Résumé

  • Ce document décrit le rationnel et les détails de mise en place de rencontres permettant aux participants de faire signer leurs clefs PGP par d’autres participants.

Public concerné

  • Ces rencontres sont destinées aux personnes déjà utilisatrices de clefs PGP et qui désirent créer ou élargir leur toile de confiance.

Les questions que vous n’allez pas manquer de vous poser au sujet de ces rencontres …

Pourquoi utiliser des clefs PGP ?

  • Les clefs PGP sont des clefs cryptographiques de type publique/privée permettant :

    • De chiffrer les communications et les documents. Seul le destinataire pourra prendre connaissance des données qui lui ont été transmises. Un tiers ayant intercepté les données aura beaucoup de mal à les décrypter.

    • De s’assurer de l’identité des personnes ou des institutions ayant créé des documents : Il est possible de vérifier l’origine des informations en utilisant la signature électronique de l’émetteur. L’usurpation d’identité est rendue très difficile par l’usage de la signature électronique.

    • De s’assurer de l’intégrité d’un document.

Pourquoi signer les clefs PGP ?

  • Pour pouvoir être facilement utilisable entre personnes ou institutions ne se connaissant pas au préalable, un système de cryptographie doit s’appuyer sur une structure de confiance.

  • Les deux structures de confiance les plus répandues sont :

    • Les structures hiérarchiques, comme par exemple la structure de confiance des clefs cryptographiques permettant de chiffrer les liaisons avec les sites internet utilisant le protocole HTTPS.

    • Les structures décentralisées en toile de confiance comme celle qui est utilisé par PGP.

  • Plus une clef PGP possède de signatures plus elle est crédible et donc moins il y de chance que son utilisateur soit un usurpateur.

Comment optimiser la signature de clefs PGP ?

  • Le plus simple est de réunir simultanément dans un même endroit plusieurs personnes désireuses de faire signer leur clef PGP.

  • Toutes les personnes présentes, si elles ont pu prouver leur identité avec un document officiel, repartiront avec une promesse de signature de leur clef PGP par tous les autres participants.

Comment va se passer la réunion de signature des clefs

  • Tous les participants à la réunion de signature se retrouvent dans le lieu prévu.

  • Les participants se présentent à l’organisateur de la réunion.

  • L’organisateur remet à chaque participant un document papier contenant les informations relatives à la clef PGP de chaque participant, par exemple :

pub   rsa4096 2017-02-14 [SC] [expires: 2018-02-14]
      7124 6BD3 91F8 FE0A 2819  B5E1 40E5 EB90 F008 BA5C
uid                      Pascal Levasseur <pascal.levasseur@topette.eu>
  • Chaque participant rencontre en face à face tous les autres participants et vérifie avec eux :

    • La correspondance entre l’identifiant utilisateur principal de la clef PGP et le document d’identité fourni par le participant;

    • Que l’empreinte de la PGP du participant figurant sur le document est bien la sienne.

Quel document prouvant mon identité dois-je apporter ?

  • Pour prouver votre identité aux autres participants vous devez vous munir d’un des documents figurant dans la liste ci-dessous :

    • Carte nationale d’identité (valide ou périmée),

    • Passeport (valide ou périmé);

    • Permis de conduire (valide).

Puis-je faire signer n’importe quelle clef PGP ?

  • Non, vous ne pouvez faire signer que la clef PGP dont l’identifiant utilisateur principal correspond au document d’identité que vous allez présenter.

La réunion de signature est terminée, que dois-je faire ?

  • Vous pouvez en profiter pour échanger avec les autres utilisateurs de clef PGP !

  • Lorsque vous rentrerez au bureau ou bien chez vous n’oubliez pas d’utiliser votre logiciel préféré pour transformer rapidement vos promesses de signatures en signatures !

Suis-je obligé de signer la clef PGP d’un participant ?

  • Non, vous gardez entièrement votre libre arbitre.

Dois-je apporter un ordinateur ou une clef USB avec moi ?

  • Non, vous n’en aurez pas besoin. Tout se fera sur du papier !

Comment faire pour m’inscrire à la prochaine réunion de signature organisée à Montpellier ?

Warning Rubrique non finalisée
  • Rendez vous à la page : http://

  • Renseignez le formulaire.

*

Comment faire pour en savoir plus concernant PGP et l’organisation de réunion de signature ?

Mise en place des rencontres de signature de clefs PGP

  • Il est proposé d’organiser une rencontre par mois.

  • Cette rencontre sera tenue en même temps et dans le même lieu que la permanence de l’association Montpel’libre au Faubourg, 15 rue du Faubourg de Nîmes, Montpellier lors des "Vendredis du Faubourg".

  • Cette rencontre se déroulera en deux parties :

    • 30 minutes consacrées au traitement des promesses de signatures de clef PGP;

    • 30 minutes d’information dédiées aux concepts des clefs PGP et à leur signature.

Communication relative aux rencontres de signature de clefs PGP

  • Pour être efficace une rencontre de signature de clefs PGP doit être préparée en amont de la réunion physique des participants.

  • Le projet disposera sur le site de Montpel’libre d’une "page" exposant :

    • Le détail du projet,

    • Le FAQ;

    • Le calendrier des rencontres.

  • Un lien sur cette "page" permettra aux personnes désireuses de participer à une rencontre de déposer les informations nécessaires à la préparation de cette rencontre :

    • Son adresse email de contact;

    • L’identifiant de la clef PGP qu’il désire faire signer.

  • Les autres associations locales avec lesquelles Montpel’libre entretient des liens (Iloth, Le BiB, Le club de la presse, etc..) seront régulièrement informées de la tenue des rencontres.

Métrique

  • L’efficacité du projet sera mesurée avec les indicateurs suivants calculés sur une période de 12 mois:

    • Nombre de clefs PGP signées lors de des rencontres (indicateur décisionnel);

    • Nombre de personnes ayant demandé des renseignements relatifs à la signature de clef PGP (indicateur qualitatif).

  • Le projet sera reconduit tel quel pour une autre période de 12 mois si au moins 20 clefs PGP ont été signées en 12 mois.

  • Un bilan d'étape sera réalisé après les 6 premiers mois.

  • Si l’objectif n’est pas atteint le projet ne sera pas supprimé mais sa mise en œuvre sera revue.

Outils utilisés

  • L’organisation des rencontres de signature de clefs PGP sera facilitée par les outils suivants :

    • Paquet Debian signing-party

      • gpgparticipants

Bibliographie