2
GNUPG : FOIRE AUX QUESTIONS
5
Dernière modification : 10 septembre 2001
6
Maintenu par : Nils Ellmenreich <nils 'at' gnupg.org>
7
Traduction : Gilbert Fernandes <gilbertf 'at' posse-press.com>
9
Ce document est la FAQ de GnuPG. La dernière version HTML est
10
disponble ici : <http://www.gnupg.org/faq.html>
12
L'index est produit automatiquement. Des erreurs peuvent donc
13
s'y trouver. Toutes les questions ne seront pas situées dans leurs
14
sections afférentes. Les suggestions quand à l'amélioration de cette
15
FAQ seront les bienvenues.
17
Veuilez envoyer vos additions et corrections au mainteneur de la FAQ.
18
Il serait plus pratique si vous pouviez fournir une réponse à inclure
19
directement dans la FAQ. Toute aide sera fortement appréciée.
21
Veuillez ne pas nous envoyer de message du type : "Ceci devrait
22
être une FAQ, quelle est la réponse ?". Si la réponse ne se trouve
23
pas dans la FAQ c'est que la question n'a pas été considérée.
24
Dans ce cas, recherchez dans les archives de la liste de
25
distribution par email.
31
1.1) Qu'est-ce que GnuPG ?
32
1.2) GnuPG est-il compatible avec PGP ?
34
2. SOURCES D'INFORMATION
35
2.1) Où puis-je trouver plus d'informations ?
36
2.2) Où puis-je obtenir GnuPG ?
39
3.1) Sur quels systèmes fonctionne GnuPG ?
40
3.2) Quel collecteur d'entropie dois-je utiliser ?
41
3.3) Comment puis-je inclure le support du RSA et de l'IDEA ?
44
4.1) Quelle est la taille de clef recommandée ?
45
4.2) Pourquoi la création de clefs est-elle aussi longue ?
46
4.3) Pourquoi tout est si lent quand je travaille sur un système distant ?
47
4.4) Quelle est la différence entre options et commandes ?
48
4.5) Je ne peux pas effacer un userid car il a déjà été effacé dans mon
49
trousseau de clefs publiques ?
50
4.6) Que sont la confiance, la validité et l'ownertrust ?
51
4.7) Comment puis-je signer un fichier de patch ?
52
4.8) Où se trouve l'option "encrypt-to-self" ?
53
4.9) Comment puis-je me débarasser de la version et du champ de commentaire
54
dans la version "armor" des messages ?
55
4.10) Que signifie le message "You are using the xxxx character set" ?
56
4.11) Comment puis-je obtenir la liste des keyid ayant servi à
58
4.12) Je ne peux plus déchiffrer mon message chiffré symétriquement (-c) avec la nouvelle
60
4.13) Comment puis-je utiliser GnuPG en environnement automatisé ?
61
4.14) Quel client email puis-je utiliser avec GnuPG ?
62
4.15) On ne peut pas avoir une librairie gpg ?
63
4.16) J'ai produit avec succès un certificat de révocation, mais comment dois-je
64
le transmettre aux serveurs de clefs ?
66
5. QUESTIONS SUR LA COMPATIBILITE
67
5.1) Comment puis-je chiffrer un message avec GnuPG pour que PGP soit capable de le déchiffrer ?
68
5.2) Comment migrer de PGP 2.x vers GnuPG ?
70
5.4) Pourquoi PGP 5.x n'est pas capable de déchiffrer les messages pour certaines clefs ?
71
5.5) Pourquoi PGP 5.x ne peut vérifier mes messages ?
72
5.6) Comment puis-je transférer mes valeurs de confiance de PGP vers GnuPG ?
73
5.7) PGP n'aime pas ma clef privée.
75
6. PROBLEMES ET MESSAGES D'ERREUR
76
6.1) Pourquoi GnupG me dit sans cesse "Warning : using insecure memory!" ?
77
6.2) Le support des fichiers de grande taille ne fonctionne pas ..
78
6.3) Dans le menu d'édition les valeurs de confiance ne sont pas affichées
79
correctement après la signature des uid : pourquoi ?
80
6.4) Que signifie "skipping pubkey 1: already loaded" ?
81
6.5) GnuPG 1.0.4 ne tient pas compte de ~/.gnupg ...
82
6.6) Une signature ElGamal ne vérifie plus rien depuis la 1.0.2 ..
83
6.7) Les anciennes versions de GnuPG ne vérifient pas les anciennes
85
6.8) Lorsque j'utilise --clearsign le texte en clair comporte parfois des
86
tirets supplémentaires : pourquoi ?
87
6.9) Que signifie "can't handle multiple signatures" ?
88
6.10) Si je soumet une clef au serveur de clefs, rien ne survient !
89
6.11) J'obtiens un "gpg: waiting for lock ..."
90
6.12) Les anciennes versions de GnuPG (e.g. 1.0) ont des problèmes
91
avec les clefs de GnuPG récents ..
92
6.13) Avec GnuPG 1.0.4 j'obtiens un "this cipher algorithm is deprecated ..."
93
6.14) Les dates sont affichées par ????-??-??, pourquoi ?
94
6.15) J'ai encore un problème, dois-je produire un message de bogue ?
95
6.16) Pourquoi GnuPG ne supporte pas les certificats X.509 ?
98
7.1) Comment tout cela fonctionne-t-il ?
99
7.2) Pourquoi certaines signatures avec une clef ELG-E sont valides ?
100
7.3) Comment tout le système de confiance fonctionne au juste ?
101
7.4) Quel est ce genre de sortie : "key C26EE891.298, uid 09FB: ...."?
102
7.5) Comment interpréter certaines sorties informatives ?
103
7.6) Les lignes d'en-tête des messages font-elles parties des éléments signés ?
104
7.7) Quelle est la liste des algorithmes préférés ?
105
7.8) Comment puis-je changer la liste des algorithmes préférés ?
113
1.1) Qu'est-ce que GnuPG ?
115
GnuPG signifie GNU Privacy Guard et <http://www.gnupg.org> est
116
l'outil GNU destiné aux communications protégées par chiffrement,
117
ainsi que le stockage protégé d'informations. Ce programme peut
118
être utilisé pour chiffrer des données et produire des signatures
119
numériques. Il comprend une gestion avancée des clefs et respecte
120
le standard Internet proposé OpenPGP comme décrit dans le
121
RFC 2440 : <http://www.gnupg.org/rfc2440.html> et il se destine
122
à une parfaite compatibilité avec le PGP produit par NAI Inc.
124
1.2) GnuPG est-il compatible avec PGP ?
126
En règle générale, oui. GnuPG et les distributions récentes de PGP
127
devraient respecter le standard OpenPGP et fonctionner de concert.
128
Il existe toutefois quelques problèmes d'interopérabilité. Consultez
129
les questions 5.1ff pour plus de détails.
131
2. SOURCES D'INFORMATION
133
2.1) Où puis-je trouver plus d'informations ?
135
Voici une liste de ressources en ligne :
137
<http://www.gnupg.org/docs.html>
139
Cette page regroupe la page de documentation GnuPG. Vous pouvez consulter
140
les HOWTO ainsi que le manuel de GnuPG : le GNU Privacy Handbook
141
actuellement disponible en anglais, espagnol et russe. Ce dernier offre par
142
ailleurs une présentation étendue de GnuPG. Vous trouverez aussi des
143
documentations expliquant la conversion de PGP 2.x vers GnuPG.
145
<http://lists.gnupg.org>
147
Vous trouverez ici une archive en ligne des listes de distribution par
148
courrier électronique de GnuPG. La liste la plus intéressante sera
149
probablement gnupg-users où toutes les questions en rapport avec
150
l'utilisation de GnuPG se trouvent rassemblées. Si le développement
151
vous intéresse vous consulterez avec joie la liste gnupg-devel et
152
vous pourrez également prendre contact avec les développeurs.
156
Avant de poster sur une liste, veuillez lire avec attention la FAQ et
157
toutes les documentations disponibles. D'autre part, vous devez ensuite
158
consulter les archives afin de découvrir si votre question n'a pas été
159
déjà posée et résolue. Vous épargnerez des pertes de temps et la
160
liste pourra se concentrer sur les problèmes qui n'ont pas encore
163
La distribution des sources de GnuPG comprend également un
164
sous-répertoire /doc qui contient des documentations supplémentaires
165
et ces informations seront précieuses aux hackers (pas beaucoup aux
166
utilisateurs habituels, sauf les plus curieux).
168
2.2) Où puis-je obtenir GnuPG ?
170
Vous pouvez télécharger GNU Privacy Guard depuis son FTP primaire :
174
Ou depuis l'un des mirroirs :
176
<http://www.gnupg.org/mirror.html>
178
La version actuelle est la version 1.0.6 et nous vous encourageons à migrer
179
vers cette version rapidement : elle corrige des bogues et améliore le
180
fonctionnement du programme, ainsi que votre sécurité de fait.
185
3.1) Sur quels systèmes fonctionne GnuPG ?
187
GnuPG devrait fonctionner sur tous les Unices ainsi que Windows (95, 98..) et les variantes
188
NT. Une liste de systèmes d'exploitation fonctionnels se trouve à :
190
<http://www.gnupg.org/gnupg.html#supsys>
192
3.2) Quel collecteur d'entropie dois-je utiliser ?
194
Les "bons" générateurs de nombres aléatoires sont cruciaux pour la sécurité de vos
195
chiffrements. Les différents systèmes d'exploitation proposent des valeurs
196
aléatoires de qualité variable. Linux et les systèmes *BSD produisent généralement
197
de bonnes valeurs grâce au /dev/random et cette méthode devrait rester la
198
méthode de choix pour ces systèmes. Les utilisateurs de Solaris devraient opter
199
pour pe paquetage SUNWski afin de disposer d'un /dev/random. Dans ces cas,
200
vous devriez utiliser l'option --enable-static-rnd=linux. D'autre part, il existe également
201
un dispositif au niveau kernel pour la production de valeurs aléatoires développé
204
< http://www.cosy.sbg.ac.at/~andi>
206
Ce logiciel est au stade de beta : vous ne l'utilisez que sous votre seule
209
Sur les autres systèmes, l'utilisation de l'EGC ou "Entropy Gathering Daemon"
210
se montre un bon choix. C'est un daemon écrit en Perl qui surveille l'activité du
211
système et produit des hachages permettant d'obtenir des valeurs aléatoires.
212
Vous devriez en consulter la page de téléchargement depuis :
214
<http://www.gnupg.org/download.html>
216
Pour l'utiliser vous devrez utiliser l'option --enable-static-rnd=egd
218
Si les options ci-dessus ne fonctionne pas, vous pourrez utiliser le producteur
219
d'entropie "unix". Il est *TRES* lent et il devrait être évité lorsque possible.
220
Sa qualité d'entropie laisse vraiment à désirer et vous ne devrez jamais
221
l'utiliser dans la protection de données sensibles.
223
3.3) Comment puis-je inclure le support du RSA et de l'IDEA ?
225
RSA se trouve inclus dans GnuPG depuis la version 1.0.3 et supérieures.
227
La distribution officielle de GnuPG ne comprend pas l'IDEA à cause
228
d'une restriction par brevêt. Le brevêt devrait expirer en 2007 et nous
229
attendons cette date pour l'inclure dans GnuPG.
231
Toutefois, il existe des modules officieux qui permettent de l'inclure
232
même dans les versions de GnuPG avant cette date. Ces modules
233
sont disponibles depuis :
235
<ftp://ftp.gnupg.org/pub/gcrypt/contrib/>
239
Les directives de compilation se trouvent dans les fichiers "headers" de
240
ces fichiers. Vous pourrez ensuite ajouter la ligne suivante à votre
241
fichier ~/.gnupg/options :
247
4.1) Quelle est la taille de clef recommandée ?
249
Nous vous recommandons un minimum de 1024 bits pour les clefs de type
250
DSA et également pour les signatures simples de type ElGamal. La taille
251
du hachage est probablement le lien le plus faible si la taille de la clef
252
augmente à plus de 1024 bits. Les clefs de chiffrement peuvent avoir
253
des tailles supérieures, mais vous devriez alors vérifier le fingerprint
254
de la clef de cette manière :
256
gpg --fingerprint --fingerprint <user ID>
258
Comme pour les algorithmes de clef, vous devriez vous en tenir aux
259
valeurs par défaut (i.e. les chiffrements ElGamal avec signature
260
DSA). Une clef de signature ElGamal comporte les désavantages
261
suivants : si la signature est grosse, il est difficile de créer une
262
clef correspondante utile pour les signatures et capable de résister
263
aux attaques réelles, et vous n'obtiendrez pas de sécurité
264
supplémentaire face au DSA. Il pourrait y avoir des problèmes
265
de compatibilité avec certaines versions de PGP. Il n'aura été
266
introduit que parce à l'époque, il n'était pas clair de savoir si
267
un brevêt s'appliquait ou non au DSA.
269
4.2) Pourquoi la création de clefs est-elle aussi longue ?
271
Le problème est ici que nous avons besoin d'une grande quantité d'octets aléatoires et que
272
nous devons pour ce faire collecter une certaine quantité d'entropie depuis, sous Linux,
273
le /dev/random. Il n'est pas vraiment facile de remplir l'entropie de Linux ; nous en avons
274
discuté avec Ted Ts'o et il a expliqué que la meilleure méthode pour remplir le buffer
275
n'est autre que de jouer avec votre clavier. Une bonne sécurité implique un coût.
276
Vous pouvez utiliser les touches Shift, Control, Alt en appuyant dessus de manière aléatoire,
277
d'autant que ces touches ne produisent aucune sortie à l'écran et vous pourrez accélérer
278
la production des clefs.
280
Un autre programme pourrait également consommer une partie de l'entropie du système
281
dont vous avez besoin (jettez un oeil à vos daemons actifs).
283
4.3) Pourquoi tout est si lent quand je travaille sur un système distant ?
285
Vous ne devez SURTOUT pas faire cela ! Vous ne devez jamais créer de
286
clef GnuPG sur un système distant car vous n'aurez alors aucun contrôle
287
physique sur votre clef privée, ni même votre trousseau de clefs privées.
288
Ces clefs seront alors suspectibles de subir une attaque par dictionnaire.
289
Nous vous encourageons vivement à ne produire vos clefs que sur une
290
machine personnelle (un portable déconnecté de toute alimentation
291
et connexion réseau est le meilleur choix) et si vous devez conserver
292
votre clef privée sur une machine fixe, assurez-vous qu'une phrase
293
passe solide en protège le contenu et que vous pouvez faire confiance
294
à votre administrateur système.
296
Lorsque nous devons utiliser GnuPG à distance c'est au-travers de SSH
297
et nous rencontrons le même problème. Il faut *beaucoup* de temps
298
pour produire des clefs de toute manière. Il ne faut pas créer de clefs
299
à distance. Si vous avez juste besoin de clefs à fins de tests, vous
300
pouvez utiliser l'optoin --quick-random pour produire rapidement des
301
clefs *faibles* qui permettent de vérifier quelques tests.
303
4.4) Quelle est la différence entre options et commandes ?
305
Si vous tapez 'gpg --help' vous obtiendrez deux listes séparées. La première
306
liste vous répertorie les commandes. La seconde liste regroupe elle les
307
options. A chaque fois que vous utiliserez GnuPG vous devrez utiliser
308
*UNE* commande (avec une exception, voir ci-dessous) et vous pourrez
309
utiliser une ou *plusieurs* options en combinaison avec la commande.
311
Par convention, la commande doit se trouver à la fin de la liste d'arguments
312
après toutes les options. Si la commande requiert un nom de fichier,
313
ce dernier sera donné à GnuPG en *dernier* sur la ligne de commande.
315
L'usage basique de GnuPG est donc :
317
gpg [--option something] [--option2] [--option3 something] --command file
319
Certaines options demandent des arguments. Par exemple, l'option
320
--output (que l'on peut raccourcir par -o) requiert un nom de fichier
321
en argument. L'argument de l'option doit suivre celle-ci immédiatement !
322
GnuPG ne sera sinon pas capable de différencier le nom de fichier comme
323
option. Comme option, --output et son nom de fichier doivent se trouver
324
avant la commande donnée à GnuPG. L'option --recipient (ou -r) demande
325
un nom ou un keyID pour chiffrer le message et ces informations devront
326
imméditamenet suivre l'option --recipient/-r. La commande --encrypt ou
327
-e sera fournie après ces options, avec en final le nom du fichier à
328
chiffrer. En voici un exemple :
330
gpg -r alice -o secret.txt -e test.txt
332
Mais l'utilisation des options sous leur forme longue permet de simplifier
333
la compréhension des lignes de commande :
335
gpg --recipient alice --output secret.txt --encrypt test.txt
337
Si vous sauvez dans un fichier nommé ".txt" alors vous devriez probablement
338
utiliser l'option ARMOR en ajoutant l'option --armor ou -a qui ne prend aucun
341
gpg --armor --recipient alice --output secret.txt --encrypt test.txt
343
Si nous plaçons des crochets autour des parties optionnelles, les choses
344
deviennent plus claires :
346
gpg [--armor] [--recipient alice] [--output secret.txt] --encrypt test.txt
348
Les parties entre crochets peuvent être placées dans l'ordre de votre
351
gpg --output secret.txt --recipient alice --armor --encrypt test.txt
353
Si votre nom de fichier commence par un tiret, GnuPG risque de penser
354
qu'il s'agit d'un paramètre et pour éviter cette situation vous pouvez
355
soit utiliser un "./-a.txt" soit utiliser un double-tiret comme ceci :
359
* L'exception concerne le chiffrement ET la signature au même moment.
360
On utilise alors gpg [--options] --sign --encrypt foo.txt
362
4.5) Je ne peux pas effacer un userid car il a déjà été effacé dans mon
363
trousseau de clefs publiques ?
365
Comme vous ne pouvez sélectionner que depuis le trousseau de clefs
366
publiques, vous ne pouvez pas directement effacer le userid. Toutefois,
367
ce n'est pas très compliqué à faire. Vous devez créer un nouvel
368
utilisateur, disposant du même userid ce qui vous permet d'obtenir deux
369
utilisateurs identiques avec un seul disposant d'une correspondance
370
dans la clef privée. Vous pouvez désormais sélectionner cet utilisateur
371
et l'effacer. Les deux identifiants seront affacés du trousseau de clefs
374
4.6) Que sont la confiance, la validité et l'ownertrust ?
376
Le terme "ownertrust" est utilisé en remplacement de "trust" lorsqu'il
377
s'agit de la valeur que vous avez attribuée à une clef en fonction
378
du degré de confiance que vous accordez à son propriétaire, et si
379
vous l'autorisez à introduire de nouvelles clefs avec votre signature
380
jointe. La "validité" est un terme de confiance calculée, une valeur
381
numérique calculée par GnuPG en fonction des paramètres de
382
confiance des clefs et vous donne une idée de la confiance que
383
GnuPG attribue ou n'attribue pas à une clef et s'il estime que la clef
384
est valide pour un usage de chiffrement. Pour plus de détails consultez
385
le chapître "The web of trust"
387
4.7) Comment puis-je signer un fichier de patch ?
389
Vous pouvez utiliser :
391
gpg --clearsign --not-dash-espaced ...
393
Le problème avec --clearsign c'est que toutes les lignes qui
394
commençent par un tiret sont "quotées" avec "- " et comme diff
395
produit beaucoup de lignes de ce type, le patch risque d'être
396
détruit par la signature. Pour utiliser un fichier patch en le signant
397
et sans perdre la signature claire, l'option spéciale :
401
Permet de supprimer la production de ces séquences d'échappement.
402
Vous ne devriez pas transmettre par courrier électronique un patch
403
de ce type car les espaces et les fins de ligne font également
404
partie de la signature et un logiciel de messagerie risque de modifier
405
l'espacement et/ou les tailles de lignes, invalidant la signature. Si vous
406
souhaitez transmettre le fichier, le plus simple reste de le signer à l'aide
409
4.8) Où se trouve l'option "encrypt-to-self" ?
413
--encrypt-to <votre_keyID>
415
Vous pouvez utiliser une combinaison de cette option pour spécifier
416
plus d'un keyID. Pour désactiver temporairement l'utilisation de clefs
417
additionnelles, vous pouvez utiliser l'option : --no-encrypt-to.
419
4.9) Comment puis-je me débarasser de la version et du champ de commentaire
420
dans la version "armor" des messages ?
422
Utilisez l'option --no-version --comment ""
424
Veuillez noter que la ligne vide laissée en place est *requise* par le format
427
4.10) Que signifie le message "You are using the xxxx character set" ?
429
Cette note est affichée lorsque une conversion UTF-8 a été réalisée.
430
Veuillez vous assurer que le jeu de caractères utilisé pour l'affichage
431
correspond bien à celui du système. Le plus utilisé reste "iso-8859-1" et
432
c'est le jeu de caractères par défaut. Vous pouvez modifier ce jeu
433
de caractères à l'aide de l'option "--charset". Il faut que le jeu de
434
caractères utilisé corresponde à celui de votre affichage ou des
435
caractères pourraient ne plus correspondre dans le message une
436
fois transmis. Sinon, n'utilisez que de l'ASCII 7 bits pour qu'aucune
437
conversion ne puisse survenir.
439
4.11) Comment puis-je obtenir la liste des keyid ayant servi à
440
chiffrer un message ?
442
gpg --batch --decrypt --list-only --status-fd 1 2>/dev/null | \
443
awk '/^\[GNUPG:\] ENC_TO / { print $3 }'
445
4.12) Je ne peux plus déchiffrer mon message chiffré symétriquement
446
(-c) avec la nouvelle version de GnuPG ?
448
Il existait un bogue dans les versions 1.0.1 et antérieures de GnuPG
449
qui surveniait lorsque 3DES ou Twofish avaient été utilisé pour des
450
chiffrements symétriques (ce qui n'a jamais été le cas par défaut).
451
Ce bogue a été corrigé afin de permettre le déchiffrement des anciens
452
messages, en utilisant l'option :
454
---emulate-3des-s2k-bug
456
Vous devriez déchiffrer puis rechiffrer (correctement) le ou les
457
messages concernés. Cette option sera retirée dans la version 1.1
458
de GnuPG : n'attendez pas pour convertir vos messages !
460
4.13) Comment puis-je utiliser GnuPG en environnement automatisé ?
462
Vous devriez utiliser l'option --batch et ne pas utiliser de phrase
463
passe car il n'existe alors aucun moyen de conserver cette
464
information de manière plus secrète que le trousseau de clefs
465
lui-même. Nous vous suggérons de créer vos clefs, en environnement
466
automatisé, de la manière suivante :
468
Sur une machine protégée :
470
Créez une sous-clef de signature pour votre clef, en utilisant le menu
471
edit et en utilisant l'option "addkeu" puis DSA. Vous devez ensuite
472
vous assurer que vous utilisez une phrase passe (requise par
473
l'implémentation actuelle) puis utiliser :
475
gpg --export-secret-subkeys --no-comment foo
478
Copiez secring.auto et le trousseau de clefs publiques dans un
479
répertoire test. Entrez dans le répertoire, puis :
481
gpg --homedir . --edit foo
483
Et utilisez "passwd" pour retirer la phrase passe des sous-clefs.
484
Vous devriez également retirer toutes les sous-clefs qui ne sont
485
pas utilisées et copier secring.auto sur une disquette et la
486
porter jusqu'à la machine cible.
488
Sur celle-ci, installez secring.auto comme trousseau de clefs
489
secrètes. Vous pouvez maintenant faire démarrer votre
490
nouveau service. C'est aussi une bonne idée que d'installer
491
un système de détection d'intrusions afin de pouvoir repérer
492
les intrusions ce qui vous permettra alors de révoquer toutes
493
les sous-clefs installées sur cette machine et de procéder à une
494
nouvelle installation de sous-clefs.
496
4.14) Quel client email puis-je utiliser avec GnuPG ?
498
Utiliser GnuPG pour le chiffrement de courrier électronique est
499
probablement l'usage le plus répandu. De nombreux logiciels de
500
messagerie (les "MUA") supportent GnuPG à divers degrés. Pour simplifier,
501
il existe deux moyens de chiffrer les emails avec GnuPG : l'ancien style
502
qui repose sur l'utilisation de l'ASCII Armor (un chiffrement classique
503
suivi par une conversion selon le RFC2015) ce qu'on appellait le
504
PGP/MIME et qui s'appelle désormais l'OpenPGP. Ce dernier supporte
505
d'autre part le MIME. Certains MUA ne supportent qu'un seul de ces
506
formats et vous devrez utiliser ce qui correspond aux capacités
507
de votre client de messagerie.
509
La liste suivante n'est probablement pas exhaustive :
511
OpenPGP: Mutt (Unix), Emacs/Mew, Becky2 (Windows avec plugin),
512
TkRat (Unix). Il y a un effort pour disposer d'un plug-in
513
Mozilla et Emacs/GNUS dispose d'un support en CVS.
515
ASCII: Emacs/{VM,GNUS}/MailCrypt, Mutt(Unix), Pine(Unix), et
516
probablement beaucoup d'autres.
518
Un bon aperçu du support de PGP se trouve à l'adresse :
520
http://cryptorights.org/pgp-users/pgp-mail-clients.html
522
Le support direct de GnuPG n'est pas indiqué, toutefois dans certains
523
cas il doit être possible d'utiliser un "wrapper".
525
4.15) On ne peut pas avoir une librairie gpg ?
527
Cette question aura souvent été posée. Toutefois, le point de vue
528
actuel est que GnuPG en tant que librairie risque de conduire à des
529
problèmes de sécurité. Dans un futur proche, GnuPG ne sera pas
530
implémenté sous forme de librairie. Toutefois, pour quelques domaines
531
d'application le programme gpgme doit pouvoir assurer ces questions.
532
Vous pouvez obtenir ce programme depuis :
534
ftp://ftp.guug.de/pub/gcrypt/alpha/gpgme
537
4.16) J'ai produit avec succès un certificat de révocation, mais comment
538
dois-je le transmettre aux serveurs de clefs ?
540
La plupart des serveurs de clefs n'accepteront pas une simple et "dure"
541
révocation. Vous devez d'abord importer le certificat dans GnuPG :
543
gpg --import my-revocation.asc
545
Puis transmettre la révocation au serveurs de clefs :
547
gpg --keyserver certserver.pgp.com --send-keys mykeyid
549
5. COMPATIBILITY ISSUES
551
5.1) Comment puis-je chiffrer un message avec GnuPG pour que PGP
552
soit capable de le déchiffrer ?
554
Tout ceci dépend de la version de PGP.
558
Vous ne pourrez pas dans ce cas, car PGP 2.x utilise l'IDEA qui n'est
559
pas un algorithme supporté par GnuPG à cause de son brevêt (voir
560
la section 3.3) mais si vous disposez d'une version modifiée de PGP
561
vous pouvez essayer ceci :
563
gpg --rfc1991 --cipher-algo 3des ...
565
Attention ! N'utlisez pas de pipe des données à chiffrer vers gpg,
566
mais donnez à gpg un nom de fichier sinon PGP 2 ne sera pas
567
capable de le prendre en charge.
569
Quand à ce qui concerne le chiffrement conventionnel, vous ne
570
pouvez l'obtenir avec PGP 2.
573
PGP 5.x et ultérieurs
575
Vous devrez utiliser deux options additionnelles :
577
--compress-algo 1 --cipher-algo cast5
579
Vous devrez parfois utiliser "3des" au lieu de "cast5". PGP 5 ne
580
supporte pas l'algorithme "blowfish". Vous devrez aussi insérer
581
un "compress-algo 1" au sein de votre fichier ~/.gnupg/options
582
et ceci n'affectera pas le fonctionnement général de GnuPG.
584
Ceci s'applique également au chiffrement conventionnel.
586
5.2) Comment migrer de PGP 2.x vers GnuPG ?
588
PGP 2 utilise les algorithmes RSA et IDEA pour le chiffrement. Depuis que le
589
brevêt sur le RSA a expiré GnuPG incorpore ce dernier, depuis la version
590
1.0.3 et ultérieures. L'algorithme IDEA reste sous brevêt jusqu'en 2007.
591
Sous certaines conditions vous pouvez utiliser l'IDEA, même aujourd'hui.
592
Dans ce cas, vous devriez consulter la réponse à la question 3.3 qui
593
explique l'ajout du support de l'IDEA à GnuPG et également lire ce
596
http://www.gnupg.org/gph/en/pgp2x.html
598
Pour procéder à la migration.
604
5.4) Pourquoi PGP 5.x n'est pas capable de déchiffrer les messages
605
pour certaines clefs ?
607
PGP Inc refuse d'accepter les clefs ElGamal de type 20 même pour
608
le chiffrement. Ils ne supportent que le type 16 (qui est identifique en tout
609
cas en ce qui concerne le déchiffrement). Pour être plus inter-opérable,
610
GnuPG (depuis la version 0.3.3) utilise également le type 16 pour la sous-
611
clef ElGamal qui est créée par l'algorithme par défaut. Vous pouvez
612
aussi ajouter une clef de type 16 à votre trousseau de clefs publiques
613
tout en assurant que vos signatures sont valides.
615
5.5) Pourquoi PGP 5.x ne peut vérifier mes messages ?
617
PGP 5.x n'accepte pas les signatures en version 4 pour les données
618
mais OpenPGP demande la production de clefs V4 pour tous les types
619
de données et c'est pourquoi GnuPG les utilise... Vous devrez utiliser
620
l'option --force-v3-sigs pour produir'e des signatures V3 sur les
623
5.6) Comment puis-je transférer mes valeurs de confiance de
626
Il existe un script au sein du répertoire tools qui pourra vous aider. Après
627
avoir importé le trousseau de clefs publiques PGP vous pouvez utiliser
630
$ lspgpot pgpkeyring | gpg --import-ownertrust
632
où "pgpkeyring" est le trousseau de clefs originels et NON celui de GnuPG
633
que vous avez produit à la première étape.
635
5.7) PGP n'aime pas ma clef privée.
637
Les anciens PGP échouent parfois au traitement des commentaires privés
638
sur les paquets utilisés par GnuPG. Ces paquets sont en *totale* conformité
639
avec OpenPGP mais vous l'aurez compris, PGP n'est pas vraiment soucieux
640
d'OpenPGP. Pour contourner ce problème il faut exporter les clefs privées
641
à l'aide de cette commande :
643
$ gpg --export-secret-keys --no-comment -a your-key-id
645
Une autre possibilité : par défaut, GnuPG chiffre votre clef privée à l'aide
646
de l'algorithme symétrique Blowfish. Les anciennes versions de PGP
647
ne peuvent comprendre que le 3DES, CAST5 ou l'IDEA sous leurs formes
648
symétriques. L'utilisation de la méthode suivante permet de rechiffrer
649
vos clefs privées à l'aide d'un algorithme différent :
651
$ gpg --s2k-cipher-algo=CAST5 --s2k-digest-algo=SHA1 \
652
--compress-algo=1 --edit-key <username>
654
Vous utiliserez alors l'option passwd pour modifier le mot de passe ; il suffit
655
de choisir la même phrase passe mais cette fois la clef sera chiffrée
656
symétriquement par du CAST5.
658
Vous pouvez maintenant exporter la clef et PGP devrait pouvoir la gérer.
660
Pour PGP 6.x les options suivantes permettent d'exporter une clef :
662
$ gpg --s2k-cipher-algo 3des --compress-algo 1 --rfc1991 \
663
--export-secret-keys <Key-ID>
665
6. PROBLEMS and ERROR MESSAGES
667
6.1) Pourquoi GnupG me dit sans cesse "Warning : using insecure memory!" ?
669
Sur beaucoup de systèmes, ce programme doit être installé en tant que
670
setuid(root). Ceci est requis afin de pouvoir produire un blocage en mémoire
671
des pages utilisées (et d'éviter tout transfert en swap ou sur disque). Ce "lock"
672
permet de verrouiller dans la pratique les informations sensibles en RAM
673
afin de conserver ces données comme secrètes. Si vous n'obtenez aucun
674
message d'erreur c'est que votre système supporte le verrouillage de pages
675
mémoire depuis l'accès root (le programme s'exécute en tant que root grâce
676
à son setuid). Le programme quitte le mode d'exécution "root" dès que les
677
pages sont verrouillées en mémoire qui plus est.
679
Sur Unixware 2.x et 7.x vous devriez installer GnuPG avec le privilège
680
"plock" pour obtenir le même effet :
682
filepriv -f plock /path/to/gpg
684
Si vous ne pouvez pas installer GnuPG en tant que setuid(root) ou si vous
685
ne voulez pas, vous pouvez utiliser l'option :
689
Ou bien le placer en tant qu'option (sans les deux tirets) dans votre
690
fichier ~/.gnupg/options ce qui permet de désactiver le warning.
692
Sur quelques systèmes (e.g; Windows) GnuPG ne verrouille pas les
693
pages en mémoire (ce n'est pas toujours possible selon les systèmes)
694
et les anciennes versions de GnuPG (1.0.4 et antérieures) produisent
695
sur ces systèmes le message d'erreur suivant :
697
gpg: Please note that you don't have secure memory
699
Cet avertissement ne peut être désactivé en utilisant l'option décrite
700
ci-dessus car nous considérons que cet avertissement forme une
701
faille de sécurité importante. Toutefois, comme il provoquait une trop
702
forte confusion auprès des utilisateurs de ces systèmes, le message
703
d'avertissement a été retiré.
705
6.2) Le support des fichiers de grande taille ne fonctionne pas ..
707
Le LFS fonctionne correctement depuis les versions 1.0.4 et ultérieures.
708
Si le configure ne le détecte pas correctement, essayez un autre
709
compilateur : egcs 1.1.2 fonctionne parfaitement mais d'autres
710
versions semblent poser problème. D'autre part, certains problèmes
711
de compilation rencontrés dans GnuPG 1.0.3 et 1.0.4 sur HP-UX et
712
Solaris étaient provoqués par un support "cassé" du LFS dans les
715
6.3) Dans le menu d'édition les valeurs de confiance ne sont pas affichées
716
correctement après la signature des uid : pourquoi ?
718
Ceci survient car certaines informations sont stockées immédiatement
719
dans la TrustDB, mais le calcul ne se réalisé qu'au moment de la
720
sauvegarde effective. Ce n'est pas un bogue vraiment facile à corriger
721
mais nous pensons régler ce problème dans une future version.
723
6.4) Que signifie "skipping pubkey 1: already loaded" ?
725
Depuis la version 1.0.3 de GnuPG l'algorithme RSA est inclus. Si vous
726
avez toujours l'option :
730
Dans votre fichier .options le message en question apparaîtra.
731
Il vous suffira de retirer la commande qui n'est plus requise
732
du fichier .options pour que le message cesse.
734
6.5) GnuPG 1.0.4 ne tient pas compte de ~/.gnupg ...
736
Ce bogue est connu et il a été corrigé dans les versions ultérieures.
738
6.6) Une signature ElGamal ne vérifie plus rien depuis la 1.0.2 ..
742
--emulate-md-encode-bug
744
Use the option --emulate-md-encode-bug.
746
6.7) Les anciennes versions de GnuPG ne vérifient pas les anciennes
749
Veuillez migrer vers la version 1.0.2 au minimum, et de préférence
750
une version ultérieure (1.0.6 par exemple).
752
6.8) Lorsque j'utilise --clearsign le texte en clair comporte parfois des
753
tirets supplémentaires : pourquoi ?
755
Ceci s'appelle le "dash-escaped" et il est requis par le format
756
OpenPGP. A chaque fois qu'une ligne commence par un tiret, ceci
757
risque de survenir. Cela permet aux programmes de retrouver
758
sans difficulté les lignes de marquage du format, comme :
760
-----BEGIN PGP SIGNATURE-----
762
Seules ces lignes doivent pouvoir commencer par deux tirets. Si vous
763
utilisez GnuPG pour traiter ces messages, les tirets supplémentaires
764
seront retirés et les clients de messagerie "corrects" devraient
765
également retirer ces tirets lorsqu'ils affichent le message.
767
6.9) Que signifie "can't handle multiple signatures" ?
769
A cause des différents formats de messages, GnuPG n'est pas toujours
770
capable de découper un fichier contenant des signatures multiples.
771
Ce message d'erreur vous informe que les données en entrée
772
comportent un problème. Le seul moyen pour disposer correctement
773
de signatures multiples revient à utiliser le standard : le format
774
OpenPGP avec les paquets "one-pass-signature" qui sont utilisés
775
par défaut par GnuPG ou bien de recourir au format de texte en clair.
777
6.10) Si je soumet une clef au serveur de clefs, rien ne survient !
779
Vous utilisez probablement GnuPG sur Windows en version 1.0.2 ou
780
antérieure. Cette fonctionnalité n'était alors pas encore disponible,
781
et il ne s'agit pas d'un bogue. Vous devriez adopter une version
782
plus récente, qui dispose de toutes les fonctionnalités :-)
784
6.11) J'obtiens un "gpg: waiting for lock ..."
786
Les anciennes versions de GnuPG ne quittaient pas correctement
787
et laissaient un fichier "lock". Allez dans le répertoire ~/.gnupg et
788
effacez les fichiers *.lock qui s'y trouvent pour continuer.
790
6.12) Les anciennes versions de GnuPG (e.g. 1.0) ont des problèmes
791
avec les clefs de GnuPG récents ..
793
Depuis la version 1.0.3 les clefs produites par GnuPG sont créées avec
794
une préférence pour Twofish (et l'AES depuis la version 1.0.4 à savoir,
795
l'algorithme Rijndael) et ceci signifie également qu'elles disposent de la
796
capacité d'utilisation de la nouvelle méthode de chiffrement MDC. Ceci
797
sera disponible dans OpenPGP très rapidement et sera supporté en
798
tout logique par PGP 7. Cette nouvelle méthode de chiffrement permet
799
de se protéger votre des attaques (des anciennes attaques en fait)
800
contre les systèmes de chiffrement du courrier électronique.
802
Ceci signifie également que les versions 1.0.3 et antérieures de GnuPG
803
auront des problèmes avec les clefs plus récentes. A cause des
804
correctifs de sécurité, vous devriez conserver votre installation
805
de GnuPG à jour de toute manière. Comme manière de régler le
806
problème vous devriez demander à GnuPG de n'utiliser que l'ancien
807
algorithme de chiffrement en utilisant la ligne :
811
dans votre fichiers d'options.
813
6.13) Avec GnuPG 1.0.4 j'obtiens un "this cipher algorithm is deprecated ..."
815
Si vous venez de produire une nouvelle clef et que vous obtenez ce message
816
pendant un chiffrement, il s'agit d'un bogue de la version 1.0.4 ; le nouvel
817
algorithme AES Rijndael est utilisé mais il n'est pas enregistré sous le bon
818
numéro d'algorithme ce qui produit ce message d'erreur "deprecated".
819
Vous pouvez ignorer cet avertissement et les versions plus récentes
820
de GnuPG sont corrigées sur ce point.
822
6.14) Les dates sont affichées par ????-??-??, pourquoi ?
824
A cause de contraintes dans la plupart des implémentations de la libc,
825
les dates au-delà de 2038-01-19 ne seront pas affichées correctement.
826
Les systèmes 64-bit ne sont pas affectés par ce problème. Pour éviter
827
d'afficher les dates de manière incorrecte, GnuPG utilise des signes
828
"?" au lieu des chiffres. Pour obtenir la valeur correcte vous devrez
831
--with-colons --fixed-list-mode
833
6.15) J'ai encore un problème, dois-je produire un message de bogue ?
835
Si vous êtes sûr(e) que le problème n'est mentionné nulle part, ni dans
836
cette FAQ ni dans aucune liste de distribution GnuPG, commencez
837
par consulter la liste de bogues qui sont en cours de traitement (la page
838
de documentation dispose d'un lien vers la page de bogues). Si vous
839
ne savez pas trop s'il s'agit d'un bogue, envoyez un courrier
840
électronique à la liste : gnupg-devel. Sinon, vous pouvez utiliser
841
le système de suivi de bogues GUUG à l'adresse :
843
http://bugs.guug.de/Reporting.html.
845
6.16) Pourquoi GnuPG ne supporte pas les certificats X.509 ?
847
GnuPG est avant tout une implémentation du standard OpenPGP,
848
défini dans le RFC 2440. Ce standard propose une infrastructure
849
complète et différente du X.509
851
Ces deux systèmes sont des cryptosystèmes à clef publique, mais
852
la manière dont les clefs sont traitées diffèrent.
856
7.1) Comment tout cela fonctionne-t-il ?
858
Pour produire une paire de clefs publique/privée, utilisez la commande
862
Puis répondez aux questions en adoptant de préférence les valeurs
865
Les données qui sont chiffrées par une clef publique ne peuvent être
866
déchiffrées que par la clef privée correspondante. La clef secrète
867
est d'autre part protégée par une phrase-passe ce qui n'est pas le cas
868
de la clef publique, librement distribuable.
870
Pour transmettre à vos amis un message, il vous suffit de le chiffrer
871
à l'aide de leurs clefs publiques. Seules leurs clefs privées seront
872
capables de déchiffrer le message.
874
GnuPG est pratique pour signer de manière numérique les choses.
875
Les éléments qui sont chiffrés à l'aide de la clef publique ne peuvent
876
être déchiffrés que par la clef publique, ce qui permet de signer
877
des documents. On commence par produire un hachage, une sorte
878
d'empreinte à taille fixe d'un document (de taille variable). Ensuite,
879
votre clef privée est utilisée pour chiffrer ce hachage. Par la suite,
880
toute personne disposant de votre clef publique et du document
881
peut vérifier si le hachage du document correspond bien au
882
déchiffrement du hachage, obtenu par votre clef publique dont
883
disposent vos destinataires.
885
Un trousseau de clefs n'est qu'un gros fichier (selon le nombre de
886
clefs qu'il contient). Vous avez un trousseau de clefs publiques
887
qui contient vos clefs publiques et celles de vos amis. Vous avez
888
également un trousseau de clefs privées qui ne contient que vos
889
clefs privées (chiffrées et protégées par votre phrase-passe). Vous
890
devez faire très *attention* à ce fichier. Personne ne devra jamais
891
y avoir accès et la phrase-passe qui le protège devra être
892
complexe, et longue afin de bien protéger le secret.
894
Vous pouvez aussi chiffrer des données de manière conventionnelle,
895
en utilisant l'option "-c" de GnuPG. Dans ce cas, la phrase-passe
896
utilisée servira de clef pour protéger le message. Aucun usage
897
de clef publique ou de clef privée ici : il s'agit d'un chiffrement
898
classique où il n'existe qu'une seule clef, utilisée pour chiffrer et
899
déchiffrer les données. Généralement, on utilise cette méthode
900
pour chiffrer ses propres documents à l'aide d'une phrase-passe
901
secrète qui vous est propre. Cette méthode de chiffrement ne
902
doit être utilisée pour des communications que si vous avez
903
physiquement rencontré vos destinataires et que vous partagez
904
dans le plus grand secret la phrase-passe (votre propre époux ou
905
épouse, ou un ami de confiance). L'avantage est que vous pouvez
906
changer de temps en temps la phrase-passe et en réduire le
907
risque afin qu'en cas de découverte de la phrase-passe toutes
908
vos données ne soient pas lisibles ;-)
910
Vous pouvez ajouter et copier des clefs depuis votre trousseau
911
de clefs publiques à l'aide des commandes "gpg --import" et
912
"gpg --export". Vous pouvez également (ATTENTION !!) exporter
913
vos clefs privées à l'aide de la commande : "gpg --export-secret-keys"
914
mais ce n'est généralement pas utile sauf si vous devez déplacer
915
vos clefs privées d'une machine à l'autre.
917
Les clefs peuvent être signées à l'aide de l'option "gpg --edit-key". Lorsque
918
vous signez une clef, vous certifiez que la clef appartient selon vous
919
à la personne dont l'identité se trouve mentionnée dans la clef. Vous
920
devez absolument être sûr(e) que la clef appartient bien à cette
921
personne, sans le moindre doute. Vous devez vérifier son fingerprint
922
à l'aide de la commande :
924
gpg --fingerprint userid
926
Et recevoir le même finger par téléphone ou de visu par la personne
927
concernée. Généralement, on procède à des "fêtes" où chaque personne
928
amène sa pièce d'identité, une carte de visite comprenant le fingerprint
929
et l'on procède à un échange des fingerprint, ou directement des clefs.
931
Vous pouvez également utiliser l'option "-o filename" pour forcer
932
la sortie vers le fichier "filename". Pour forcer une sortie en console
933
par défaut on utilise un tiret. La commande "-r" permet de spécifier
934
le destinataire (avec quelle clef publique vous allez chiffrer) en ligne
935
de commande au lieu d'avoir à taper le nom du destinataire dans
938
Autre chose d'importance. Par défaut, TOUTES les données sont chiffrées
939
dans un format binaire particulier; Si vous souhaitez transmettre les données
940
par courrier électronique (par exemple) vous devez les protéger dans
941
un format d'amure qu'on appelle ASCII ARMOR. Ce format sera obtenu
942
en utilisant l'option "-a" mais la méthode préférée reste d'utiliser
943
un client de messagerie respectueux du format MIME comme Mutt, Pine
946
Enfin, il existe une petite faille de sécurité dans OpenPGP (et donc dans PGP)
947
et vous devriez TOUJOURS chiffrer PUIS signer un message. Il ne faut
948
pas seulement chiffrer afin d'être totalement protégé. N'oubliez jamais.
950
7.2) Pourquoi certaines signatures avec une clef ELG-E sont valides ?
952
Ces clefs ElGamal furent produites par GnuPG en version 3 de paquets
953
(selon le RFC 1991). Le brouillon OpenPGP a été modifié par la suite
954
afin de modifier l'identifiant d'algorithme pour les clefs ElGamal qui est
955
utilisable pour les signatures et le chiffrement des modes 16 à 20.
956
GnuPG utilise le mode 20 quand il produit ses nouvelles clefs ElGamal
957
mais il accepte toujours les clefs de type 16 qui selon le standard
958
OpenPGP ne peuvent servir qu'au chiffrement, si la clef se trouve
959
dans un paquet en version 3 du format. GnuPG est le seul programme
960
ayant jamais utilisé les clefs au sein de paquets v3 - vous ne risquez
961
donc pas grand chose.
963
7.3) Comment tout le système de confiance fonctionne au juste ?
965
Il fonctionne d'une manière proche de PGP. La différence c'est que
966
la confiance est calculée uniquement lorsqu'elle est requise. C'est
967
pourquoi la TrustDB contient une liste des signatures de clefs
968
valides. Si vous ne fonctionnez pas en mode batch, vous devrez
969
assigner un paramètre de confiance aux clefs (un ownertrust).
971
Vous pouvez consulter la validité (la valeur de confiance
972
calculée) en utilisant cette commande :
974
gpg --list-keys --with-colons
976
Si le premier champ est "pub" ou "uid" le second champ vous
977
indiquera le niveau de confiance :
979
o = Inconnu (cette clef est nouvelle au système)
980
i = La clef est invalide (eg. il manque sa propre signature)
981
d = La clef a été désactivée
982
r = La clef a été révoquée
984
q = Non-défini (pas de valeur attribuée)
985
n = Ne jamais faire confiance à cette clef
986
m = Cette clef dispose d'une confiance marginale
987
f = Cette clef dispose d'une confiance totale
988
u = Cette clef dispose d'une confiance ultime. Cette valeur
989
n'est utilisée que pour les clefs où la clef secrète est
990
également disponibles.
992
La valeur dans l'enregistrement "pub" est la meilleure valeur
993
obtenue depuis les enregistrements "uid".
995
Vous pouvez obtenir la liste des valeurs de confiance attribuées ;
996
i.e. la confiance que vous accordez aux autres lorsqu'il s'agit
997
de signer la clef d'un autre individu) :
999
gpg --list-ownertrust
1001
Le premier champ est le fingerprint de la clef primaire, le second
1002
champ est la valeur assignée :
1004
_ = Aucune valeur d'ownertrust assignée
1005
n = Ne jamais faire confiance au propriétaire de cette clef
1006
lorsqu'il s'agit de vérifier d'autres signatures.
1007
m = Une confiance marginale est accordée au détenteur de cette clef
1008
lorsqu'il s'agit de signer d'autres clefs.
1009
f = Assumer que le détenteur de cette clef est une personne de confiance
1010
lorsqu'il s'agit de signer des clefs.
1011
u = Nous n'avons pas besoin de nous faire confiance à nous-même puisque
1012
nous détenons notre propre clef privée.
1014
Vous devez conserver ces valeurs confidentielles, car elles représentent
1015
la confiance que vous accordez ou non à d'autres individus. PGP stocke
1016
cette information au sein de trousseau de clefs et le publier n'est PAS
1017
une bonne idée. Vous devez utiliser la commande d'exportation pour
1018
transmettre des clefs. Quoi qu'il en soit, GnuPG
1019
évite ces problèmes en ne conservant ces valeurs qu'aun sein de sa
1020
TrustDB donc vous pouvez copier un trousseau de clefs publiques
1021
si vous utilisez GnuPG (et nous disposons aussi de la commande
1024
7.4) Quel est ce genre de sortie : "key C26EE891.298, uid 09FB: ...."?
1026
Cette sortie est la représentation interne d'un userid au sein
1027
de la TrustDB. Le keyid est "C26EE891" et le "298" est le keyid local,
1028
un simple numéro d'enregistrement dans la TrustDB. Enfin, le "09FB"
1029
sont les deux derniers octets d'un ripe-md-160 de l'identifiant de
1030
l'utilisateur pour cette clef.
1032
7.5) Comment interpréter certaines sorties informatives ?
1034
Lorsque vous vérifiez la validité d'une clef, GnuPG affiche
1035
parfois une information préfixée par l'information en rapport
1036
avec le sujet vérifié. Par exemple : "key 12345678.3456" indique
1037
que la clef disposant de l'ID 12345678, et du numéro interne 3456
1038
est considérée au sein de la TrustDB au sein de ce qu'on
1039
appelle un enregistrement "directory". Un "uid 12345678.3456/ACDE"
1040
indique quel est l'identifiant d'utilisateur qui correspond
1041
à cette clef. Il s'agit d'une information sur la signature de la
1042
clef 9A8B7C6D disposant de cet ID et s'il s'agit d'une signature
1043
directe sur la clef, la partie User ID sera vide :
1047
7.6) Les lignes d'en-tête des messages font-elles parties des
1050
Non. Par exemple, vous pouvez retirer les lignes "Comment:"
1051
Elles n'ont pas vraiment d'objet comme les lignes "header" des
1052
courriers électroniques. Toutefois, une ligne qui débute par
1053
"Hash: ..." est requise par les signatures OpenPGP afin de permettre
1054
au parser de déterminer quel algorithme de hachage utiliser.
1056
7.7) Quelle est la liste des algorithmes préférés ?
1058
La liste des algorithmes préférés est une liste d'algorithmes
1059
de chiffrement, de hachage et de compression stockés dans
1060
la signature propre de la clef durant sa production. Lorsque
1061
vous chiffrez un document, GnuPG utilise cette liste (elle fait
1062
partie de la clef publique) pour déterminer quels algorithmes
1063
doivent être utilisés. De manière basique, ces indications
1064
expliquent aux autres utilisateurs quels algorithmes vous
1065
acceptez en entrée avec un ordre de préférence.
1067
7.8) Comment puis-je changer la liste des algorithmes préférés ?
1069
Actuellement la liste et les préférences sont directement intégrées
1070
dans les codes sources de GnuPG. Vous devrez modifier le fichier
1071
g10/keygen afin de modifier cette liste et procéder à une
1072
nouvelle compilation. La fonction que vous devrez modifier est
1073
keygen_add_std_prefs. Le code est d'ailleurs assez simple à
1074
comprendre. Les constantes utilisées pour différencier les
1075
algorithmes sont définies au sein du fichier include/cipher.h
1077
Après avoir modifié ces fichiers, générez une nouvelle paire
1078
de clefs (ou une nouvelle sous-clef de chiffrement) avec
1079
la version modifiée de l'exécutable. La nouvelle clef disposera
1080
des nouvelles préférences et pourra être utilisée depuis des
1081
exécutables non modifiés.
1083
Pour modifier les préférénces d'une clef existante, vous devrez
1084
utiliser un exécutable modifié (voir ci-dessus) afin de modifier
1085
la date d'expiration puis sauvegardez les changements. Les
1086
préférences seront automatiquement modifiées lors de la
1087
sauvegarde et vous pouvez désormais utiliser la clef modifiée
1088
avec tout exécutable, modifié ou non.
1090
La modification de la liste de préférences à l'aide d'une
1091
version non-modifiée de GnuPG (probablement depuis le menu
1092
d'édition) fait partie de la liste TODO (A FAIRE) prévue
1093
pour les prochaines versions de GnuPG.
1098
Nous souhaitons remercier Werker Kosh pour la rédaction de la
1099
première FAQ originelle et pour tous les participants aux listes
1100
de discussion gnupg-users et gnupg-devel. La quasi-totalité
1101
des réponses de ce document proviennent de leurs efforts.
1103
Nous souhaitons également remercier Casper Dik pour nous
1104
avoir fourni le script permettant de générer cette FAQ,
1105
qu'il utilise d'autre part pour son excellente FAQ Solaris2 ;-)
1107
Copyright (C) 2000 Free Software Foundation, Inc. ,
1108
59 Temple Place - Suite 330, Boston, MA 02111, USA
1110
Verbatim copying and distribution of this entire article is permitted in
1111
any medium, provided this notice is preserved.