Deuxième série | Partie 14 : Publier une politique de signature
Vous avez lu tous les articles ?
- Partie 8 : Signer des fichiers
- Partie 9 : Chiffrer des fichiers
- Partie 10 : La configuration de GPG
- Partie 11 : Les détails des clés et des maths
- Partie 12 : Exporter et importer clés publiques et privées
- Partie 13 : Aspects de sécurité divers
- Partie 14 : Publier une politique de signature
- Partie 15 : Utilisation de gpg en ligne de commande
- Partie 16 : Participer à un tour de clés gpg
Vous avez maintenant une clé en bonne et due forme et vous signez d’autres clés. Il est peut-être temps de le dire de manière sérieuse. Publier une politique de signature permet de fixer une série de réflexions que vous vous faites sur votre choix de signature.
Il s’agit d’une forme d’engagement en temps que «citoyen numérique». C’est donc une forme de document juridique, quoique difficilement reconnaissable devant un tribunal. Elle doit donc être publique et accessible par une URL pérenne, et signée - de préférence avec la clé que vous compter utiliser à l’avenir lors de vos signatures.
Cela permet aussi à d’autres personnes d’évaluer votre niveau de maîtrise de gpg.
Forme et détails
Vous pouvez vous inspirer de ma politique de signature. Une recherche web avec les mots «key signing policy» vous donnera aussi de bons exemples, mais en anglais évidemment.
Introduction
Il est d’usage de mentionner en tête ce que l’on pourrait qualifier de méta-données du document:
- auteur
- date de publication et/ou de validité
- version
- clé GPG utilisée pour la signature du document
- url du document public signé
Politique
Viennent ensuite le texte décrivant votre politique à proprement parler.
Il vous faut mentionner dans quelles circonstances vous acceptez de signer la clé de quelqu’un, les différents niveaux de confiance accordés ainsi que la confiance accordée par défaut.
C’est également une bonne idée de justifier les diverses opinions et options choisies. De cette façon, le lecteur et signeur potentiel comprend pourquoi vous ne signerez sa clé qu’avec une confiance moyenne plutôt que totale (par exemple). Une politique de signature bien écrite devrait être telle que plusieurs mois après, sa relecture ne vous pose aucun problème et vous n’avez aucune envie de la modifier.
Il faut impérativement que vous ayez compris ce que signifie “signer une clé”. Je vous suggère de relire l’article relatif aux signatures de clés si vous avez du mal à vous faire une idée.
Il faut indiquer la clé utilisée lors des signatures de clés si celle-ci est différente de celle indiquée précédemment (signature du document lui-même).
Publication
La politique de signature doit donc être rendue publique sur le web (je n’ai pas connaissance de politiques de signature au format papier, et ça me paraît quand même absurde).
Le plus courant est de publier le document via son site web ou son blog, avec un lien vers un fichier au format texte - peut-être abrégé, mais comportant toujours les éléments les plus important, qui sera lui signé.
Ce que j’ai fais, moi
Comme je génère mon blog avec Pelican, tout fonctionne avec des fichiers textes brut. Le plus simple pour moi était donc de copier le Markdown originel dans le dossier de téléchargement, virer l’extension et signer le fichier brut.
Cela m’a obligé à prévoir dès le départ, lors de la rédaction de l’article, les url des deux versions (française et anglaise) de la politique, les url des fichiers et de leurs signatures, puisque tout cela devait se retrouvé figé dès le départ dans le fichier brut à signer !
En effet, rappelez-vous, si vous modifier le texte (donc le fichier), sa signature n’est plus valable !
Vous pouvez également déposer votre politique de signature sur github. Il y a dans ce cas un avantage certain: vous pouvez signer le commit, ce qui fait alors office de signature de la politique en elle-même. Et github est utilisé par keybase.io (l’un des articles suivants porte sur l’utilisation de ce service).