Guide d'autodéfense numérique

Mises à jour : les logiciels évoluent, c'est pourquoi il est vivement conseillé d'utiliser la version la plus à jour de cet outil, qui est disponible sur le site web https://guide.boum.org/.

Durée : quelques minutes.

Une fois qu'on a établi une confiance en la clé d'Alice, il est utile d'informer OpenPGP qu'il peut faire confiance à sa clé. Cette opération s'appelle Signer une clé. La procédure est la même sous Tails ou avec une Debian chiffrée.

Deux options s'offrent à nous :

  • signer la clé d'Alice localement, ce qui permet de ne pas publier que notre identité est « liée » à celle d'Alice ;
  • signer la clé d'Alice publiquement, ce qui permet à n'importe quel utilisateur de la toile de confiance de profiter des vérifications qu'on a faites.

Encore une fois, pas de bonne réponse, mais un choix à faire en fonction de nos besoins et de notre modèle de risques.

Pour signer une clé, rendez vous dans Mots de passes et clés, en appuyant sur la touche ( sur un Mac) pour ouvrir la vue d'ensemble des activités puis en tapant mots, et enfin cliquer sur le logiciel correspondant.

Pour voir les clés OpenPGP cliquer sur le menu AffichageTout afficher et cocher la case Par trousseau du même menu.

Si la clé n'est pas présente, l'importer.

Une fois la clé d'Alice repérée dans la fenêtre principale, double-cliquer dessus pour afficher les détails de la clé. Vérifier que c'est la bonne clé, par exemple en vérifiant son empreinte dans l'onglet Détails. Choisir ensuite l'onglet Confiance puis cliquer sur Signer la clé.

Choisir avec quelle précaution on a vérifié la clé, par exemple Superficiellement si on a vérifié l'empreinte par téléphone, ou Très sérieusement si on connaît bien Alice et qu'elle nous a donné sa clé ou son empreinte en main propre.

En bas de la fenêtre, cliquer sur Les autres ne peuvent pas voir cette signature si l'on souhaite cacher les liens entre notre identité et Alice.

Cliquer ensuite sur Signer, et saisir la phrase de passe de notre clé privée dans la boîte de dialogue qui s'affiche.

Une fenêtre Impossible de signer la clé peut apparaître, cliquer alors sur Fermer et recommencer l'opération de signature à l'étape précédente.

OpenPGP sait maintenant qu'on a confiance en la clé d'Alice.

Si la clé d'Alice est déjà présente sur les serveurs de clés, qu'on l'a signé publiquement et que l'on désire ajouter notre lien à la toile de confiance, on pourra publier sa clé sur les serveurs de clés après l'avoir signée.