Skip to main content

A ce stade, si vous avez répété l'étape précédente plusieurs fois, vous devriez avoir toutes vos connaissances dans votre trousseau :



Pour chacune de ces connaissances la confiance en leur clef est minimale car elles n'ont pas été signées. C'est a dire que vous n'avez pas encore garantit que cette clef est bien celle de celui ou celle auquel elle prétend appartenir. Pour signer la clef de Stuut Oufti, commencons par consulter sa clef. Double cliquez sur sa clef, vous obtiendrez quelque chose comme ceci :



Vous avez toutes les options disponibles. Première constatation, on peut inclure sa photo dans sa clef GnuPG, au format jpeg ou png. C'est pratique. Mais le plus important ici est le champs "Empreinte". Cette série de lettre et de chiffres est la véritable carte d'identité de cette clef.

Pour valider l'appartenance de la clef, contactez, ou mieux, rencontrez le détenteur de la clef, demandez lui son empreinte ("fingerprint" en anglais), ainsi qu'une preuve d'identité, qui prouve qu'il est bien lui (carte d'identité, permis de conduire, ...) et vérifiez que l'empreinte que vous avez pour lui correspond bien à celle qu'il vous donne. Si c'est le cas, et qu'il est administrativement bien celui qu'il prétend être, c'est que c'est bon, vous pouvez authentifier que cette clef lui appartient bien.

Pour cela, sélectionnez la clef, et cliquer sur l'icône de signature :



Vous allez voir une alerte qui vous rapelle qu'on ne signe pas une clef à la légère :



Cliquez sur "Continuer".

Vous arriverez à une boite de dialogue qui vous demande de spécifier à quel point vous avez vérifié l'identité du propriétaire de la clef. Soyez le plus honnête possible, car ces données eront publiées par la suite sur le serveur de clef.



Une fois ceci réglé, validez votre signature. Faites de même avec les autres clefs de votre trousseau. A ce moment votre trousseau ressemblera à ceci, avec toutes les confiances au vert :

Publication des signatures :

Afin de transmettre à toute la communauté que vous, Prénom Nom, vous avez vérifié et validé la clef de Stuut Oufti, exportez à nouveau sur le serveur de clef votre clef publique comme au paragraphe précédent, mais aussi et surtout la sienne, qui comporte meintenant votre signature. Ceci étant fait, consultez à nouveau le site web du serveur. Vous devriez voir ceci :



On peut donc bien y voir que vous avez signé la clef de Stuut Oufti, garantissant ainsi sa validité. Plus une clef est signée par d'autre, plus la confiance des prochain utilisateurs de cette clef publique sera grande. Voila une des forces du système GnuPG.

Pour voire cette signature dans votre KGpg, sélectionnez la clef de Stuut et faites un clic-droit dessus, et sélectionnez "Rafraîchir les clefs depuis le serveur de clefs". Cela rechergera la clef publique ainsi que les signatures qui lui sont attachées.



Une fois que c'est fait, cliquez sur le petit + au début de la ligne de la clef : votre signature est visible ;-).



Faites cette opération régulièrement pour toutes les clefs de votre trousseau, ainsi vous aurez les dernières signatures mises à jour, et qui vous permettrons d'utiliser cs clef publiques à bon escient.

La nouvelle mailling list du lug est disponible chez tuxfamily

Pour s'y inscrire la procédure est disponible ici