GnuPG 2.2.20 simplifie la gestion des clés publiques dès le premier contact : comment ça marche ?

La bonne solution est souvent low tech 19
image dediée
Applications TUTO
David Legrand

Si une personne vous envoie un message signé via GPG mais que vous n'avez pas sa clé publique pour en vérifier la validité, comment faire ? Vous pouvez la récupérer en ligne ou elle peut être présente en pièce jointe. Mais dans ce dernier cas, l'import n'est pas toujours très simple. Un problème qui fait désormais partie du passé.

Les développeurs de GnuPG viennent de publier la version 2.2.20 de l'outil de chiffrement. Comme nous l'évoquions dans #LeBrief, elle apporte quelques correctifs et améliorations, mais surtout deux paramètres basés sur les règles Autocrypt, devant guider les développeurs dans la conception de solutions de chiffrement plus simples.

C'est l'un des sujets sur lequel l'équipe de GPG travaille le plus ces dernières années. La version 2.2 mise en ligne en 2017 intégrait ainsi les mécaniques TOFU (Trust On First Use) et Web Key Service/Directory pour simplifier la découverte des clés publiques de manière décentralisée. Aujourd'hui, l'idée est de proposer une solution similaire, mais plus directe.

En effet, l'idée est de permettre à chacun de signer un message tout en intégrant sa clé publique à la signature, plutôt que de fournir ces deux éléments de manière séparée. Ainsi, le destinataire peut vérifier la validité du message même en cas de premier contact, puis répondre de manière chiffrée, l'import de la clé publique étant automatisé.

Un dispositif qui doit encore être intégré à des plugins tels que GpgOL pour Outlook, mais qui est prometteur. Voici un petit guide d'utilisation, en ligne de commandes pour le moment.

Générer une signature en intégrant sa clé publique

Lisez la suite : 82 % de ce contenu reste à découvrir

Seuls nos abonnés peuvent lire l'intégralité de cet article.


chargement
Chargement des commentaires...