* DETAILS: Document the --attribute-fd data.
[gnupg.git] / doc / fr / FAQ
1
2 GNUPG : FOIRE AUX QUESTIONS
3
4 Version : 1.2
5 Dernière modification : 10 septembre 2001
6 Maintenu par : Nils Ellmenreich <nils 'at' gnupg.org>
7 Traduction : Gilbert Fernandes <gilbertf 'at' posse-press.com>
8
9 Ce document est la FAQ de GnuPG. La dernière version HTML est
10 disponble ici : <http://www.gnupg.org/faq.html>
11
12 L'index est produit automatiquement. Des erreurs peuvent donc
13 s'y trouver. Toutes les questions ne seront pas situées dans leurs
14 sections afférentes. Les suggestions quand à l'amélioration de cette
15 FAQ seront les bienvenues.
16
17 Veuilez envoyer vos additions et corrections au mainteneur de la FAQ.
18 Il serait plus pratique si vous pouviez fournir une réponse à inclure
19 directement dans la FAQ. Toute aide sera fortement appréciée.
20
21 Veuillez ne pas nous envoyer de message du type : "Ceci devrait
22 être une FAQ, quelle est la réponse ?". Si la réponse ne se trouve
23 pas dans la FAQ c'est que la question n'a pas été considérée.
24 Dans ce cas, recherchez dans les archives de la liste de
25 distribution par email.
26
27
28
29
30  1. GENERAL
31    1.1) Qu'est-ce que GnuPG ?
32    1.2) GnuPG est-il compatible avec PGP ?
33
34  2. SOURCES D'INFORMATION
35    2.1) Où puis-je trouver plus d'informations ?
36    2.2) Où puis-je obtenir GnuPG ?
37
38  3. INSTALLATION 
39    3.1) Sur quels systèmes fonctionne GnuPG ?
40    3.2) Quel collecteur d'entropie dois-je utiliser ?
41    3.3) Comment puis-je inclure le support du RSA et de l'IDEA ?
42
43  4. UTILISATION
44    4.1) Quelle est la taille de clef recommandée ?
45    4.2) Pourquoi la création de clefs est-elle aussi longue ?
46    4.3) Pourquoi tout est si lent quand je travaille sur un système distant ?
47    4.4) Quelle est la différence entre options et commandes ?
48    4.5) Je ne peux pas effacer un userid car il a déjà été effacé dans mon
49         trousseau de clefs publiques ?
50    4.6) Que sont la confiance, la validité et l'ownertrust ?
51    4.7) Comment puis-je signer un fichier de patch ?
52    4.8) Où se trouve l'option "encrypt-to-self" ?
53    4.9) Comment puis-je me débarasser de la version et du champ de commentaire
54         dans la version "armor" des messages ?
55    4.10) Que signifie le message "You are using the xxxx character set" ?
56    4.11) Comment puis-je obtenir la liste des keyid ayant servi à
57         chiffrer un message ?
58    4.12) Je ne peux plus déchiffrer mon message chiffré symétriquement (-c) avec la nouvelle
59 version de GnuPG ?
60    4.13) Comment puis-je utiliser GnuPG en environnement automatisé ?
61    4.14) Quel client email puis-je utiliser avec GnuPG ?
62    4.15) On ne peut pas avoir une librairie gpg ?
63    4.16) J'ai produit avec succès un certificat de révocation, mais comment dois-je
64         le transmettre aux serveurs de clefs ?
65
66  5. QUESTIONS SUR LA COMPATIBILITE
67    5.1) Comment puis-je chiffrer un message avec GnuPG pour que PGP soit capable de le déchiffrer ?
68    5.2) Comment migrer de PGP 2.x vers GnuPG ?
69    5.3) (supprimé)
70    5.4) Pourquoi PGP 5.x n'est pas capable de déchiffrer les messages pour certaines clefs ?
71    5.5) Pourquoi PGP 5.x ne peut vérifier mes messages ?
72    5.6) Comment puis-je transférer mes valeurs de confiance de PGP vers GnuPG ?
73    5.7) PGP n'aime pas ma clef privée.
74
75  6. PROBLEMES ET MESSAGES D'ERREUR
76    6.1) Pourquoi GnupG me dit sans cesse "Warning  : using insecure memory!" ?
77    6.2) Le support des fichiers de grande taille ne fonctionne pas ..
78    6.3) Dans le menu d'édition les valeurs de confiance ne sont pas affichées
79         correctement après la signature des uid : pourquoi ?
80    6.4) Que signifie "skipping pubkey 1: already loaded" ?
81    6.5) GnuPG 1.0.4 ne tient pas compte de ~/.gnupg ...
82    6.6) Une signature ElGamal ne vérifie plus rien depuis la 1.0.2 ..
83    6.7) Les anciennes versions de GnuPG ne vérifient pas les anciennes
84         signatures ElGamal
85    6.8) Lorsque j'utilise --clearsign le texte en clair comporte parfois des
86         tirets supplémentaires : pourquoi ?
87    6.9) Que signifie "can't handle multiple signatures" ?
88    6.10) Si je soumet une clef au serveur de clefs, rien ne survient !
89    6.11) J'obtiens un "gpg: waiting for lock ..."
90    6.12) Les anciennes versions de GnuPG (e.g. 1.0) ont des problèmes
91         avec les clefs de GnuPG récents ..
92    6.13) Avec GnuPG 1.0.4 j'obtiens un "this cipher algorithm is deprecated ..."
93    6.14) Les dates sont affichées par ????-??-??, pourquoi ?
94    6.15) J'ai encore un problème, dois-je produire un message de bogue ?
95    6.16) Pourquoi GnuPG ne supporte pas les certificats X.509 ?
96
97  7. SUJETS AVANCES
98    7.1) Comment tout cela fonctionne-t-il ?
99    7.2) Pourquoi certaines signatures avec une clef ELG-E sont valides ?
100    7.3) Comment tout le système de confiance fonctionne au juste ?
101    7.4) Quel est ce genre de sortie : "key C26EE891.298, uid 09FB: ...."?
102    7.5) Comment interpréter certaines sorties informatives ?
103    7.6) Les lignes d'en-tête des messages font-elles parties des éléments signés ?
104    7.7) Quelle est la liste des algorithmes préférés ?
105    7.8) Comment puis-je changer la liste des algorithmes préférés ?
106
107  8. REMERCIEMENTS
108
109
110
111 1. GENERAL
112
113 1.1) Qu'est-ce que GnuPG ?
114
115 GnuPG signifie GNU Privacy Guard et <http://www.gnupg.org> est
116 l'outil GNU destiné aux communications protégées par chiffrement,
117 ainsi que le stockage protégé d'informations. Ce programme peut
118 être utilisé pour chiffrer des données et produire des signatures
119 numériques. Il comprend une gestion avancée des clefs et respecte
120 le standard Internet proposé OpenPGP comme décrit dans le
121 RFC 2440 : <http://www.gnupg.org/rfc2440.html> et il se destine
122 à une parfaite compatibilité avec le PGP produit par NAI Inc.
123
124 1.2) GnuPG est-il compatible avec PGP ?
125
126 En règle générale, oui. GnuPG et les distributions récentes de PGP
127 devraient respecter le standard OpenPGP et fonctionner de concert.
128 Il existe toutefois quelques problèmes d'interopérabilité. Consultez
129 les questions 5.1ff pour plus de détails.
130
131 2. SOURCES D'INFORMATION
132
133 2.1) Où puis-je trouver plus d'informations ?
134
135 Voici une liste de ressources en ligne :
136
137 <http://www.gnupg.org/docs.html>
138
139 Cette page regroupe la page de documentation GnuPG. Vous pouvez consulter
140 les HOWTO ainsi que le manuel de GnuPG :  le GNU Privacy Handbook
141 actuellement disponible en anglais, espagnol et russe. Ce dernier offre par
142 ailleurs une présentation étendue de GnuPG. Vous trouverez aussi des
143 documentations expliquant la conversion de PGP 2.x vers GnuPG.
144
145 <http://lists.gnupg.org> 
146
147 Vous trouverez ici une archive en ligne des listes de distribution par
148 courrier électronique de GnuPG. La liste la plus intéressante sera
149 probablement gnupg-users où toutes les questions en rapport avec
150 l'utilisation de GnuPG se trouvent rassemblées. Si le développement
151 vous intéresse vous consulterez avec joie la liste gnupg-devel et
152 vous pourrez également prendre contact avec les développeurs.
153
154 S'IL-VOUS-PLAIT !
155
156 Avant de poster sur une liste, veuillez lire avec attention la FAQ et
157 toutes les documentations disponibles. D'autre part, vous devez ensuite
158 consulter les archives afin de découvrir si votre question n'a pas été
159 déjà posée et résolue. Vous épargnerez des pertes de temps et la
160 liste pourra se concentrer sur les problèmes qui n'ont pas encore
161 été résolus.
162
163 La distribution des sources de GnuPG comprend également un
164 sous-répertoire /doc qui contient des documentations supplémentaires
165 et ces informations seront précieuses aux hackers (pas beaucoup aux
166 utilisateurs habituels, sauf les plus curieux).
167
168 2.2) Où puis-je obtenir GnuPG ?
169
170 Vous pouvez télécharger GNU Privacy Guard depuis son FTP primaire :
171
172 <ftp.gnupg.org>
173
174 Ou depuis l'un des mirroirs :
175
176 <http://www.gnupg.org/mirror.html>
177
178 La version actuelle est la version 1.0.6 et nous vous encourageons à migrer
179 vers cette version rapidement : elle corrige des bogues et améliore le
180 fonctionnement du programme, ainsi que votre sécurité de fait.
181
182
183 3. INSTALLATION 
184
185 3.1) Sur quels systèmes fonctionne GnuPG ?
186
187 GnuPG devrait fonctionner sur tous les Unices ainsi que Windows (95, 98..) et les variantes
188 NT. Une liste de systèmes d'exploitation fonctionnels se trouve à :
189
190 <http://www.gnupg.org/gnupg.html#supsys>
191
192 3.2) Quel collecteur d'entropie dois-je utiliser ?
193
194 Les "bons" générateurs de nombres aléatoires sont cruciaux pour la sécurité de vos
195 chiffrements. Les différents systèmes d'exploitation proposent des valeurs
196 aléatoires de qualité variable. Linux et les systèmes *BSD produisent généralement
197 de bonnes valeurs grâce au /dev/random et cette méthode devrait rester la
198 méthode de choix pour ces systèmes. Les utilisateurs de Solaris devraient opter
199 pour pe paquetage SUNWski afin de disposer d'un /dev/random. Dans ces cas,
200 vous devriez utiliser l'option --enable-static-rnd=linux. D'autre part, il existe également
201 un dispositif au niveau kernel pour la production de valeurs aléatoires développé
202 par Andi Maier :
203
204 < http://www.cosy.sbg.ac.at/~andi>
205
206 Ce logiciel est au stade de beta : vous ne l'utilisez que sous votre seule
207 responsabilité !
208
209 Sur les autres systèmes, l'utilisation de l'EGC ou "Entropy Gathering Daemon"
210 se montre un bon choix. C'est un daemon écrit en Perl qui surveille l'activité du
211 système et produit des hachages permettant d'obtenir des valeurs aléatoires.
212 Vous devriez en consulter la page de téléchargement depuis :
213
214 <http://www.gnupg.org/download.html>
215
216 Pour l'utiliser vous devrez utiliser l'option --enable-static-rnd=egd
217
218 Si les options ci-dessus ne fonctionne pas, vous pourrez utiliser le producteur
219 d'entropie "unix". Il est *TRES* lent et il devrait être évité lorsque possible.
220 Sa qualité d'entropie laisse vraiment à désirer et vous ne devrez jamais
221 l'utiliser dans la protection de données sensibles.
222
223 3.3) Comment puis-je inclure le support du RSA et de l'IDEA ?
224
225 RSA se trouve inclus dans GnuPG depuis la version 1.0.3 et supérieures.
226
227 La distribution officielle de GnuPG ne comprend pas l'IDEA à cause
228 d'une restriction par brevêt. Le brevêt devrait expirer en 2007 et nous
229 attendons cette date pour l'inclure dans GnuPG.
230
231 Toutefois, il existe des modules officieux qui permettent de l'inclure
232 même dans les versions de GnuPG avant cette date. Ces modules
233 sont disponibles depuis :
234
235 <ftp://ftp.gnupg.org/pub/gcrypt/contrib/>
236
237 Recherchez 'idea.c'
238
239 Les directives de compilation se trouvent dans les fichiers "headers" de
240 ces fichiers. Vous pourrez ensuite ajouter la ligne suivante à votre
241 fichier ~/.gnupg/options :
242
243     load-extension idea 
244
245 4. USAGE
246
247 4.1) Quelle est la taille de clef recommandée ?
248
249 Nous vous recommandons un minimum de 1024 bits pour les clefs de type
250 DSA et également pour les signatures simples de type ElGamal. La taille
251 du hachage est probablement le lien le plus faible si la taille de la clef
252 augmente à plus de 1024 bits. Les clefs de chiffrement peuvent avoir
253 des tailles supérieures, mais vous devriez alors vérifier le fingerprint
254 de la clef de cette manière :
255
256 gpg --fingerprint --fingerprint <user ID>
257
258 Comme pour les algorithmes de clef, vous devriez vous en tenir aux
259 valeurs par défaut (i.e. les chiffrements ElGamal avec signature
260 DSA). Une clef de signature ElGamal comporte les désavantages
261 suivants : si la signature est grosse, il est difficile de créer une
262 clef correspondante utile pour les signatures et capable de résister
263 aux attaques réelles, et vous n'obtiendrez pas de sécurité
264 supplémentaire face au DSA. Il pourrait y avoir des problèmes
265 de compatibilité avec certaines versions de PGP. Il n'aura été
266 introduit que parce à l'époque, il n'était pas clair de savoir si
267 un brevêt s'appliquait ou non au DSA.
268
269 4.2) Pourquoi la création de clefs est-elle aussi longue ?
270
271 Le problème est ici que nous avons besoin d'une grande quantité d'octets aléatoires et que
272 nous devons pour ce faire collecter une certaine quantité d'entropie depuis, sous Linux,
273 le /dev/random. Il n'est pas vraiment facile de remplir l'entropie de Linux ; nous en avons
274 discuté avec Ted Ts'o et il a expliqué que la meilleure méthode pour remplir le buffer
275 n'est autre que de jouer avec votre clavier. Une bonne sécurité implique un coût.
276 Vous pouvez utiliser les touches Shift, Control, Alt en appuyant dessus de manière aléatoire,
277 d'autant que ces touches ne produisent aucune sortie à l'écran et vous pourrez accélérer
278 la production des clefs.
279
280 Un autre programme pourrait également consommer une partie de l'entropie du système
281 dont vous avez besoin (jettez un oeil à vos daemons actifs).
282
283 4.3) Pourquoi tout est si lent quand je travaille sur un système distant ?
284
285 Vous ne devez SURTOUT pas faire cela ! Vous ne devez jamais créer de
286 clef GnuPG sur un système distant car vous n'aurez alors aucun contrôle
287 physique sur votre clef privée, ni même votre trousseau de clefs privées.
288 Ces clefs seront alors suspectibles de subir une attaque par dictionnaire.
289 Nous vous encourageons vivement à ne produire vos clefs que sur une
290 machine personnelle (un portable déconnecté de toute alimentation
291 et connexion réseau est le meilleur choix) et si vous devez conserver
292 votre clef privée sur une machine fixe, assurez-vous qu'une phrase
293 passe solide en protège le contenu et que vous pouvez faire confiance
294 à votre administrateur système.
295
296 Lorsque nous devons utiliser GnuPG à distance c'est au-travers de SSH
297 et nous rencontrons le même problème. Il faut *beaucoup* de temps
298 pour produire des clefs de toute manière. Il ne faut pas créer de clefs
299 à distance. Si vous avez juste besoin de clefs à fins de tests, vous
300 pouvez utiliser l'optoin --quick-random pour produire rapidement des
301 clefs *faibles* qui permettent de vérifier quelques tests.
302
303 4.4) Quelle est la différence entre options et commandes ?
304
305 Si vous tapez 'gpg --help' vous obtiendrez deux listes séparées. La première
306 liste vous répertorie les commandes. La seconde liste regroupe elle les
307 options. A chaque fois que vous utiliserez GnuPG vous devrez utiliser
308 *UNE* commande (avec une exception, voir ci-dessous) et vous pourrez
309 utiliser une ou *plusieurs* options en combinaison avec la commande.
310
311 Par convention, la commande doit se trouver à la fin de la liste d'arguments
312 après toutes les options. Si la commande requiert un nom de fichier,
313 ce dernier sera donné à GnuPG en *dernier* sur la ligne de commande.
314
315 L'usage basique de GnuPG est donc :
316
317     gpg [--option something] [--option2] [--option3 something] --command file 
318
319 Certaines options demandent des arguments. Par exemple, l'option
320 --output (que l'on peut raccourcir par -o) requiert un nom de fichier
321 en argument. L'argument de l'option doit suivre celle-ci immédiatement !
322 GnuPG ne sera sinon pas capable de différencier le nom de fichier comme
323 option. Comme option, --output et son nom de fichier doivent se trouver
324 avant la commande donnée à GnuPG. L'option --recipient (ou -r) demande
325 un nom ou un keyID pour chiffrer le message et ces informations devront
326 imméditamenet suivre l'option --recipient/-r. La commande --encrypt ou
327 -e sera fournie après ces options, avec en final le nom du fichier à
328 chiffrer. En voici un exemple :
329
330     gpg -r alice -o secret.txt -e test.txt 
331
332 Mais l'utilisation des options sous leur forme longue permet de simplifier
333 la compréhension des lignes de commande :
334
335     gpg --recipient alice --output secret.txt --encrypt test.txt 
336
337 Si vous sauvez dans un fichier nommé ".txt" alors vous devriez probablement
338 utiliser l'option ARMOR en ajoutant l'option --armor ou -a qui ne prend aucun
339 argument :
340
341     gpg --armor --recipient alice --output secret.txt --encrypt test.txt
342
343 Si nous plaçons des crochets autour des parties optionnelles, les choses
344 deviennent plus claires :
345
346     gpg [--armor] [--recipient alice] [--output secret.txt] --encrypt test.txt 
347
348 Les parties entre crochets peuvent être placées dans l'ordre de votre
349 choix :
350
351     gpg --output secret.txt --recipient alice --armor --encrypt test.txt
352
353 Si votre nom de fichier commence par un tiret, GnuPG risque de penser
354 qu'il s'agit d'un paramètre et pour éviter cette situation vous pouvez
355 soit utiliser un "./-a.txt" soit utiliser un double-tiret comme ceci :
356
357 -- -a.txt
358
359 * L'exception concerne le chiffrement ET la signature au même moment.
360 On utilise alors gpg [--options] --sign --encrypt foo.txt
361
362 4.5) Je ne peux pas effacer un userid car il a déjà été effacé dans mon
363         trousseau de clefs publiques ?
364
365 Comme vous ne pouvez sélectionner que depuis le trousseau de clefs
366 publiques, vous ne pouvez pas directement effacer le userid. Toutefois,
367 ce n'est pas très compliqué à faire. Vous devez créer un nouvel
368 utilisateur, disposant du même userid ce qui vous permet d'obtenir deux
369 utilisateurs identiques avec un seul disposant d'une correspondance
370 dans la clef privée. Vous pouvez désormais sélectionner cet utilisateur
371 et l'effacer. Les deux identifiants seront affacés du trousseau de clefs
372 privées.
373
374 4.6) Que sont la confiance, la validité et l'ownertrust ?
375
376 Le terme "ownertrust" est utilisé en remplacement de "trust" lorsqu'il
377 s'agit de la valeur que vous avez attribuée à une clef en fonction
378 du degré de confiance que vous accordez à son propriétaire, et si
379 vous l'autorisez à introduire de nouvelles clefs avec votre signature
380 jointe. La "validité" est un terme de confiance calculée, une valeur
381 numérique calculée par GnuPG en fonction des paramètres de
382 confiance des clefs et vous donne une idée de la confiance que
383 GnuPG attribue ou n'attribue pas à une clef et s'il estime que la clef
384 est valide pour un usage de chiffrement. Pour plus de détails consultez
385 le chapître "The web of trust"
386
387 4.7) Comment puis-je signer un fichier de patch ?
388
389 Vous pouvez utiliser :
390
391 gpg --clearsign --not-dash-espaced ...
392
393 Le problème avec --clearsign c'est que toutes les lignes qui
394 commençent par un tiret sont "quotées" avec "- " et comme diff
395 produit beaucoup de lignes de ce type, le patch risque d'être
396 détruit par la signature. Pour utiliser un fichier patch en le signant
397 et sans perdre la signature claire, l'option spéciale :
398
399 --not-dash-escaped
400
401 Permet de supprimer la production de ces séquences d'échappement.
402 Vous ne devriez pas transmettre par courrier électronique un patch
403 de ce type car les espaces et les fins de ligne font également
404 partie de la signature et un logiciel de messagerie risque de modifier
405 l'espacement et/ou les tailles de lignes, invalidant la signature. Si vous
406 souhaitez transmettre le fichier, le plus simple reste de le signer à l'aide
407 de votre MUA.
408
409 4.8) Où se trouve l'option "encrypt-to-self" ?
410
411 Utilisez l'option :
412
413 --encrypt-to <votre_keyID>
414
415 Vous pouvez utiliser une combinaison de cette option pour spécifier
416 plus d'un keyID. Pour désactiver temporairement l'utilisation de clefs
417 additionnelles, vous pouvez utiliser l'option : --no-encrypt-to.
418
419 4.9) Comment puis-je me débarasser de la version et du champ de commentaire
420         dans la version "armor" des messages ?
421
422 Utilisez l'option --no-version --comment ""
423
424 Veuillez noter que la ligne vide laissée en place est *requise* par le format
425 et le protocole.
426
427 4.10) Que signifie le message "You are using the xxxx character set" ?
428
429 Cette note est affichée lorsque une conversion UTF-8 a été réalisée.
430 Veuillez vous assurer que le jeu de caractères utilisé pour l'affichage
431 correspond bien à celui du système. Le plus utilisé reste "iso-8859-1" et
432 c'est le jeu de caractères par défaut. Vous pouvez modifier ce jeu
433 de caractères à l'aide de l'option "--charset". Il faut que le jeu de
434 caractères utilisé corresponde à celui de votre affichage ou des
435 caractères pourraient ne plus correspondre dans le message une
436 fois transmis. Sinon, n'utilisez que de l'ASCII 7 bits pour qu'aucune
437 conversion ne puisse survenir.
438
439 4.11) Comment puis-je obtenir la liste des keyid ayant servi à
440         chiffrer un message ?
441
442      gpg --batch --decrypt --list-only --status-fd 1 2>/dev/null | \
443     awk '/^\[GNUPG:\] ENC_TO / { print $3 }' 
444
445 4.12) Je ne peux plus déchiffrer mon message chiffré symétriquement
446         (-c) avec la nouvelle version de GnuPG ?
447
448 Il existait un bogue dans les versions 1.0.1 et antérieures de GnuPG
449 qui surveniait lorsque 3DES ou Twofish avaient été utilisé pour des
450 chiffrements symétriques (ce qui n'a jamais été le cas par défaut).
451 Ce bogue a été corrigé afin de permettre le déchiffrement des anciens
452 messages, en utilisant l'option :
453
454 ---emulate-3des-s2k-bug
455
456 Vous devriez déchiffrer puis rechiffrer (correctement) le ou les
457 messages concernés. Cette option sera retirée dans la version 1.1
458 de GnuPG : n'attendez pas pour convertir vos messages !
459
460 4.13) Comment puis-je utiliser GnuPG en environnement automatisé ?
461
462 Vous devriez utiliser l'option --batch et ne pas utiliser de phrase
463 passe car il n'existe alors aucun moyen de conserver cette
464 information de manière plus secrète que le trousseau de clefs
465 lui-même. Nous vous suggérons de créer vos clefs, en environnement
466 automatisé, de la manière suivante :
467
468 Sur une machine protégée :
469
470 Créez une sous-clef de signature pour votre clef, en utilisant le menu
471 edit et en utilisant l'option "addkeu" puis DSA. Vous devez ensuite
472 vous assurer que vous utilisez une phrase passe (requise par
473 l'implémentation actuelle) puis utiliser :
474
475 gpg --export-secret-subkeys --no-comment foo
476     >secring.auto
477
478 Copiez secring.auto et le trousseau de clefs publiques dans un
479 répertoire test. Entrez dans le répertoire, puis :
480
481 gpg --homedir . --edit foo
482
483 Et utilisez "passwd" pour retirer la phrase passe des sous-clefs.
484 Vous devriez également retirer toutes les sous-clefs qui ne sont
485 pas utilisées et copier secring.auto sur une disquette et la
486 porter jusqu'à la machine cible.
487
488 Sur celle-ci, installez secring.auto comme trousseau de clefs
489 secrètes. Vous pouvez maintenant faire démarrer votre
490 nouveau service. C'est aussi une bonne idée que d'installer
491 un système de détection d'intrusions afin de pouvoir repérer
492 les intrusions ce qui vous permettra alors de révoquer toutes
493 les sous-clefs installées sur cette machine et de procéder à une
494 nouvelle installation de sous-clefs.
495
496 4.14) Quel client email puis-je utiliser avec GnuPG ?
497
498 Utiliser GnuPG pour le chiffrement de courrier électronique est
499 probablement l'usage le plus répandu. De nombreux logiciels de
500 messagerie (les "MUA") supportent GnuPG à divers degrés. Pour simplifier,
501 il existe deux moyens de chiffrer les emails avec GnuPG : l'ancien style
502 qui repose sur l'utilisation de l'ASCII Armor (un chiffrement classique
503 suivi par une conversion selon le RFC2015) ce qu'on appellait le
504 PGP/MIME et qui s'appelle désormais l'OpenPGP. Ce dernier supporte
505 d'autre part le MIME. Certains MUA ne supportent qu'un seul de ces
506 formats et vous devrez utiliser ce qui correspond aux capacités
507 de votre client de messagerie.
508
509 La liste suivante n'est probablement pas exhaustive :
510
511     OpenPGP: Mutt (Unix), Emacs/Mew, Becky2 (Windows avec plugin),
512         TkRat (Unix). Il y a un effort pour disposer d'un plug-in
513         Mozilla et Emacs/GNUS dispose d'un support en CVS.
514
515     ASCII:   Emacs/{VM,GNUS}/MailCrypt, Mutt(Unix), Pine(Unix), et
516         probablement beaucoup d'autres.
517
518 Un bon aperçu du support de PGP se trouve à l'adresse :
519
520 http://cryptorights.org/pgp-users/pgp-mail-clients.html
521
522 Le support direct de GnuPG n'est pas indiqué, toutefois dans certains
523 cas il doit être possible d'utiliser un "wrapper".
524
525 4.15) On ne peut pas avoir une librairie gpg ?
526
527 Cette question aura souvent été posée. Toutefois, le point de vue
528 actuel est que GnuPG en tant que librairie risque de conduire à des
529 problèmes de sécurité. Dans un futur proche, GnuPG ne sera pas
530 implémenté sous forme de librairie. Toutefois, pour quelques domaines
531 d'application le programme gpgme doit pouvoir assurer ces questions.
532 Vous pouvez obtenir ce programme depuis :
533
534 ftp://ftp.guug.de/pub/gcrypt/alpha/gpgme
535
536
537 4.16) J'ai produit avec succès un certificat de révocation, mais comment
538         dois-je le transmettre aux serveurs de clefs ?
539
540 La plupart des serveurs de clefs n'accepteront pas une simple et "dure"
541 révocation. Vous devez d'abord importer le certificat dans GnuPG :
542
543     gpg --import my-revocation.asc
544
545 Puis transmettre la révocation au serveurs de clefs :
546
547     gpg --keyserver certserver.pgp.com --send-keys mykeyid
548
549 5. COMPATIBILITY ISSUES 
550
551 5.1) Comment puis-je chiffrer un message avec GnuPG pour que PGP
552         soit capable de le déchiffrer ?
553
554 Tout ceci dépend de la version de PGP.
555
556      PGP 2.x 
557
558 Vous ne pourrez pas dans ce cas, car PGP 2.x utilise l'IDEA qui n'est
559 pas un algorithme supporté par GnuPG à cause de son brevêt (voir
560 la section 3.3) mais si vous disposez d'une version modifiée de PGP
561 vous pouvez essayer ceci :
562
563      gpg --rfc1991 --cipher-algo 3des ...  
564
565 Attention ! N'utlisez pas de pipe des données à chiffrer vers gpg,
566 mais donnez à gpg un nom de fichier sinon PGP 2 ne sera pas
567 capable de le prendre en charge.
568
569 Quand à ce qui concerne le chiffrement conventionnel, vous ne
570 pouvez l'obtenir avec PGP 2.
571
572
573      PGP 5.x et ultérieurs
574
575 Vous devrez utiliser deux options additionnelles :
576
577     --compress-algo 1 --cipher-algo cast5  
578
579 Vous devrez parfois utiliser "3des" au lieu de "cast5". PGP 5 ne
580 supporte pas l'algorithme "blowfish". Vous devrez aussi insérer
581 un "compress-algo 1" au sein de votre fichier ~/.gnupg/options
582 et ceci n'affectera pas le fonctionnement général de GnuPG.
583
584 Ceci s'applique également au chiffrement conventionnel.
585
586 5.2) Comment migrer de PGP 2.x vers GnuPG ?
587
588 PGP 2 utilise les algorithmes RSA et IDEA pour le chiffrement. Depuis que le
589 brevêt sur le RSA a expiré GnuPG incorpore ce dernier, depuis la version
590 1.0.3 et ultérieures. L'algorithme IDEA reste sous brevêt jusqu'en 2007.
591 Sous certaines conditions vous pouvez utiliser l'IDEA, même aujourd'hui.
592 Dans ce cas, vous devriez consulter la réponse à la question 3.3 qui
593 explique l'ajout du support de l'IDEA à GnuPG et également lire ce
594 document :
595
596 http://www.gnupg.org/gph/en/pgp2x.html
597
598 Pour procéder à la migration.
599
600 5.3) (supprimé)
601
602     (vide)
603
604 5.4) Pourquoi PGP 5.x n'est pas capable de déchiffrer les messages
605         pour certaines clefs ?
606
607 PGP Inc refuse d'accepter les clefs ElGamal de type 20 même pour
608 le chiffrement. Ils ne supportent que le type 16 (qui est identifique en tout
609 cas en ce qui concerne le déchiffrement). Pour être plus inter-opérable,
610 GnuPG (depuis la version 0.3.3) utilise également le type 16 pour la sous-
611 clef ElGamal qui est créée par l'algorithme par défaut. Vous pouvez
612 aussi ajouter une clef de type 16 à votre trousseau de clefs publiques
613 tout en assurant que vos signatures sont valides.
614
615 5.5) Pourquoi PGP 5.x ne peut vérifier mes messages ?
616
617 PGP 5.x n'accepte pas les signatures en version 4 pour les données
618 mais OpenPGP demande la production de clefs V4 pour tous les types
619 de données et c'est pourquoi GnuPG les utilise... Vous devrez utiliser
620 l'option --force-v3-sigs pour produir'e des signatures V3 sur les
621 données.
622
623 5.6) Comment puis-je transférer mes valeurs de confiance de
624         PGP vers GnuPG ?
625
626 Il existe un script au sein du répertoire tools qui pourra vous aider. Après
627 avoir importé le trousseau de clefs publiques PGP vous pouvez utiliser
628 cette commande :
629
630     $ lspgpot pgpkeyring | gpg --import-ownertrust 
631
632 où "pgpkeyring" est le trousseau de clefs originels et NON celui de GnuPG
633 que vous avez produit à la première étape.
634
635 5.7) PGP n'aime pas ma clef privée.
636
637 Les anciens PGP échouent parfois au traitement des commentaires privés
638 sur les paquets utilisés par GnuPG. Ces paquets sont en *totale* conformité
639 avec OpenPGP mais vous l'aurez compris, PGP n'est pas vraiment soucieux
640 d'OpenPGP. Pour contourner ce problème il faut exporter les clefs privées
641 à l'aide de cette commande :
642
643      $ gpg --export-secret-keys --no-comment -a your-key-id 
644
645 Une autre possibilité : par défaut, GnuPG chiffre votre clef privée à l'aide
646 de l'algorithme symétrique Blowfish. Les anciennes versions de PGP
647 ne peuvent comprendre que le 3DES, CAST5 ou l'IDEA sous leurs formes
648 symétriques. L'utilisation de la méthode suivante permet de rechiffrer
649 vos clefs privées à l'aide d'un algorithme différent :
650
651      $ gpg --s2k-cipher-algo=CAST5 --s2k-digest-algo=SHA1 \
652           --compress-algo=1  --edit-key <username>
653
654 Vous utiliserez alors l'option passwd pour modifier le mot de passe ; il suffit
655 de choisir la même phrase passe mais cette fois la clef sera chiffrée
656 symétriquement par du CAST5.
657
658 Vous pouvez maintenant exporter la clef et PGP devrait pouvoir la gérer.
659
660 Pour PGP 6.x les options suivantes permettent d'exporter une clef :
661
662      $ gpg --s2k-cipher-algo 3des --compress-algo 1 --rfc1991 \
663            --export-secret-keys <Key-ID>
664
665 6. PROBLEMS and ERROR MESSAGES
666
667 6.1) Pourquoi GnupG me dit sans cesse "Warning  : using insecure memory!" ?
668
669 Sur beaucoup de systèmes, ce programme doit être installé en tant que
670 setuid(root). Ceci est requis afin de pouvoir produire un blocage en mémoire
671 des pages utilisées (et d'éviter tout transfert en swap ou sur disque). Ce "lock"
672 permet de verrouiller dans la pratique les informations sensibles en RAM
673 afin de conserver ces données comme secrètes. Si vous n'obtenez aucun
674 message d'erreur c'est que votre système supporte le verrouillage de pages
675 mémoire depuis l'accès root (le programme s'exécute en tant que root grâce
676 à son setuid). Le programme quitte le mode d'exécution "root" dès que les
677 pages sont verrouillées en mémoire qui plus est.
678
679 Sur Unixware 2.x et 7.x vous devriez installer GnuPG avec le privilège
680 "plock" pour obtenir le même effet :
681
682         filepriv -f plock /path/to/gpg
683
684 Si vous ne pouvez pas installer GnuPG en tant que setuid(root) ou si vous
685 ne voulez pas, vous pouvez utiliser l'option :
686
687 --no-secmem-warning
688
689 Ou bien le placer en tant qu'option (sans les deux tirets) dans votre
690 fichier ~/.gnupg/options ce qui permet de désactiver le warning.
691
692 Sur quelques systèmes (e.g; Windows) GnuPG ne verrouille pas les
693 pages en mémoire (ce n'est pas toujours possible selon les systèmes)
694 et les anciennes versions de GnuPG (1.0.4 et antérieures) produisent
695 sur ces systèmes le message d'erreur suivant :
696
697     gpg: Please note that you don't have secure memory
698
699 Cet avertissement ne peut être désactivé en utilisant l'option décrite
700 ci-dessus car nous considérons que cet avertissement forme une
701 faille de sécurité importante. Toutefois, comme il provoquait une trop
702 forte confusion auprès des utilisateurs de ces systèmes, le message
703 d'avertissement a été retiré.
704
705 6.2) Le support des fichiers de grande taille ne fonctionne pas ..
706
707 Le LFS fonctionne correctement depuis les versions 1.0.4 et ultérieures.
708 Si le configure ne le détecte pas correctement, essayez un autre
709 compilateur : egcs 1.1.2 fonctionne parfaitement mais d'autres
710 versions semblent poser problème. D'autre part, certains problèmes
711 de compilation rencontrés dans GnuPG 1.0.3 et 1.0.4 sur HP-UX et
712 Solaris étaient provoqués par un support "cassé" du LFS dans les
713 sources ...
714
715 6.3) Dans le menu d'édition les valeurs de confiance ne sont pas affichées
716         correctement après la signature des uid : pourquoi ?
717
718 Ceci survient car certaines informations sont stockées immédiatement
719 dans la TrustDB, mais le calcul ne se réalisé qu'au moment de la
720 sauvegarde effective. Ce n'est pas un bogue vraiment facile à corriger
721 mais nous pensons régler ce problème dans une future version.
722
723 6.4) Que signifie "skipping pubkey 1: already loaded" ?
724
725 Depuis la version 1.0.3 de GnuPG l'algorithme RSA est inclus. Si vous
726 avez toujours l'option :
727
728 load-extension rsa
729
730 Dans votre fichier .options le message en question apparaîtra.
731 Il vous suffira de retirer la commande qui n'est plus requise
732 du fichier .options pour que le message cesse.
733
734 6.5) GnuPG 1.0.4 ne tient pas compte de ~/.gnupg ...
735
736 Ce bogue est connu et il a été corrigé dans les versions ultérieures.
737
738 6.6) Une signature ElGamal ne vérifie plus rien depuis la 1.0.2 ..
739
740 Utilisez l'option :
741
742 --emulate-md-encode-bug
743
744     Use the option --emulate-md-encode-bug.
745
746 6.7) Les anciennes versions de GnuPG ne vérifient pas les anciennes
747         signatures ElGamal
748
749 Veuillez migrer vers la version 1.0.2 au minimum, et de préférence
750 une version ultérieure (1.0.6 par exemple).
751
752 6.8) Lorsque j'utilise --clearsign le texte en clair comporte parfois des
753         tirets supplémentaires : pourquoi ?
754
755 Ceci s'appelle le "dash-escaped" et il est requis par le format
756 OpenPGP. A chaque fois qu'une ligne commence par un tiret, ceci
757 risque de survenir. Cela permet aux programmes de retrouver
758 sans difficulté les lignes de marquage du format, comme :
759
760 -----BEGIN PGP SIGNATURE-----
761
762 Seules ces lignes doivent pouvoir commencer par deux tirets. Si vous
763 utilisez GnuPG pour traiter ces messages, les tirets supplémentaires
764 seront retirés et les clients de messagerie "corrects" devraient
765 également retirer ces tirets lorsqu'ils affichent le message.
766  
767 6.9) Que signifie "can't handle multiple signatures" ?
768
769 A cause des différents formats de messages, GnuPG n'est pas toujours
770 capable de découper un fichier contenant des signatures multiples.
771 Ce message d'erreur vous informe que les données en entrée
772 comportent un problème. Le seul moyen pour disposer correctement
773 de signatures multiples revient à utiliser le standard : le format
774 OpenPGP avec les paquets "one-pass-signature" qui sont utilisés
775 par défaut par GnuPG ou bien de recourir au format de texte en clair.
776
777 6.10) Si je soumet une clef au serveur de clefs, rien ne survient !
778
779 Vous utilisez probablement GnuPG sur Windows en version 1.0.2 ou
780 antérieure. Cette fonctionnalité n'était alors pas encore disponible,
781 et il ne s'agit pas d'un bogue. Vous devriez adopter une version
782 plus récente, qui dispose de toutes les fonctionnalités :-)
783
784 6.11) J'obtiens un "gpg: waiting for lock ..."
785
786 Les anciennes versions de GnuPG ne quittaient pas correctement
787 et laissaient un fichier "lock". Allez dans le répertoire ~/.gnupg et
788 effacez les fichiers *.lock qui s'y trouvent pour continuer.
789
790 6.12) Les anciennes versions de GnuPG (e.g. 1.0) ont des problèmes
791         avec les clefs de GnuPG récents ..
792
793 Depuis la version 1.0.3 les clefs produites par GnuPG sont créées avec
794 une préférence pour Twofish (et l'AES depuis la version 1.0.4 à savoir,
795 l'algorithme Rijndael) et ceci signifie également qu'elles disposent de la
796 capacité d'utilisation de la nouvelle méthode de chiffrement MDC. Ceci
797 sera disponible dans OpenPGP très rapidement et sera supporté en
798 tout logique par PGP 7. Cette nouvelle méthode de chiffrement permet
799 de se protéger votre des attaques (des anciennes attaques en fait)
800 contre les systèmes de chiffrement du courrier électronique.
801
802 Ceci signifie également que les versions 1.0.3 et antérieures de GnuPG
803 auront des problèmes avec les clefs plus récentes. A cause des
804 correctifs de sécurité, vous devriez conserver votre installation
805 de GnuPG à jour de toute manière. Comme manière de régler le
806 problème vous devriez demander à GnuPG de n'utiliser que l'ancien
807 algorithme de chiffrement en utilisant la ligne :
808
809 cipher-algo cast5
810
811 dans votre fichiers d'options.
812
813 6.13) Avec GnuPG 1.0.4 j'obtiens un "this cipher algorithm is deprecated ..."
814
815 Si vous venez de produire une nouvelle clef et que vous obtenez ce message
816 pendant un chiffrement, il s'agit d'un bogue de la version 1.0.4 ; le nouvel
817 algorithme AES Rijndael est utilisé mais il n'est pas enregistré sous le bon
818 numéro d'algorithme ce qui produit ce message d'erreur "deprecated".
819 Vous pouvez ignorer cet avertissement et les versions plus récentes
820 de GnuPG sont corrigées sur ce point.
821
822 6.14) Les dates sont affichées par ????-??-??, pourquoi ?
823
824 A cause de contraintes dans la plupart des implémentations de la libc,
825 les dates au-delà de 2038-01-19 ne seront pas affichées correctement.
826 Les systèmes 64-bit ne sont pas affectés par ce problème. Pour éviter
827 d'afficher les dates de manière incorrecte, GnuPG utilise des signes
828 "?" au lieu des chiffres. Pour obtenir la valeur correcte vous devrez
829 utiliser l'option :
830
831 --with-colons --fixed-list-mode
832
833 6.15) J'ai encore un problème, dois-je produire un message de bogue ?
834
835 Si vous êtes sûr(e) que le problème n'est mentionné nulle part, ni dans
836 cette FAQ ni dans aucune liste de distribution GnuPG, commencez
837 par consulter la liste de bogues qui sont en cours de traitement (la page
838 de documentation dispose d'un lien vers la page de bogues). Si vous
839 ne savez pas trop s'il s'agit d'un bogue, envoyez un courrier
840 électronique à la liste : gnupg-devel. Sinon, vous pouvez utiliser
841 le système de suivi de bogues GUUG à l'adresse :
842
843 http://bugs.guug.de/Reporting.html.   
844
845 6.16) Pourquoi GnuPG ne supporte pas les certificats X.509 ?
846
847 GnuPG est avant tout une implémentation du standard OpenPGP,
848 défini dans le RFC 2440. Ce standard propose une infrastructure
849 complète et différente du X.509
850
851 Ces deux systèmes sont des cryptosystèmes à clef publique, mais
852 la manière dont les clefs sont traitées diffèrent.
853
854 7. SUJETS AVANCES
855
856 7.1) Comment tout cela fonctionne-t-il ?
857
858 Pour produire une paire de clefs publique/privée, utilisez la commande
859
860 gpg --gen-key
861
862 Puis répondez aux questions en adoptant de préférence les valeurs
863 par défaut.
864
865 Les données qui sont chiffrées par une clef publique ne peuvent être
866 déchiffrées que par la clef privée correspondante. La clef secrète
867 est d'autre part protégée par une phrase-passe ce qui n'est pas le cas
868 de la clef publique, librement distribuable.
869
870 Pour transmettre à vos amis un message, il vous suffit de le chiffrer
871 à l'aide de leurs clefs publiques. Seules leurs clefs privées seront
872 capables de déchiffrer le message.
873
874 GnuPG est pratique pour signer de manière numérique les choses.
875 Les éléments qui sont chiffrés à l'aide de la clef publique ne peuvent
876 être déchiffrés que par la clef publique, ce qui permet de signer
877 des documents. On commence par produire un hachage, une sorte
878 d'empreinte à taille fixe d'un document (de taille variable). Ensuite,
879 votre clef privée est utilisée pour chiffrer ce hachage. Par la suite,
880 toute personne disposant de votre clef publique et du document
881 peut vérifier si le hachage du document correspond bien au
882 déchiffrement du hachage, obtenu par votre clef publique dont
883 disposent vos destinataires.
884
885 Un trousseau de clefs n'est qu'un gros fichier (selon le nombre de
886 clefs qu'il contient). Vous avez un trousseau de clefs publiques
887 qui contient vos clefs publiques et celles de vos amis. Vous avez
888 également un trousseau de clefs privées qui ne contient que vos
889 clefs privées (chiffrées et protégées par votre phrase-passe). Vous
890 devez faire très *attention* à ce fichier. Personne ne devra jamais
891 y avoir accès et la phrase-passe qui le protège devra être
892 complexe, et longue afin de bien protéger le secret.
893
894 Vous pouvez aussi chiffrer des données de manière conventionnelle,
895 en utilisant l'option "-c" de GnuPG. Dans ce cas, la phrase-passe
896 utilisée servira de clef pour protéger le message. Aucun usage
897 de clef publique ou de clef privée ici : il s'agit d'un chiffrement
898 classique où il n'existe qu'une seule clef, utilisée pour chiffrer et
899 déchiffrer les données. Généralement, on utilise cette méthode
900 pour chiffrer ses propres documents à l'aide d'une phrase-passe
901 secrète qui vous est propre. Cette méthode de chiffrement ne
902 doit être utilisée pour des communications que si vous avez
903 physiquement rencontré vos destinataires et que vous partagez
904 dans le plus grand secret la phrase-passe (votre propre époux ou
905 épouse, ou un ami de confiance). L'avantage est que vous pouvez
906 changer de temps en temps la phrase-passe et en réduire le
907 risque afin qu'en cas de découverte de la phrase-passe toutes
908 vos données ne soient pas lisibles ;-)
909
910 Vous pouvez ajouter et copier des clefs depuis votre trousseau
911 de clefs publiques à l'aide des commandes "gpg --import" et
912 "gpg --export". Vous pouvez également (ATTENTION !!) exporter
913 vos clefs privées à l'aide de la commande : "gpg --export-secret-keys"
914 mais ce n'est généralement pas utile sauf si vous devez déplacer
915 vos clefs privées d'une machine à l'autre.
916
917 Les clefs peuvent être signées à l'aide de l'option "gpg --edit-key". Lorsque
918 vous signez une clef, vous certifiez que la clef appartient selon vous
919 à la personne dont l'identité se trouve mentionnée dans la clef. Vous
920 devez absolument être sûr(e) que la clef appartient bien à cette
921 personne, sans le moindre doute. Vous devez vérifier son fingerprint
922 à l'aide de la commande :
923
924 gpg --fingerprint userid
925
926 Et recevoir le même finger par téléphone ou de visu par la personne
927 concernée. Généralement, on procède à des "fêtes" où chaque personne
928 amène sa pièce d'identité, une carte de visite comprenant le fingerprint
929 et l'on procède à un échange des fingerprint, ou directement des clefs.
930
931 Vous pouvez également utiliser l'option "-o filename" pour forcer
932 la sortie vers le fichier "filename". Pour forcer une sortie en console
933 par défaut on utilise un tiret. La commande "-r" permet de spécifier
934 le destinataire (avec quelle clef publique vous allez chiffrer) en ligne
935 de commande au lieu d'avoir à taper le nom du destinataire dans
936 le mode interactif.
937
938 Autre chose d'importance. Par défaut, TOUTES les données sont chiffrées
939 dans un format binaire particulier; Si vous souhaitez transmettre les données
940 par courrier électronique (par exemple) vous devez les protéger dans
941 un format d'amure qu'on appelle ASCII ARMOR. Ce format sera obtenu
942 en utilisant l'option "-a" mais la méthode préférée reste d'utiliser
943 un client de messagerie respectueux du format MIME comme Mutt, Pine
944 et bien d'autres.
945
946 Enfin, il existe une petite faille de sécurité dans OpenPGP (et donc dans PGP)
947 et vous devriez TOUJOURS chiffrer PUIS signer un message. Il ne faut
948 pas seulement chiffrer afin d'être totalement protégé. N'oubliez jamais.
949
950 7.2) Pourquoi certaines signatures avec une clef ELG-E sont valides ?
951
952 Ces clefs ElGamal furent produites par GnuPG en version 3 de paquets
953 (selon le RFC 1991). Le brouillon OpenPGP a été modifié par la suite
954 afin de modifier l'identifiant d'algorithme pour les clefs ElGamal qui est
955 utilisable pour les signatures et le chiffrement des modes 16 à 20.
956 GnuPG utilise le mode 20 quand il produit ses nouvelles clefs ElGamal
957 mais il accepte toujours les clefs de type 16 qui selon le standard
958 OpenPGP ne peuvent servir qu'au chiffrement, si la clef se trouve
959 dans un paquet en version 3 du format. GnuPG est le seul programme
960 ayant jamais utilisé les clefs au sein de paquets v3 - vous ne risquez
961 donc pas grand chose.
962
963 7.3) Comment tout le système de confiance fonctionne au juste ?
964
965 Il fonctionne d'une manière proche de PGP. La différence c'est que
966 la confiance est calculée uniquement lorsqu'elle est requise. C'est
967 pourquoi la TrustDB contient une liste des signatures de clefs
968 valides. Si vous ne fonctionnez pas en mode batch, vous devrez
969 assigner un paramètre de confiance aux clefs (un ownertrust).
970
971 Vous pouvez consulter la validité (la valeur de confiance
972 calculée) en utilisant cette commande :
973
974      gpg --list-keys --with-colons  
975
976 Si le premier champ est "pub" ou "uid" le second champ vous
977 indiquera le niveau de confiance :
978
979 o = Inconnu (cette clef est nouvelle au système)
980 i = La clef est invalide (eg. il manque sa propre signature)
981 d = La clef a été désactivée
982 r = La clef a été révoquée
983 e = La clef a expiré
984 q = Non-défini (pas de valeur attribuée)
985 n = Ne jamais faire confiance à cette clef
986 m = Cette clef dispose d'une confiance marginale
987 f = Cette clef dispose d'une confiance totale
988 u = Cette clef dispose d'une confiance ultime. Cette valeur
989         n'est utilisée que pour les clefs où la clef secrète est
990         également disponibles.
991
992 La valeur dans l'enregistrement "pub" est la meilleure valeur
993 obtenue depuis les enregistrements "uid".
994
995 Vous pouvez obtenir la liste des valeurs de confiance attribuées ;
996 i.e. la confiance que vous accordez aux autres lorsqu'il s'agit
997 de signer la clef d'un autre individu) :
998
999      gpg --list-ownertrust
1000
1001 Le premier champ est le fingerprint de la clef primaire, le second
1002 champ est la valeur assignée :
1003
1004 _ = Aucune valeur d'ownertrust assignée
1005 n = Ne jamais faire confiance au propriétaire de cette clef
1006         lorsqu'il s'agit de vérifier d'autres signatures.
1007 m = Une confiance marginale est accordée au détenteur de cette clef
1008         lorsqu'il s'agit de signer d'autres clefs.
1009 f = Assumer que le détenteur de cette clef est une personne de confiance
1010         lorsqu'il s'agit de signer des clefs.
1011 u = Nous n'avons pas besoin de nous faire confiance à nous-même puisque
1012         nous détenons notre propre clef privée.
1013
1014 Vous devez conserver ces valeurs confidentielles, car elles représentent
1015 la confiance que vous accordez ou non à d'autres individus. PGP stocke
1016 cette information au sein de trousseau de clefs et le publier n'est PAS
1017 une bonne idée. Vous devez utiliser la commande d'exportation pour
1018 transmettre des clefs. Quoi qu'il en soit, GnuPG
1019 évite ces problèmes en ne conservant ces valeurs qu'aun sein de sa
1020 TrustDB donc vous pouvez copier un trousseau de clefs publiques
1021 si vous utilisez GnuPG (et nous disposons aussi de la commande
1022 d'exportation).
1023
1024 7.4) Quel est ce genre de sortie : "key C26EE891.298, uid 09FB: ...."?
1025
1026 Cette sortie est la représentation interne d'un userid au sein
1027 de la TrustDB. Le keyid est "C26EE891" et le "298" est le keyid local,
1028 un simple numéro d'enregistrement dans la TrustDB. Enfin, le "09FB"
1029 sont les deux derniers octets d'un ripe-md-160 de l'identifiant de
1030 l'utilisateur pour cette clef.
1031
1032 7.5) Comment interpréter certaines sorties informatives ?
1033
1034 Lorsque vous vérifiez la validité d'une clef, GnuPG affiche
1035 parfois une information préfixée par l'information en rapport
1036 avec le sujet vérifié. Par exemple : "key 12345678.3456" indique
1037 que la clef disposant de l'ID 12345678, et du numéro interne 3456
1038 est considérée au sein de la TrustDB au sein de ce qu'on
1039 appelle un enregistrement "directory". Un "uid 12345678.3456/ACDE"
1040 indique quel est l'identifiant d'utilisateur qui correspond
1041 à cette clef. Il s'agit d'une information sur la signature de la
1042 clef 9A8B7C6D disposant de cet ID et s'il s'agit d'une signature
1043 directe sur la clef, la partie User ID sera vide :
1044
1045 (..//..)
1046
1047 7.6) Les lignes d'en-tête des messages font-elles parties des
1048         éléments signés ?
1049
1050 Non. Par exemple, vous pouvez retirer les lignes "Comment:"
1051 Elles n'ont pas vraiment d'objet comme les lignes "header" des
1052 courriers électroniques. Toutefois, une ligne qui débute par
1053 "Hash: ..." est requise par les signatures OpenPGP afin de permettre
1054 au parser de déterminer quel algorithme de hachage utiliser.
1055
1056 7.7) Quelle est la liste des algorithmes préférés ?
1057
1058 La liste des algorithmes préférés est une liste d'algorithmes
1059 de chiffrement, de hachage et de compression stockés dans
1060 la signature propre de la clef durant sa production. Lorsque
1061 vous chiffrez un document, GnuPG utilise cette liste (elle fait
1062 partie de la clef publique) pour déterminer quels algorithmes
1063 doivent être utilisés. De manière basique, ces indications
1064 expliquent aux autres utilisateurs quels algorithmes vous
1065 acceptez en entrée avec un ordre de préférence.
1066
1067 7.8) Comment puis-je changer la liste des algorithmes préférés ?
1068
1069 Actuellement la liste et les préférences sont directement intégrées
1070 dans les codes sources de GnuPG. Vous devrez modifier le fichier
1071 g10/keygen afin de modifier cette liste et procéder à une
1072 nouvelle compilation. La fonction que vous devrez modifier est
1073 keygen_add_std_prefs. Le code est d'ailleurs assez simple à
1074 comprendre. Les constantes utilisées pour différencier les
1075 algorithmes sont définies au sein du fichier include/cipher.h
1076
1077 Après avoir modifié ces fichiers, générez une nouvelle paire
1078 de clefs (ou une nouvelle sous-clef de chiffrement) avec
1079 la version modifiée de l'exécutable. La nouvelle clef disposera
1080 des nouvelles préférences et pourra être utilisée depuis des
1081 exécutables non modifiés.
1082
1083 Pour modifier les préférénces d'une clef existante, vous devrez
1084 utiliser un exécutable modifié (voir ci-dessus) afin de modifier
1085 la date d'expiration puis sauvegardez les changements. Les
1086 préférences seront automatiquement modifiées lors de la
1087 sauvegarde et vous pouvez désormais utiliser la clef modifiée
1088 avec tout exécutable, modifié ou non.
1089
1090 La modification de la liste de préférences à l'aide d'une
1091 version non-modifiée de GnuPG (probablement depuis le menu
1092 d'édition) fait partie de la liste TODO (A FAIRE) prévue
1093 pour les prochaines versions de GnuPG.
1094
1095
1096 8. REMERCIEMENTS
1097
1098 Nous souhaitons remercier Werker Kosh pour la rédaction de la
1099 première FAQ originelle et pour tous les participants aux listes
1100 de discussion gnupg-users et gnupg-devel. La quasi-totalité
1101 des réponses de ce document proviennent de leurs efforts.
1102
1103 Nous souhaitons également remercier Casper Dik pour nous
1104 avoir fourni le script permettant de générer cette FAQ,
1105 qu'il utilise d'autre part pour son excellente FAQ Solaris2 ;-)
1106
1107 Copyright (C) 2000 Free Software Foundation, Inc. , 
1108 59 Temple Place - Suite 330, Boston, MA 02111, USA 
1109
1110 Verbatim copying and distribution of this entire article is permitted in
1111 any medium, provided this notice is preserved.