Cas concret
Un cas concret, maintenant. Vous (Alice) m'avez envoyé un mail, nous faisons connaissance et sympathisons. Nous souhaitons à un moment, discuter de choses personnelles, que nous voulons garder discrètes. Ainsi, vous souhaitez m'envoyer un fichier texte, contenant des informations personnelles, et par conséquent chiffré. Cela veut dire que seul moi pourrait le lire, grâce à ma clef privée. Le texte est le suivant :
Bonjour Boris ; Comme convenu, je t'envoie ma prose. Il s'agit d'un haiku classique dans sa forme, sorti sans inspiration. Garde-le bien secret, car je ne souhaite pas qu'il soit divulgué ! Le printemps est là, dehors, L'hiver est bien mort mais reviendra très bientot. A+, -- Alice
Nous admettrons pour l'exemple que vous êtes Alice, avec la clef publique que nous avons créée tout à l'heure.
Donc vous allez importer ma clef dans votre trousseau. La page identité de mon site (www.chrysalice.org/identite/ vous indique que ma clef publique est disponible sur le serveur pgp.mit.edu, et que mon identifiant est 37A1AD8A. Dans un premier temps, nous pouvons aller vérifier à la main si mon nom (Boris Baldassari) est bien dans la base de données, en allant sur le site pgp.mit.edu. Bon. Il y est. Le mieux, dès lors, est de demander à gnupg d'aller directement le chercher sur le site. Cela se fait par la commande 'gpg --keyserver keyserver --recv-keys ID', où keyserver est le serveur de clef pgp.mit.edu est l'ID est 37A1AD8A.
[alice@localhost]$ gpg --keyserver pgp.mit.edu --recv-keys 37A1AD8A gpg: clé 37A1AD8A: clé publique «Baldassari Boris <boris.baldassari@chrysalice.org>» importée gpg: Quantité totale traitée: 1 gpg: importée: 1
[alice@localhost]$ gpg --list-keys 37A1AD8A pub 1024D/37A1AD8A 2003-06-03 Baldassari Boris <boris.baldassari@chrysalice.org> uid Baldassari Boris <boris@chrysalice.org> sub 2048g/321A34A4 2003-06-03
GnuPG nous indique que la clef a bien été reçue, ce qui nous est confirmé par l'apparition correcte du nom. Vous me téléphonez, ou mieux nous nous donnons rendez-vous pour vérifier ensemble que cette clef est bien la mienne. La corrélation est avérée.
Nous allons pouvoir chiffrer le fichier, enregistré sous le nom «lettre.txt». Nous utilisons trois options : l'action à effectuer (--encrypt), le destinataire du message puisque nous utilisons sa clef publique (--recipient 37A1AD8A) et le fichier de sortie (--output lettre.txt.gpg).
[alice@localhost]$ gpg --encrypt --recipient 37A1AD8A --output lettre.txt.gpg lettre.txt
gpg: 321A34A4: Rien ne dit que la clé appartient vraiment au propriétaire.
2048g/321A34A4 2003-06-03 «Baldassari Boris <boris.baldassari@chrysalice.org>»
Empreinte de la clé principale: B866 3850 EE6E 5E19 1867 8671 210A B3FA 37A1 AD8A
Empreinte de la sous-clé: 9057 9F5B 352F 47A1 F4D9 6AB1 71B0 4447 321A 34A4
Il n'est PAS certain que la clé appartient à sos propriétaire.
Si vous savez *vraiment* ce que vous faites, vous pouvez répondre
oui à la prochaine question
Utiliser cette clé quand même ? oui
[alice@localhost]$
GnuPG s'inquiète de la confiance que vous accorderez à cette clef publique. De fait, rien ne justifie que cette clef soit la mienne, quelqu'un aurait pu la mettre sur le serveur de clef sous mon nom... Là, en l'occurence, l'empreinte est fournie sur le site, et vous pouvez me téléphoner pour vous assurer qu'elle est correcte. Vous pouvez donc répondre oui.
[alice@localhost]$ ls lettre.txt lettre.txt.gpg
Vous pouvez ensuite m'envoyer ce dernier fichier (lettre.txt.gpg) tel quel. Un intrus pouvant intercepter nos communications n'y verra qu'une suite de caractères inaffichables et incompréhensibles. Pour le lire, j'utiliserai la commande (gpg --output fichier_clair.txt --decrypt texte_chiffre.txt.gpg'.
[boris@debianhome:~]$ gpg --output lettre.txt --decrypt lettre.txt.gpg
Vous avez besoin d'un mot de passe pour déverrouiller la clé secrète pour
l'utilisateur: «Baldassari Boris <boris.baldassari@chrysalice.org>»
clé de 2048 bits ELG-E, ID 321A34A4, créée le 2003-06-03 (ID clé principale 37A1AD8A)
gpg: chiffré avec une clé de 2048 bits ELG-E, ID 321A34A4, créée le 2003-06-03
«Baldassari Boris <boris.baldassari@chrysalice.org>»
[boris@debianhome:~]$ less lettre.txt Bonjour Boris ; Comme convenu, je t'envoie ma prose. Il s'agit d'un haiku classique dans sa forme, sorti sans inspiration. Garde-le bien secret, car je ne souhaite pas qu'il soit divulgué ! Le printemps est là, dehors, L'hiver est bien mort mais reviendra très bientot. A+, -- Alice