-
- 1. GENERAL
- 1.1) Qu'est-ce que GnuPG ?
- 1.2) GnuPG est-il compatible avec PGP ?
-
- 2. SOURCES D'INFORMATION
- 2.1) Où puis-je trouver plus d'informations ?
- 2.2) Où puis-je obtenir GnuPG ?
-
- 3. INSTALLATION
- 3.1) Sur quels systèmes fonctionne GnuPG ?
- 3.2) Quel collecteur d'entropie dois-je utiliser ?
- 3.3) Comment puis-je inclure le support du RSA et de l'IDEA ?
-
- 4. UTILISATION
- 4.1) Quelle est la taille de clef recommandée ?
- 4.2) Pourquoi la création de clefs est-elle aussi longue ?
- 4.3) Pourquoi tout est si lent quand je travaille sur un système distant ?
- 4.4) Quelle est la différence entre options et commandes ?
- 4.5) Je ne peux pas effacer un userid car il a déjà été effacé dans mon
- trousseau de clefs publiques ?
- 4.6) Que sont la confiance, la validité et l'ownertrust ?
- 4.7) Comment puis-je signer un fichier de patch ?
- 4.8) Où se trouve l'option "encrypt-to-self" ?
- 4.9) Comment puis-je me débarasser de la version et du champ de commentaire
- dans la version "armor" des messages ?
- 4.10) Que signifie le message "You are using the xxxx character set" ?
- 4.11) Comment puis-je obtenir la liste des keyid ayant servi à
- chiffrer un message ?
- 4.12) Je ne peux plus déchiffrer mon message chiffré symétriquement (-c) avec la nouvelle
-version de GnuPG ?
- 4.13) Comment puis-je utiliser GnuPG en environnement automatisé ?
- 4.14) Quel client email puis-je utiliser avec GnuPG ?
- 4.15) On ne peut pas avoir une librairie gpg ?
- 4.16) J'ai produit avec succès un certificat de révocation, mais comment dois-je
- le transmettre aux serveurs de clefs ?
-
- 5. QUESTIONS SUR LA COMPATIBILITE
- 5.1) Comment puis-je chiffrer un message avec GnuPG pour que PGP soit capable de le déchiffrer ?
- 5.2) Comment migrer de PGP 2.x vers GnuPG ?
- 5.3) (supprimé)
- 5.4) Pourquoi PGP 5.x n'est pas capable de déchiffrer les messages pour certaines clefs ?
- 5.5) Pourquoi PGP 5.x ne peut vérifier mes messages ?
- 5.6) Comment puis-je transférer mes valeurs de confiance de PGP vers GnuPG ?
- 5.7) PGP n'aime pas ma clef privée.
-
- 6. PROBLEMES ET MESSAGES D'ERREUR
- 6.1) Pourquoi GnupG me dit sans cesse "Warning : using insecure memory!" ?
- 6.2) Le support des fichiers de grande taille ne fonctionne pas ..
- 6.3) Dans le menu d'édition les valeurs de confiance ne sont pas affichées
- correctement après la signature des uid : pourquoi ?
- 6.4) Que signifie "skipping pubkey 1: already loaded" ?
- 6.5) GnuPG 1.0.4 ne tient pas compte de ~/.gnupg ...
- 6.6) Une signature ElGamal ne vérifie plus rien depuis la 1.0.2 ..
- 6.7) Les anciennes versions de GnuPG ne vérifient pas les anciennes
- signatures ElGamal
- 6.8) Lorsque j'utilise --clearsign le texte en clair comporte parfois des
- tirets supplémentaires : pourquoi ?
- 6.9) Que signifie "can't handle multiple signatures" ?
- 6.10) Si je soumet une clef au serveur de clefs, rien ne survient !
- 6.11) J'obtiens un "gpg: waiting for lock ..."
- 6.12) Les anciennes versions de GnuPG (e.g. 1.0) ont des problèmes
- avec les clefs de GnuPG récents ..
- 6.13) Avec GnuPG 1.0.4 j'obtiens un "this cipher algorithm is deprecated ..."
- 6.14) Les dates sont affichées par ????-??-??, pourquoi ?
- 6.15) J'ai encore un problème, dois-je produire un message de bogue ?
- 6.16) Pourquoi GnuPG ne supporte pas les certificats X.509 ?
-
- 7. SUJETS AVANCES
- 7.1) Comment tout cela fonctionne-t-il ?
- 7.2) Pourquoi certaines signatures avec une clef ELG-E sont valides ?
- 7.3) Comment tout le système de confiance fonctionne au juste ?
- 7.4) Quel est ce genre de sortie : "key C26EE891.298, uid 09FB: ...."?
- 7.5) Comment interpréter certaines sorties informatives ?
- 7.6) Les lignes d'en-tête des messages font-elles parties des éléments signés ?
- 7.7) Quelle est la liste des algorithmes préférés ?
- 7.8) Comment puis-je changer la liste des algorithmes préférés ?
-
- 8. REMERCIEMENTS
-
-
-
-1. GENERAL
-
-1.1) Qu'est-ce que GnuPG ?
-
-GnuPG signifie GNU Privacy Guard et <http://www.gnupg.org> est
-l'outil GNU destiné aux communications protégées par chiffrement,
-ainsi que le stockage protégé d'informations. Ce programme peut
-être utilisé pour chiffrer des données et produire des signatures
-numériques. Il comprend une gestion avancée des clefs et respecte
-le standard Internet proposé OpenPGP comme décrit dans le
-RFC 2440 : <http://www.gnupg.org/rfc2440.html> et il se destine
-à une parfaite compatibilité avec le PGP produit par NAI Inc.
-
-1.2) GnuPG est-il compatible avec PGP ?
-
-En règle générale, oui. GnuPG et les distributions récentes de PGP
-devraient respecter le standard OpenPGP et fonctionner de concert.
-Il existe toutefois quelques problèmes d'interopérabilité. Consultez
-les questions 5.1ff pour plus de détails.
-
-2. SOURCES D'INFORMATION
-
-2.1) Où puis-je trouver plus d'informations ?
-
-Voici une liste de ressources en ligne :
-
-<http://www.gnupg.org/docs.html>
-
-Cette page regroupe la page de documentation GnuPG. Vous pouvez consulter
-les HOWTO ainsi que le manuel de GnuPG : le GNU Privacy Handbook
-actuellement disponible en anglais, espagnol et russe. Ce dernier offre par
-ailleurs une présentation étendue de GnuPG. Vous trouverez aussi des
-documentations expliquant la conversion de PGP 2.x vers GnuPG.
-
-<http://lists.gnupg.org>
-
-Vous trouverez ici une archive en ligne des listes de distribution par
-courrier électronique de GnuPG. La liste la plus intéressante sera
-probablement gnupg-users où toutes les questions en rapport avec
-l'utilisation de GnuPG se trouvent rassemblées. Si le développement
-vous intéresse vous consulterez avec joie la liste gnupg-devel et
-vous pourrez également prendre contact avec les développeurs.
-
-S'IL-VOUS-PLAIT !
-
-Avant de poster sur une liste, veuillez lire avec attention la FAQ et
-toutes les documentations disponibles. D'autre part, vous devez ensuite
-consulter les archives afin de découvrir si votre question n'a pas été
-déjà posée et résolue. Vous épargnerez des pertes de temps et la
-liste pourra se concentrer sur les problèmes qui n'ont pas encore
-été résolus.
-
-La distribution des sources de GnuPG comprend également un
-sous-répertoire /doc qui contient des documentations supplémentaires
-et ces informations seront précieuses aux hackers (pas beaucoup aux
-utilisateurs habituels, sauf les plus curieux).
-
-2.2) Où puis-je obtenir GnuPG ?
-
-Vous pouvez télécharger GNU Privacy Guard depuis son FTP primaire :
-
-<ftp.gnupg.org>
-
-Ou depuis l'un des mirroirs :
-
-<http://www.gnupg.org/mirror.html>
-
-La version actuelle est la version 1.0.6 et nous vous encourageons à migrer
-vers cette version rapidement : elle corrige des bogues et améliore le
-fonctionnement du programme, ainsi que votre sécurité de fait.
-
-
-3. INSTALLATION
-
-3.1) Sur quels systèmes fonctionne GnuPG ?
-
-GnuPG devrait fonctionner sur tous les Unices ainsi que Windows (95, 98..) et les variantes
-NT. Une liste de systèmes d'exploitation fonctionnels se trouve à :
-
-<http://www.gnupg.org/gnupg.html#supsys>
-
-3.2) Quel collecteur d'entropie dois-je utiliser ?
-
-Les "bons" générateurs de nombres aléatoires sont cruciaux pour la sécurité de vos
-chiffrements. Les différents systèmes d'exploitation proposent des valeurs
-aléatoires de qualité variable. Linux et les systèmes *BSD produisent généralement
-de bonnes valeurs grâce au /dev/random et cette méthode devrait rester la
-méthode de choix pour ces systèmes. Les utilisateurs de Solaris devraient opter
-pour pe paquetage SUNWski afin de disposer d'un /dev/random. Dans ces cas,
-vous devriez utiliser l'option --enable-static-rnd=linux. D'autre part, il existe également
-un dispositif au niveau kernel pour la production de valeurs aléatoires développé
-par Andi Maier :
-
-< http://www.cosy.sbg.ac.at/~andi>
-
-Ce logiciel est au stade de beta : vous ne l'utilisez que sous votre seule
-responsabilité !
-
-Sur les autres systèmes, l'utilisation de l'EGC ou "Entropy Gathering Daemon"
-se montre un bon choix. C'est un daemon écrit en Perl qui surveille l'activité du
-système et produit des hachages permettant d'obtenir des valeurs aléatoires.
-Vous devriez en consulter la page de téléchargement depuis :
-
-<http://www.gnupg.org/download.html>
-
-Pour l'utiliser vous devrez utiliser l'option --enable-static-rnd=egd
-
-Si les options ci-dessus ne fonctionne pas, vous pourrez utiliser le producteur
-d'entropie "unix". Il est *TRES* lent et il devrait être évité lorsque possible.
-Sa qualité d'entropie laisse vraiment à désirer et vous ne devrez jamais
-l'utiliser dans la protection de données sensibles.
-
-3.3) Comment puis-je inclure le support du RSA et de l'IDEA ?
-
-RSA se trouve inclus dans GnuPG depuis la version 1.0.3 et supérieures.
-
-La distribution officielle de GnuPG ne comprend pas l'IDEA à cause
-d'une restriction par brevêt. Le brevêt devrait expirer en 2007 et nous
-attendons cette date pour l'inclure dans GnuPG.
-
-Toutefois, il existe des modules officieux qui permettent de l'inclure
-même dans les versions de GnuPG avant cette date. Ces modules
-sont disponibles depuis :
-
-<ftp://ftp.gnupg.org/pub/gcrypt/contrib/>
-
-Recherchez 'idea.c'
-
-Les directives de compilation se trouvent dans les fichiers "headers" de
-ces fichiers. Vous pourrez ensuite ajouter la ligne suivante à votre
-fichier ~/.gnupg/options :
-
- load-extension idea
-
-4. USAGE
-
-4.1) Quelle est la taille de clef recommandée ?
-
-Nous vous recommandons un minimum de 1024 bits pour les clefs de type
-DSA et également pour les signatures simples de type ElGamal. La taille
-du hachage est probablement le lien le plus faible si la taille de la clef
-augmente à plus de 1024 bits. Les clefs de chiffrement peuvent avoir
-des tailles supérieures, mais vous devriez alors vérifier le fingerprint
-de la clef de cette manière :
-
-gpg --fingerprint --fingerprint <user ID>
-
-Comme pour les algorithmes de clef, vous devriez vous en tenir aux
-valeurs par défaut (i.e. les chiffrements ElGamal avec signature
-DSA). Une clef de signature ElGamal comporte les désavantages
-suivants : si la signature est grosse, il est difficile de créer une
-clef correspondante utile pour les signatures et capable de résister
-aux attaques réelles, et vous n'obtiendrez pas de sécurité
-supplémentaire face au DSA. Il pourrait y avoir des problèmes
-de compatibilité avec certaines versions de PGP. Il n'aura été
-introduit que parce à l'époque, il n'était pas clair de savoir si
-un brevêt s'appliquait ou non au DSA.
-
-4.2) Pourquoi la création de clefs est-elle aussi longue ?
-
-Le problème est ici que nous avons besoin d'une grande quantité d'octets aléatoires et que
-nous devons pour ce faire collecter une certaine quantité d'entropie depuis, sous Linux,
-le /dev/random. Il n'est pas vraiment facile de remplir l'entropie de Linux ; nous en avons
-discuté avec Ted Ts'o et il a expliqué que la meilleure méthode pour remplir le buffer
-n'est autre que de jouer avec votre clavier. Une bonne sécurité implique un coût.
-Vous pouvez utiliser les touches Shift, Control, Alt en appuyant dessus de manière aléatoire,
-d'autant que ces touches ne produisent aucune sortie à l'écran et vous pourrez accélérer
-la production des clefs.
-
-Un autre programme pourrait également consommer une partie de l'entropie du système
-dont vous avez besoin (jettez un oeil à vos daemons actifs).
-
-4.3) Pourquoi tout est si lent quand je travaille sur un système distant ?
-
-Vous ne devez SURTOUT pas faire cela ! Vous ne devez jamais créer de
-clef GnuPG sur un système distant car vous n'aurez alors aucun contrôle
-physique sur votre clef privée, ni même votre trousseau de clefs privées.
-Ces clefs seront alors suspectibles de subir une attaque par dictionnaire.
-Nous vous encourageons vivement à ne produire vos clefs que sur une
-machine personnelle (un portable déconnecté de toute alimentation
-et connexion réseau est le meilleur choix) et si vous devez conserver
-votre clef privée sur une machine fixe, assurez-vous qu'une phrase
-passe solide en protège le contenu et que vous pouvez faire confiance
-à votre administrateur système.
-
-Lorsque nous devons utiliser GnuPG à distance c'est au-travers de SSH
-et nous rencontrons le même problème. Il faut *beaucoup* de temps
-pour produire des clefs de toute manière. Il ne faut pas créer de clefs
-à distance. Si vous avez juste besoin de clefs à fins de tests, vous
-pouvez utiliser l'optoin --quick-random pour produire rapidement des
-clefs *faibles* qui permettent de vérifier quelques tests.
-
-4.4) Quelle est la différence entre options et commandes ?
-
-Si vous tapez 'gpg --help' vous obtiendrez deux listes séparées. La première
-liste vous répertorie les commandes. La seconde liste regroupe elle les
-options. A chaque fois que vous utiliserez GnuPG vous devrez utiliser
-*UNE* commande (avec une exception, voir ci-dessous) et vous pourrez
-utiliser une ou *plusieurs* options en combinaison avec la commande.
-
-Par convention, la commande doit se trouver à la fin de la liste d'arguments
-après toutes les options. Si la commande requiert un nom de fichier,
-ce dernier sera donné à GnuPG en *dernier* sur la ligne de commande.
-
-L'usage basique de GnuPG est donc :
-
- gpg [--option something] [--option2] [--option3 something] --command file
-
-Certaines options demandent des arguments. Par exemple, l'option
---output (que l'on peut raccourcir par -o) requiert un nom de fichier
-en argument. L'argument de l'option doit suivre celle-ci immédiatement !
-GnuPG ne sera sinon pas capable de différencier le nom de fichier comme
-option. Comme option, --output et son nom de fichier doivent se trouver
-avant la commande donnée à GnuPG. L'option --recipient (ou -r) demande
-un nom ou un keyID pour chiffrer le message et ces informations devront
-imméditamenet suivre l'option --recipient/-r. La commande --encrypt ou
--e sera fournie après ces options, avec en final le nom du fichier à
-chiffrer. En voici un exemple :
-
- gpg -r alice -o secret.txt -e test.txt
-
-Mais l'utilisation des options sous leur forme longue permet de simplifier
-la compréhension des lignes de commande :
-
- gpg --recipient alice --output secret.txt --encrypt test.txt
-
-Si vous sauvez dans un fichier nommé ".txt" alors vous devriez probablement
-utiliser l'option ARMOR en ajoutant l'option --armor ou -a qui ne prend aucun
-argument :
-
- gpg --armor --recipient alice --output secret.txt --encrypt test.txt
-
-Si nous plaçons des crochets autour des parties optionnelles, les choses
-deviennent plus claires :
-
- gpg [--armor] [--recipient alice] [--output secret.txt] --encrypt test.txt
-
-Les parties entre crochets peuvent être placées dans l'ordre de votre
-choix :
-
- gpg --output secret.txt --recipient alice --armor --encrypt test.txt
-
-Si votre nom de fichier commence par un tiret, GnuPG risque de penser
-qu'il s'agit d'un paramètre et pour éviter cette situation vous pouvez
-soit utiliser un "./-a.txt" soit utiliser un double-tiret comme ceci :
-
--- -a.txt
-
-* L'exception concerne le chiffrement ET la signature au même moment.
-On utilise alors gpg [--options] --sign --encrypt foo.txt
-
-4.5) Je ne peux pas effacer un userid car il a déjà été effacé dans mon
- trousseau de clefs publiques ?
-
-Comme vous ne pouvez sélectionner que depuis le trousseau de clefs
-publiques, vous ne pouvez pas directement effacer le userid. Toutefois,
-ce n'est pas très compliqué à faire. Vous devez créer un nouvel
-utilisateur, disposant du même userid ce qui vous permet d'obtenir deux
-utilisateurs identiques avec un seul disposant d'une correspondance
-dans la clef privée. Vous pouvez désormais sélectionner cet utilisateur
-et l'effacer. Les deux identifiants seront affacés du trousseau de clefs
-privées.
-
-4.6) Que sont la confiance, la validité et l'ownertrust ?
-
-Le terme "ownertrust" est utilisé en remplacement de "trust" lorsqu'il
-s'agit de la valeur que vous avez attribuée à une clef en fonction
-du degré de confiance que vous accordez à son propriétaire, et si
-vous l'autorisez à introduire de nouvelles clefs avec votre signature
-jointe. La "validité" est un terme de confiance calculée, une valeur
-numérique calculée par GnuPG en fonction des paramètres de
-confiance des clefs et vous donne une idée de la confiance que
-GnuPG attribue ou n'attribue pas à une clef et s'il estime que la clef
-est valide pour un usage de chiffrement. Pour plus de détails consultez
-le chapître "The web of trust"
-
-4.7) Comment puis-je signer un fichier de patch ?
-
-Vous pouvez utiliser :
-
-gpg --clearsign --not-dash-espaced ...
-
-Le problème avec --clearsign c'est que toutes les lignes qui
-commençent par un tiret sont "quotées" avec "- " et comme diff
-produit beaucoup de lignes de ce type, le patch risque d'être
-détruit par la signature. Pour utiliser un fichier patch en le signant
-et sans perdre la signature claire, l'option spéciale :
-
---not-dash-escaped
-
-Permet de supprimer la production de ces séquences d'échappement.
-Vous ne devriez pas transmettre par courrier électronique un patch
-de ce type car les espaces et les fins de ligne font également
-partie de la signature et un logiciel de messagerie risque de modifier
-l'espacement et/ou les tailles de lignes, invalidant la signature. Si vous
-souhaitez transmettre le fichier, le plus simple reste de le signer à l'aide
-de votre MUA.
-
-4.8) Où se trouve l'option "encrypt-to-self" ?
-
-Utilisez l'option :
-
---encrypt-to <votre_keyID>
-
-Vous pouvez utiliser une combinaison de cette option pour spécifier
-plus d'un keyID. Pour désactiver temporairement l'utilisation de clefs
-additionnelles, vous pouvez utiliser l'option : --no-encrypt-to.
-
-4.9) Comment puis-je me débarasser de la version et du champ de commentaire
- dans la version "armor" des messages ?
-
-Utilisez l'option --no-version --comment ""
-
-Veuillez noter que la ligne vide laissée en place est *requise* par le format
-et le protocole.
-
-4.10) Que signifie le message "You are using the xxxx character set" ?
-
-Cette note est affichée lorsque une conversion UTF-8 a été réalisée.
-Veuillez vous assurer que le jeu de caractères utilisé pour l'affichage
-correspond bien à celui du système. Le plus utilisé reste "iso-8859-1" et
-c'est le jeu de caractères par défaut. Vous pouvez modifier ce jeu
-de caractères à l'aide de l'option "--charset". Il faut que le jeu de
-caractères utilisé corresponde à celui de votre affichage ou des
-caractères pourraient ne plus correspondre dans le message une
-fois transmis. Sinon, n'utilisez que de l'ASCII 7 bits pour qu'aucune
-conversion ne puisse survenir.
-
-4.11) Comment puis-je obtenir la liste des keyid ayant servi à
- chiffrer un message ?
-
- gpg --batch --decrypt --list-only --status-fd 1 2>/dev/null | \
- awk '/^\[GNUPG:\] ENC_TO / { print $3 }'
-
-4.12) Je ne peux plus déchiffrer mon message chiffré symétriquement
- (-c) avec la nouvelle version de GnuPG ?
-
-Il existait un bogue dans les versions 1.0.1 et antérieures de GnuPG
-qui surveniait lorsque 3DES ou Twofish avaient été utilisé pour des
-chiffrements symétriques (ce qui n'a jamais été le cas par défaut).
-Ce bogue a été corrigé afin de permettre le déchiffrement des anciens
-messages, en utilisant l'option :
-
----emulate-3des-s2k-bug
-
-Vous devriez déchiffrer puis rechiffrer (correctement) le ou les
-messages concernés. Cette option sera retirée dans la version 1.1
-de GnuPG : n'attendez pas pour convertir vos messages !
-
-4.13) Comment puis-je utiliser GnuPG en environnement automatisé ?
-
-Vous devriez utiliser l'option --batch et ne pas utiliser de phrase
-passe car il n'existe alors aucun moyen de conserver cette
-information de manière plus secrète que le trousseau de clefs
-lui-même. Nous vous suggérons de créer vos clefs, en environnement
-automatisé, de la manière suivante :
-
-Sur une machine protégée :
-
-Créez une sous-clef de signature pour votre clef, en utilisant le menu
-edit et en utilisant l'option "addkeu" puis DSA. Vous devez ensuite
-vous assurer que vous utilisez une phrase passe (requise par
-l'implémentation actuelle) puis utiliser :
-
-gpg --export-secret-subkeys --no-comment foo
- >secring.auto
-
-Copiez secring.auto et le trousseau de clefs publiques dans un
-répertoire test. Entrez dans le répertoire, puis :
-
-gpg --homedir . --edit foo
-
-Et utilisez "passwd" pour retirer la phrase passe des sous-clefs.
-Vous devriez également retirer toutes les sous-clefs qui ne sont
-pas utilisées et copier secring.auto sur une disquette et la
-porter jusqu'à la machine cible.
-
-Sur celle-ci, installez secring.auto comme trousseau de clefs
-secrètes. Vous pouvez maintenant faire démarrer votre
-nouveau service. C'est aussi une bonne idée que d'installer
-un système de détection d'intrusions afin de pouvoir repérer
-les intrusions ce qui vous permettra alors de révoquer toutes
-les sous-clefs installées sur cette machine et de procéder à une
-nouvelle installation de sous-clefs.
-
-4.14) Quel client email puis-je utiliser avec GnuPG ?
-
-Utiliser GnuPG pour le chiffrement de courrier électronique est
-probablement l'usage le plus répandu. De nombreux logiciels de
-messagerie (les "MUA") supportent GnuPG à divers degrés. Pour simplifier,
-il existe deux moyens de chiffrer les emails avec GnuPG : l'ancien style
-qui repose sur l'utilisation de l'ASCII Armor (un chiffrement classique
-suivi par une conversion selon le RFC2015) ce qu'on appellait le
-PGP/MIME et qui s'appelle désormais l'OpenPGP. Ce dernier supporte
-d'autre part le MIME. Certains MUA ne supportent qu'un seul de ces
-formats et vous devrez utiliser ce qui correspond aux capacités
-de votre client de messagerie.
-
-La liste suivante n'est probablement pas exhaustive :
-
- OpenPGP: Mutt (Unix), Emacs/Mew, Becky2 (Windows avec plugin),
- TkRat (Unix). Il y a un effort pour disposer d'un plug-in
- Mozilla et Emacs/GNUS dispose d'un support en CVS.
-
- ASCII: Emacs/{VM,GNUS}/MailCrypt, Mutt(Unix), Pine(Unix), et
- probablement beaucoup d'autres.
-
-Un bon aperçu du support de PGP se trouve à l'adresse :
-
-http://cryptorights.org/pgp-users/pgp-mail-clients.html
-
-Le support direct de GnuPG n'est pas indiqué, toutefois dans certains
-cas il doit être possible d'utiliser un "wrapper".
-
-4.15) On ne peut pas avoir une librairie gpg ?
-
-Cette question aura souvent été posée. Toutefois, le point de vue
-actuel est que GnuPG en tant que librairie risque de conduire à des
-problèmes de sécurité. Dans un futur proche, GnuPG ne sera pas
-implémenté sous forme de librairie. Toutefois, pour quelques domaines
-d'application le programme gpgme doit pouvoir assurer ces questions.
-Vous pouvez obtenir ce programme depuis :
-
-ftp://ftp.guug.de/pub/gcrypt/alpha/gpgme
-
-
-4.16) J'ai produit avec succès un certificat de révocation, mais comment
- dois-je le transmettre aux serveurs de clefs ?
-
-La plupart des serveurs de clefs n'accepteront pas une simple et "dure"
-révocation. Vous devez d'abord importer le certificat dans GnuPG :
-
- gpg --import my-revocation.asc
-
-Puis transmettre la révocation au serveurs de clefs :
-
- gpg --keyserver certserver.pgp.com --send-keys mykeyid
-
-5. COMPATIBILITY ISSUES
-
-5.1) Comment puis-je chiffrer un message avec GnuPG pour que PGP
- soit capable de le déchiffrer ?
-
-Tout ceci dépend de la version de PGP.
-
- PGP 2.x
-
-Vous ne pourrez pas dans ce cas, car PGP 2.x utilise l'IDEA qui n'est
-pas un algorithme supporté par GnuPG à cause de son brevêt (voir
-la section 3.3) mais si vous disposez d'une version modifiée de PGP
-vous pouvez essayer ceci :
-
- gpg --rfc1991 --cipher-algo 3des ...
-
-Attention ! N'utlisez pas de pipe des données à chiffrer vers gpg,
-mais donnez à gpg un nom de fichier sinon PGP 2 ne sera pas
-capable de le prendre en charge.
-
-Quand à ce qui concerne le chiffrement conventionnel, vous ne
-pouvez l'obtenir avec PGP 2.
-
-
- PGP 5.x et ultérieurs
-
-Vous devrez utiliser deux options additionnelles :
-
- --compress-algo 1 --cipher-algo cast5
-
-Vous devrez parfois utiliser "3des" au lieu de "cast5". PGP 5 ne
-supporte pas l'algorithme "blowfish". Vous devrez aussi insérer
-un "compress-algo 1" au sein de votre fichier ~/.gnupg/options
-et ceci n'affectera pas le fonctionnement général de GnuPG.
-
-Ceci s'applique également au chiffrement conventionnel.
-
-5.2) Comment migrer de PGP 2.x vers GnuPG ?
-
-PGP 2 utilise les algorithmes RSA et IDEA pour le chiffrement. Depuis que le
-brevêt sur le RSA a expiré GnuPG incorpore ce dernier, depuis la version
-1.0.3 et ultérieures. L'algorithme IDEA reste sous brevêt jusqu'en 2007.
-Sous certaines conditions vous pouvez utiliser l'IDEA, même aujourd'hui.
-Dans ce cas, vous devriez consulter la réponse à la question 3.3 qui
-explique l'ajout du support de l'IDEA à GnuPG et également lire ce
-document :
-
-http://www.gnupg.org/gph/en/pgp2x.html
-
-Pour procéder à la migration.
-
-5.3) (supprimé)
-
- (vide)
-
-5.4) Pourquoi PGP 5.x n'est pas capable de déchiffrer les messages
- pour certaines clefs ?
-
-PGP Inc refuse d'accepter les clefs ElGamal de type 20 même pour
-le chiffrement. Ils ne supportent que le type 16 (qui est identifique en tout
-cas en ce qui concerne le déchiffrement). Pour être plus inter-opérable,
-GnuPG (depuis la version 0.3.3) utilise également le type 16 pour la sous-
-clef ElGamal qui est créée par l'algorithme par défaut. Vous pouvez
-aussi ajouter une clef de type 16 à votre trousseau de clefs publiques
-tout en assurant que vos signatures sont valides.
-
-5.5) Pourquoi PGP 5.x ne peut vérifier mes messages ?
-
-PGP 5.x n'accepte pas les signatures en version 4 pour les données
-mais OpenPGP demande la production de clefs V4 pour tous les types
-de données et c'est pourquoi GnuPG les utilise... Vous devrez utiliser
-l'option --force-v3-sigs pour produir'e des signatures V3 sur les
-données.
-
-5.6) Comment puis-je transférer mes valeurs de confiance de
- PGP vers GnuPG ?
-
-Il existe un script au sein du répertoire tools qui pourra vous aider. Après
-avoir importé le trousseau de clefs publiques PGP vous pouvez utiliser
-cette commande :
-
- $ lspgpot pgpkeyring | gpg --import-ownertrust
-
-où "pgpkeyring" est le trousseau de clefs originels et NON celui de GnuPG
-que vous avez produit à la première étape.
-
-5.7) PGP n'aime pas ma clef privée.
-
-Les anciens PGP échouent parfois au traitement des commentaires privés
-sur les paquets utilisés par GnuPG. Ces paquets sont en *totale* conformité
-avec OpenPGP mais vous l'aurez compris, PGP n'est pas vraiment soucieux
-d'OpenPGP. Pour contourner ce problème il faut exporter les clefs privées
-à l'aide de cette commande :
-
- $ gpg --export-secret-keys --no-comment -a your-key-id
-
-Une autre possibilité : par défaut, GnuPG chiffre votre clef privée à l'aide
-de l'algorithme symétrique Blowfish. Les anciennes versions de PGP
-ne peuvent comprendre que le 3DES, CAST5 ou l'IDEA sous leurs formes
-symétriques. L'utilisation de la méthode suivante permet de rechiffrer
-vos clefs privées à l'aide d'un algorithme différent :
-
- $ gpg --s2k-cipher-algo=CAST5 --s2k-digest-algo=SHA1 \
- --compress-algo=1 --edit-key <username>
-
-Vous utiliserez alors l'option passwd pour modifier le mot de passe ; il suffit
-de choisir la même phrase passe mais cette fois la clef sera chiffrée
-symétriquement par du CAST5.
-
-Vous pouvez maintenant exporter la clef et PGP devrait pouvoir la gérer.
-
-Pour PGP 6.x les options suivantes permettent d'exporter une clef :
-
- $ gpg --s2k-cipher-algo 3des --compress-algo 1 --rfc1991 \
- --export-secret-keys <Key-ID>
-
-6. PROBLEMS and ERROR MESSAGES
-
-6.1) Pourquoi GnupG me dit sans cesse "Warning : using insecure memory!" ?
-
-Sur beaucoup de systèmes, ce programme doit être installé en tant que
-setuid(root). Ceci est requis afin de pouvoir produire un blocage en mémoire
-des pages utilisées (et d'éviter tout transfert en swap ou sur disque). Ce "lock"
-permet de verrouiller dans la pratique les informations sensibles en RAM
-afin de conserver ces données comme secrètes. Si vous n'obtenez aucun
-message d'erreur c'est que votre système supporte le verrouillage de pages
-mémoire depuis l'accès root (le programme s'exécute en tant que root grâce
-à son setuid). Le programme quitte le mode d'exécution "root" dès que les
-pages sont verrouillées en mémoire qui plus est.
-
-Sur Unixware 2.x et 7.x vous devriez installer GnuPG avec le privilège
-"plock" pour obtenir le même effet :
-
- filepriv -f plock /path/to/gpg
-
-Si vous ne pouvez pas installer GnuPG en tant que setuid(root) ou si vous
-ne voulez pas, vous pouvez utiliser l'option :
-
---no-secmem-warning
-
-Ou bien le placer en tant qu'option (sans les deux tirets) dans votre
-fichier ~/.gnupg/options ce qui permet de désactiver le warning.
-
-Sur quelques systèmes (e.g; Windows) GnuPG ne verrouille pas les
-pages en mémoire (ce n'est pas toujours possible selon les systèmes)
-et les anciennes versions de GnuPG (1.0.4 et antérieures) produisent
-sur ces systèmes le message d'erreur suivant :
-
- gpg: Please note that you don't have secure memory
-
-Cet avertissement ne peut être désactivé en utilisant l'option décrite
-ci-dessus car nous considérons que cet avertissement forme une
-faille de sécurité importante. Toutefois, comme il provoquait une trop
-forte confusion auprès des utilisateurs de ces systèmes, le message
-d'avertissement a été retiré.
-
-6.2) Le support des fichiers de grande taille ne fonctionne pas ..
-
-Le LFS fonctionne correctement depuis les versions 1.0.4 et ultérieures.
-Si le configure ne le détecte pas correctement, essayez un autre
-compilateur : egcs 1.1.2 fonctionne parfaitement mais d'autres
-versions semblent poser problème. D'autre part, certains problèmes
-de compilation rencontrés dans GnuPG 1.0.3 et 1.0.4 sur HP-UX et
-Solaris étaient provoqués par un support "cassé" du LFS dans les
-sources ...
-
-6.3) Dans le menu d'édition les valeurs de confiance ne sont pas affichées
- correctement après la signature des uid : pourquoi ?
-
-Ceci survient car certaines informations sont stockées immédiatement
-dans la TrustDB, mais le calcul ne se réalisé qu'au moment de la
-sauvegarde effective. Ce n'est pas un bogue vraiment facile à corriger
-mais nous pensons régler ce problème dans une future version.
-
-6.4) Que signifie "skipping pubkey 1: already loaded" ?
-
-Depuis la version 1.0.3 de GnuPG l'algorithme RSA est inclus. Si vous
-avez toujours l'option :
-
-load-extension rsa
-
-Dans votre fichier .options le message en question apparaîtra.
-Il vous suffira de retirer la commande qui n'est plus requise
-du fichier .options pour que le message cesse.
-
-6.5) GnuPG 1.0.4 ne tient pas compte de ~/.gnupg ...
-
-Ce bogue est connu et il a été corrigé dans les versions ultérieures.
-
-6.6) Une signature ElGamal ne vérifie plus rien depuis la 1.0.2 ..
-
-Utilisez l'option :
-
---emulate-md-encode-bug
-
- Use the option --emulate-md-encode-bug.
-
-6.7) Les anciennes versions de GnuPG ne vérifient pas les anciennes
- signatures ElGamal
-
-Veuillez migrer vers la version 1.0.2 au minimum, et de préférence
-une version ultérieure (1.0.6 par exemple).
-
-6.8) Lorsque j'utilise --clearsign le texte en clair comporte parfois des
- tirets supplémentaires : pourquoi ?
-
-Ceci s'appelle le "dash-escaped" et il est requis par le format
-OpenPGP. A chaque fois qu'une ligne commence par un tiret, ceci
-risque de survenir. Cela permet aux programmes de retrouver
-sans difficulté les lignes de marquage du format, comme :
-
------BEGIN PGP SIGNATURE-----
-
-Seules ces lignes doivent pouvoir commencer par deux tirets. Si vous
-utilisez GnuPG pour traiter ces messages, les tirets supplémentaires
-seront retirés et les clients de messagerie "corrects" devraient
-également retirer ces tirets lorsqu'ils affichent le message.
-
-6.9) Que signifie "can't handle multiple signatures" ?
-
-A cause des différents formats de messages, GnuPG n'est pas toujours
-capable de découper un fichier contenant des signatures multiples.
-Ce message d'erreur vous informe que les données en entrée
-comportent un problème. Le seul moyen pour disposer correctement
-de signatures multiples revient à utiliser le standard : le format
-OpenPGP avec les paquets "one-pass-signature" qui sont utilisés
-par défaut par GnuPG ou bien de recourir au format de texte en clair.
-
-6.10) Si je soumet une clef au serveur de clefs, rien ne survient !
-
-Vous utilisez probablement GnuPG sur Windows en version 1.0.2 ou
-antérieure. Cette fonctionnalité n'était alors pas encore disponible,
-et il ne s'agit pas d'un bogue. Vous devriez adopter une version
-plus récente, qui dispose de toutes les fonctionnalités :-)
-
-6.11) J'obtiens un "gpg: waiting for lock ..."
-
-Les anciennes versions de GnuPG ne quittaient pas correctement
-et laissaient un fichier "lock". Allez dans le répertoire ~/.gnupg et
-effacez les fichiers *.lock qui s'y trouvent pour continuer.
-
-6.12) Les anciennes versions de GnuPG (e.g. 1.0) ont des problèmes
- avec les clefs de GnuPG récents ..
-
-Depuis la version 1.0.3 les clefs produites par GnuPG sont créées avec
-une préférence pour Twofish (et l'AES depuis la version 1.0.4 à savoir,
-l'algorithme Rijndael) et ceci signifie également qu'elles disposent de la
-capacité d'utilisation de la nouvelle méthode de chiffrement MDC. Ceci
-sera disponible dans OpenPGP très rapidement et sera supporté en
-tout logique par PGP 7. Cette nouvelle méthode de chiffrement permet
-de se protéger votre des attaques (des anciennes attaques en fait)
-contre les systèmes de chiffrement du courrier électronique.
-
-Ceci signifie également que les versions 1.0.3 et antérieures de GnuPG
-auront des problèmes avec les clefs plus récentes. A cause des
-correctifs de sécurité, vous devriez conserver votre installation
-de GnuPG à jour de toute manière. Comme manière de régler le
-problème vous devriez demander à GnuPG de n'utiliser que l'ancien
-algorithme de chiffrement en utilisant la ligne :
-
-cipher-algo cast5
-
-dans votre fichiers d'options.
-
-6.13) Avec GnuPG 1.0.4 j'obtiens un "this cipher algorithm is deprecated ..."
-
-Si vous venez de produire une nouvelle clef et que vous obtenez ce message
-pendant un chiffrement, il s'agit d'un bogue de la version 1.0.4 ; le nouvel
-algorithme AES Rijndael est utilisé mais il n'est pas enregistré sous le bon
-numéro d'algorithme ce qui produit ce message d'erreur "deprecated".
-Vous pouvez ignorer cet avertissement et les versions plus récentes
-de GnuPG sont corrigées sur ce point.
-
-6.14) Les dates sont affichées par ????-??-??, pourquoi ?
-
-A cause de contraintes dans la plupart des implémentations de la libc,
-les dates au-delà de 2038-01-19 ne seront pas affichées correctement.
-Les systèmes 64-bit ne sont pas affectés par ce problème. Pour éviter
-d'afficher les dates de manière incorrecte, GnuPG utilise des signes
-"?" au lieu des chiffres. Pour obtenir la valeur correcte vous devrez
-utiliser l'option :
-
---with-colons --fixed-list-mode
-
-6.15) J'ai encore un problème, dois-je produire un message de bogue ?
-
-Si vous êtes sûr(e) que le problème n'est mentionné nulle part, ni dans
-cette FAQ ni dans aucune liste de distribution GnuPG, commencez
-par consulter la liste de bogues qui sont en cours de traitement (la page
-de documentation dispose d'un lien vers la page de bogues). Si vous
-ne savez pas trop s'il s'agit d'un bogue, envoyez un courrier
-électronique à la liste : gnupg-devel. Sinon, vous pouvez utiliser
-le système de suivi de bogues GUUG à l'adresse :
-
-http://bugs.guug.de/Reporting.html.
-
-6.16) Pourquoi GnuPG ne supporte pas les certificats X.509 ?
-
-GnuPG est avant tout une implémentation du standard OpenPGP,
-défini dans le RFC 2440. Ce standard propose une infrastructure
-complète et différente du X.509
-
-Ces deux systèmes sont des cryptosystèmes à clef publique, mais
-la manière dont les clefs sont traitées diffèrent.
-
-7. SUJETS AVANCES
-
-7.1) Comment tout cela fonctionne-t-il ?
-
-Pour produire une paire de clefs publique/privée, utilisez la commande
-
-gpg --gen-key
-
-Puis répondez aux questions en adoptant de préférence les valeurs
-par défaut.
-
-Les données qui sont chiffrées par une clef publique ne peuvent être
-déchiffrées que par la clef privée correspondante. La clef secrète
-est d'autre part protégée par une phrase-passe ce qui n'est pas le cas
-de la clef publique, librement distribuable.
-
-Pour transmettre à vos amis un message, il vous suffit de le chiffrer
-à l'aide de leurs clefs publiques. Seules leurs clefs privées seront
-capables de déchiffrer le message.
-
-GnuPG est pratique pour signer de manière numérique les choses.
-Les éléments qui sont chiffrés à l'aide de la clef publique ne peuvent
-être déchiffrés que par la clef publique, ce qui permet de signer
-des documents. On commence par produire un hachage, une sorte
-d'empreinte à taille fixe d'un document (de taille variable). Ensuite,
-votre clef privée est utilisée pour chiffrer ce hachage. Par la suite,
-toute personne disposant de votre clef publique et du document
-peut vérifier si le hachage du document correspond bien au
-déchiffrement du hachage, obtenu par votre clef publique dont
-disposent vos destinataires.
-
-Un trousseau de clefs n'est qu'un gros fichier (selon le nombre de
-clefs qu'il contient). Vous avez un trousseau de clefs publiques
-qui contient vos clefs publiques et celles de vos amis. Vous avez
-également un trousseau de clefs privées qui ne contient que vos
-clefs privées (chiffrées et protégées par votre phrase-passe). Vous
-devez faire très *attention* à ce fichier. Personne ne devra jamais
-y avoir accès et la phrase-passe qui le protège devra être
-complexe, et longue afin de bien protéger le secret.
-
-Vous pouvez aussi chiffrer des données de manière conventionnelle,
-en utilisant l'option "-c" de GnuPG. Dans ce cas, la phrase-passe
-utilisée servira de clef pour protéger le message. Aucun usage
-de clef publique ou de clef privée ici : il s'agit d'un chiffrement
-classique où il n'existe qu'une seule clef, utilisée pour chiffrer et
-déchiffrer les données. Généralement, on utilise cette méthode
-pour chiffrer ses propres documents à l'aide d'une phrase-passe
-secrète qui vous est propre. Cette méthode de chiffrement ne
-doit être utilisée pour des communications que si vous avez
-physiquement rencontré vos destinataires et que vous partagez
-dans le plus grand secret la phrase-passe (votre propre époux ou
-épouse, ou un ami de confiance). L'avantage est que vous pouvez
-changer de temps en temps la phrase-passe et en réduire le
-risque afin qu'en cas de découverte de la phrase-passe toutes
-vos données ne soient pas lisibles ;-)
-
-Vous pouvez ajouter et copier des clefs depuis votre trousseau
-de clefs publiques à l'aide des commandes "gpg --import" et
-"gpg --export". Vous pouvez également (ATTENTION !!) exporter
-vos clefs privées à l'aide de la commande : "gpg --export-secret-keys"
-mais ce n'est généralement pas utile sauf si vous devez déplacer
-vos clefs privées d'une machine à l'autre.
-
-Les clefs peuvent être signées à l'aide de l'option "gpg --edit-key". Lorsque
-vous signez une clef, vous certifiez que la clef appartient selon vous
-à la personne dont l'identité se trouve mentionnée dans la clef. Vous
-devez absolument être sûr(e) que la clef appartient bien à cette
-personne, sans le moindre doute. Vous devez vérifier son fingerprint
-à l'aide de la commande :
-
-gpg --fingerprint userid
-
-Et recevoir le même finger par téléphone ou de visu par la personne
-concernée. Généralement, on procède à des "fêtes" où chaque personne
-amène sa pièce d'identité, une carte de visite comprenant le fingerprint
-et l'on procède à un échange des fingerprint, ou directement des clefs.
-
-Vous pouvez également utiliser l'option "-o filename" pour forcer
-la sortie vers le fichier "filename". Pour forcer une sortie en console
-par défaut on utilise un tiret. La commande "-r" permet de spécifier
-le destinataire (avec quelle clef publique vous allez chiffrer) en ligne
-de commande au lieu d'avoir à taper le nom du destinataire dans
-le mode interactif.
-
-Autre chose d'importance. Par défaut, TOUTES les données sont chiffrées
-dans un format binaire particulier; Si vous souhaitez transmettre les données
-par courrier électronique (par exemple) vous devez les protéger dans
-un format d'amure qu'on appelle ASCII ARMOR. Ce format sera obtenu
-en utilisant l'option "-a" mais la méthode préférée reste d'utiliser
-un client de messagerie respectueux du format MIME comme Mutt, Pine
-et bien d'autres.
-
-Enfin, il existe une petite faille de sécurité dans OpenPGP (et donc dans PGP)
-et vous devriez TOUJOURS chiffrer PUIS signer un message. Il ne faut
-pas seulement chiffrer afin d'être totalement protégé. N'oubliez jamais.
-
-7.2) Pourquoi certaines signatures avec une clef ELG-E sont valides ?
-
-Ces clefs ElGamal furent produites par GnuPG en version 3 de paquets
-(selon le RFC 1991). Le brouillon OpenPGP a été modifié par la suite
-afin de modifier l'identifiant d'algorithme pour les clefs ElGamal qui est
-utilisable pour les signatures et le chiffrement des modes 16 à 20.
-GnuPG utilise le mode 20 quand il produit ses nouvelles clefs ElGamal
-mais il accepte toujours les clefs de type 16 qui selon le standard
-OpenPGP ne peuvent servir qu'au chiffrement, si la clef se trouve
-dans un paquet en version 3 du format. GnuPG est le seul programme
-ayant jamais utilisé les clefs au sein de paquets v3 - vous ne risquez
-donc pas grand chose.
-
-7.3) Comment tout le système de confiance fonctionne au juste ?
-
-Il fonctionne d'une manière proche de PGP. La différence c'est que
-la confiance est calculée uniquement lorsqu'elle est requise. C'est
-pourquoi la TrustDB contient une liste des signatures de clefs
-valides. Si vous ne fonctionnez pas en mode batch, vous devrez
-assigner un paramètre de confiance aux clefs (un ownertrust).
-
-Vous pouvez consulter la validité (la valeur de confiance
-calculée) en utilisant cette commande :
-
- gpg --list-keys --with-colons
-
-Si le premier champ est "pub" ou "uid" le second champ vous
-indiquera le niveau de confiance :
-
-o = Inconnu (cette clef est nouvelle au système)
-i = La clef est invalide (eg. il manque sa propre signature)
-d = La clef a été désactivée
-r = La clef a été révoquée
-e = La clef a expiré
-q = Non-défini (pas de valeur attribuée)
-n = Ne jamais faire confiance à cette clef
-m = Cette clef dispose d'une confiance marginale
-f = Cette clef dispose d'une confiance totale
-u = Cette clef dispose d'une confiance ultime. Cette valeur
- n'est utilisée que pour les clefs où la clef secrète est
- également disponibles.
-
-La valeur dans l'enregistrement "pub" est la meilleure valeur
-obtenue depuis les enregistrements "uid".
-
-Vous pouvez obtenir la liste des valeurs de confiance attribuées ;
-i.e. la confiance que vous accordez aux autres lorsqu'il s'agit
-de signer la clef d'un autre individu) :
-
- gpg --list-ownertrust
-
-Le premier champ est le fingerprint de la clef primaire, le second
-champ est la valeur assignée :
-
-_ = Aucune valeur d'ownertrust assignée
-n = Ne jamais faire confiance au propriétaire de cette clef
- lorsqu'il s'agit de vérifier d'autres signatures.
-m = Une confiance marginale est accordée au détenteur de cette clef
- lorsqu'il s'agit de signer d'autres clefs.
-f = Assumer que le détenteur de cette clef est une personne de confiance
- lorsqu'il s'agit de signer des clefs.
-u = Nous n'avons pas besoin de nous faire confiance à nous-même puisque
- nous détenons notre propre clef privée.
-
-Vous devez conserver ces valeurs confidentielles, car elles représentent
-la confiance que vous accordez ou non à d'autres individus. PGP stocke
-cette information au sein de trousseau de clefs et le publier n'est PAS
-une bonne idée. Vous devez utiliser la commande d'exportation pour
-transmettre des clefs. Quoi qu'il en soit, GnuPG
-évite ces problèmes en ne conservant ces valeurs qu'aun sein de sa
-TrustDB donc vous pouvez copier un trousseau de clefs publiques
-si vous utilisez GnuPG (et nous disposons aussi de la commande
-d'exportation).
-
-7.4) Quel est ce genre de sortie : "key C26EE891.298, uid 09FB: ...."?
-
-Cette sortie est la représentation interne d'un userid au sein
-de la TrustDB. Le keyid est "C26EE891" et le "298" est le keyid local,
-un simple numéro d'enregistrement dans la TrustDB. Enfin, le "09FB"
-sont les deux derniers octets d'un ripe-md-160 de l'identifiant de
-l'utilisateur pour cette clef.
-
-7.5) Comment interpréter certaines sorties informatives ?
-
-Lorsque vous vérifiez la validité d'une clef, GnuPG affiche
-parfois une information préfixée par l'information en rapport
-avec le sujet vérifié. Par exemple : "key 12345678.3456" indique
-que la clef disposant de l'ID 12345678, et du numéro interne 3456
-est considérée au sein de la TrustDB au sein de ce qu'on
-appelle un enregistrement "directory". Un "uid 12345678.3456/ACDE"
-indique quel est l'identifiant d'utilisateur qui correspond
-à cette clef. Il s'agit d'une information sur la signature de la
-clef 9A8B7C6D disposant de cet ID et s'il s'agit d'une signature
-directe sur la clef, la partie User ID sera vide :
-
-(..//..)
-
-7.6) Les lignes d'en-tête des messages font-elles parties des
- éléments signés ?
-
-Non. Par exemple, vous pouvez retirer les lignes "Comment:"
-Elles n'ont pas vraiment d'objet comme les lignes "header" des
-courriers électroniques. Toutefois, une ligne qui débute par
-"Hash: ..." est requise par les signatures OpenPGP afin de permettre
-au parser de déterminer quel algorithme de hachage utiliser.
-
-7.7) Quelle est la liste des algorithmes préférés ?
-
-La liste des algorithmes préférés est une liste d'algorithmes
-de chiffrement, de hachage et de compression stockés dans
-la signature propre de la clef durant sa production. Lorsque
-vous chiffrez un document, GnuPG utilise cette liste (elle fait
-partie de la clef publique) pour déterminer quels algorithmes
-doivent être utilisés. De manière basique, ces indications
-expliquent aux autres utilisateurs quels algorithmes vous
-acceptez en entrée avec un ordre de préférence.
-
-7.8) Comment puis-je changer la liste des algorithmes préférés ?
-
-Actuellement la liste et les préférences sont directement intégrées
-dans les codes sources de GnuPG. Vous devrez modifier le fichier
-g10/keygen afin de modifier cette liste et procéder à une
-nouvelle compilation. La fonction que vous devrez modifier est
-keygen_add_std_prefs. Le code est d'ailleurs assez simple à
-comprendre. Les constantes utilisées pour différencier les
-algorithmes sont définies au sein du fichier include/cipher.h
-
-Après avoir modifié ces fichiers, générez une nouvelle paire
-de clefs (ou une nouvelle sous-clef de chiffrement) avec
-la version modifiée de l'exécutable. La nouvelle clef disposera
-des nouvelles préférences et pourra être utilisée depuis des
-exécutables non modifiés.
-
-Pour modifier les préférénces d'une clef existante, vous devrez
-utiliser un exécutable modifié (voir ci-dessus) afin de modifier
-la date d'expiration puis sauvegardez les changements. Les
-préférences seront automatiquement modifiées lors de la
-sauvegarde et vous pouvez désormais utiliser la clef modifiée
-avec tout exécutable, modifié ou non.
-
-La modification de la liste de préférences à l'aide d'une
-version non-modifiée de GnuPG (probablement depuis le menu
-d'édition) fait partie de la liste TODO (A FAIRE) prévue
-pour les prochaines versions de GnuPG.
-
-
-8. REMERCIEMENTS
-
-Nous souhaitons remercier Werker Kosh pour la rédaction de la
-première FAQ originelle et pour tous les participants aux listes
-de discussion gnupg-users et gnupg-devel. La quasi-totalité
-des réponses de ce document proviennent de leurs efforts.
-
-Nous souhaitons également remercier Casper Dik pour nous
-avoir fourni le script permettant de générer cette FAQ,
-qu'il utilise d'autre part pour son excellente FAQ Solaris2 ;-)
-
-Copyright (C) 2000 Free Software Foundation, Inc. ,
-59 Temple Place - Suite 330, Boston, MA 02111, USA
-
-Verbatim copying and distribution of this entire article is permitted in
-any medium, provided this notice is preserved.
generated by cgit v1.2.3 (git 2.25.1) at 2025-06-15 10:42:55 +0000