Appliquer la notion

On se propose de vérifier la signature d'un document. Utiliser pour ce faire un shell local ou un repl Bash.

Question

Le fichier public.gpg contient une clé publique GPG d'un certain Marc Studi.

Enregistrer le fichier public.gpg sur votre ordinateur.

Importer ce fichier dans l'utilitaire gpg.

Indice

On peut utiliser l'aide de gpg pour obtenir plus facilement l'information :

1
gpg --help

Indice

L'option --import permet d'importer une clé manuellement.

Solution

On utilise :

1
gpg --import public.gpg

On obtient en sortie :

1
gpg: key 0x613572E5E3D19D73: "Grace Hopper <grace.hopper@ibm.com>" imported
2
gpg: Total number processed: 1
3
gpg:              imported: 1

Question

Vous recevez un message message.txt accompagné de sa signature signature.asc. Télécharger les deux fichiers.

Enregistrer le fichier signature.asc sur votre ordinateur.

Enregistrer le fichier message.txt sur votre ordinateur.

Vérifier la signature du fichier ci-joint. Quelle est l'adresse mail du signataire ?

Indice

Utiliser

1
gpg --verify signature.asc message.txt

Solution

L'adresse est celle de Grace Hopper : grace.hopper@ibm.com

ComplémentAttention aux usurpations d'identité !

Comme le montre cet exemple il est possible de générer une clé avec n'importe quelle adresse e-mail.

Il est donc important de vérifier la clé de l'émetteur avant de lui faire confiance.

GPG introduit un mécanisme de certifications, qui consiste grossièrement à dire « cette clé appartient bien à cette personne » grâce à des mécanismes cryptographiques. Si une clé est suffisamment certifiée par plusieurs personnes, on pourra lui faire confiance.

Stéphane Crozat, Marc Damie, Quentin Duchemin Paternité - Partage des Conditions Initiales à l'Identique