Title: Politique de signature - version 1 Date: 2015-06-15 Author: stephane Category: Informatics Tags: gpg Lang: fr Slug: signing-policy-v1 Status: published ## Informations Je m'appelle Stéphane Guedon et j'habite à Aarhus, Danemark. Vous pouvez télécharger ma clé [ici]({filename}../downloads/Stephane-Guedon.asc), ou sur les [serveurs de clés](http://pool.sks-keyservers.net/pks/lookup?op=vindex&fingerprint=on&search=0x20413A8E7F36CE55). Il s'agit d'une clé RSA de 4096 bits générée le [3 mars 2015]({filename}new-gpg-key-fr.md) et d'empreinte F6B2 DCE3 B6F6 A972 FF3A 1C9B 2041 3A8E 7F36 CE55 Le fichier markdown d'origine de ce même document est disponible en téléchargement [ici]({filename}../downloads/signing-policy-v1-fr) (il manque juste l'extension), et il est [signé]({filename}../downloads/signing-policy-v1-fr.sig). En cas de doute, c'est la version française de ce document qui fait foi. La version anglaise est disponible [ici]({filename}signing-policy-v1-en.md). Cette version est valide de sa publication jusqu'à ce que j'en publie une nouvelle. ## Signature de clés Je signe votre clé, vous signez la mienne (après vérification de nos identités respectives), et tout le monde est content dans le meilleur des mondes, ok ? Ma signature par défaut est *confiance moyenne*. C'est la confiance qui sera accordée lors des tours de clés. Comme je l'explique dans cet [article]({filename}../Howto-gpg/7-sign-keys-fr.md), j'estime que la confiance n'est pas une question de vérification des identités, mais plutôt de compétences et de sérieux avec Gpg. ## Confiance nulle Si vous venez tout juste de générer votre première clé et que vous me demandez de la signer, ou qu'elle a moins de six mois et que personne d'autre ne l'a signé, alors j'interpréterais cela comme un manque d'expérience. Je signerais donc votre clé, mais avec une confiance *nulle*. Toutefois, je signerais à nouveau votre clé si vous me le demandez après une période minimale de trois mois. Je demande à ce que l'on se rencontre physiquement à nouveau, ou que l'on communique en visuel (pour confirmation d'identités, via Hello de Firefox par exemple). Vous pourrez alors avoir une signature de confiance *moyenne* ou *totale*. ## Confiance totale Je signe avec une confiance *totale* dans les cas suivants: ### On se connaît depuis la nuit des temps… Bon, là, pas de soucis. Je connais vos compétences et j'ai confiance dans votre niveau de maîtrise. Ce cas n'est actuellement pas possible. Je l'écris pour des raisons d'exhaustivité. ### La méthode du secret partagé Vous me prouvez que c'est vraiment vous le propriétaire de la clé. Pour ce faire, on s'arrange pour se rencontrer par courriel signé et chiffré, et le courriel doit comporter un secret quelconque, que vous confirmerez au cours de notre rencontre (vous viendrez habillé en vert, vous adorez lire James Joyce…). Je ferais de même. Le courriel doit également contenir toutes les clés que vous souhaitez que je signe. Si vous n'avez pas pu m'envoyer un secret dans le courriel précédent le RDV, ce secret pourra être défini au cours du RDV et vous pourrez m'envoyer le courriel (toujours signé avec l'une des clés en question et chiffré) à posteriori. ### La politique de signature Si vous avez une politique de signature définie et que je juge correcte. Si je ne la juge pas correcte, vous aurez alors une signature de confiance *moyenne*, quelque soit le cas. Oui, je sais, c'est subjectif. C'est dur la vie ! ### Preuve du niveau de compétences Si votre clé a plus d'un an et de bonnes caractéristiques, avec plus de dix signatures. Vous pouvez aussi avoir fait une transition de clé correctement documentée et la clé précédente a plus de dix signatures. Vous avez au moins un document signé avec la clé, accessible sur votre site web ou ailleurs (github…). Une preuve d'identité Keybase.io ne compte pas. Les deux conditions (qualités de la clé et document signé) sont nécessaires.