La signature et GPG

Au-delà du premier principe de GPG, il existe le trustring, ou cercle de confiance. Ce cercle entend définir toute personne pouvant assurer de la véracité de l'information fournit par la clef GPG de votre interloccuteur. En effet, mettons que je souhaites me faire passer pour Gore auprès d'un interloccuteur qui aurait des données m'intéressant, au hasard, son FAI, je vais procéder comme suit pour usurper son identité :
  • je vais prendre une adresse email faisant croire que je suis gore : gore_(@)_copaindegeekette.com,
  • je vais écrire à son FAI en lui demandant, au hasard, son mot de passe, en disant que je l'ai perdu,
  • je vais signer le message en utilisant une clef gpg que j'aurai forgé pour l'occasion,
  • le destinataire aura alors le choix de faire confiance ou non à la signature donnée. C'est là que le trustring intervient. En effet, si gore a une clef gpg non vérifiée par d'autres personnes, qu'est ce qui assure que c'est bien __sa__ clef GPG ? Rien ! D'où l'importance de faire signer sa clef par autant de personnes que possible. Attention toutefois, il est inutile d'envoyer plein de mails pour faire signer votre clef, car un rituel bien instauré gère tout ce [vacarme|http://www.cryptnet.net/fdp/crypto/gpg-party.html] (que je traduirai peut être un jour, si je dépile...). Voilà pourquoi le [Gore|http://bouh.soolbox.com] a reçu aujourd'hui sa première [signature|http://pgp.mit.edu:11371/pks/lookup?op=vindex&search=0xC0B39A6B]. Quant à moi, vous pouvez trouver ma clef [ici|http://pgp.mit.edu:11371/pks/lookup?op=vindex&search=0xFFAD5F7A].