• Généralités
• Merise
• Javascript
• PHP
• MySQL
• QCM Class
• Sécurité
• Médias
• eBooks
• Divers

• Généralités
• Cryptage
• PGP & GPG
• Disques virtuels
• Logiciels
• Clouds
• Précautions
• Key signing party
• Liens
• B.A.-BA

• Key signing party
• Identité
• Règles
• Inscription
• Participants
•  

Key-Signing Party, règles

Définitions

Vérificateur

Dans ce texte sera appelé vérificateur toute personne qui effectuera, conformément aux règles ci-dessous, une vérification d'identité avant de signer une clef publique.

Vérifié(e)

Sera appelé vérifié(e), toute personne qui souhaite faire signer sa clef publique et pour laquelle l'identité est vérifiée à l'aide de ses pièces d'identité.

Pièce d'identité

Sont reconnues comme pièces justificatives d'identité officielles par l'administration et donc, pour la signature des clefs :

1. carte d'identité française en cours de validité (durée de validité : 15 ans),
2. passeport français ou étranger en cours de validité (durée de validité : 10 ans),
3. permis de conduire français ou étranger,
4. carte de séjour temporaire (validité), carte de résident (validité), certificat de résidence de ressortissant algérien (validité), carte de ressortissant d'un état membre de l'union européenne (validité) ou l'espace économique européen, en cours de validité,
5. carte de combattant délivrée par les autorités françaises,
6. carte d'identité ou carte de circulation délivrée par les autorités militaires françaises.

 

Fingerprint

Il s'agit de l'empreinte d'une clef publique composée de 40 caractères hexadécimaux.

Key-ID

Il s'agit des 8 (ou parfois des 16) derniers caractères hexadécimaux du fingerprint (souvent précédés de 0x pour préciser la nature hexadécimale des caractères).

Login

Sera ici appelé login d'adresse mail, la partie située à la gauche du caractère arobase. (jean.moreau@fournisseur.fr)

Domaine (ou domaine de messagerie)

Sera ici appelé domaine d'adresse mail, la partie située à la droite du caractère arobase. (jean.moreau@fournisseur.fr)

Conditions

La key-signing party s'effectuera sans faire intervenir d'ordinateur, de tablette ou de téléphone lors de la phase de vérification d'identité du processus de signature des clefs. Etant donné qu'il s'agit d'échanger ses signatures, toute personne lors de ces réunions peut être à la fois vérificateur et vérifié(e).

Toute personne souhaitant faire signer sa clef publique se rendra en personne au lieu de rendez-vous munie des caractéristiques de sa clef (fournies à la fin de l'inscription) ainsi qu'une ou (de préférence) deux pièces d'identité. C'est à dire qu'elle ne pourra pas être mandatée pour faire signer la clef d'une autre personne même si les pièces d'identité de cette dernière auront été présentées au vérificateur.

Le but d'une réunion de signature de clefs étant d'établir une « toile de confiance » (web of trust), vouloir inspirer confiance tout en voulant rester anonyme ne semble pas très cohérent. Aussi dans les réunions organisées par ce site, les clefs publiques pouvant être signées devront correspondre aux adresses mails possédant les caractéristiques suivantes :

• le nom du vérifié ainsi que son prénom ou une partie de celui-ci devront apparaître dans le login d'adresse et ceci, quelque soit le fournisseur de messagerie (Orange, Free, Hotmail, Gmail, etc...)
• dans le cas où le domaine de messagerie correspond au nom de famille du vérifié parce qu'il en est le propriétaire, le login de messagerie pourra comprendre seulement un prénom ou une indication de service. Toutefois, s'il comprend un prénom, ce ne pourra être que le sien ou une partie du sien. Exemples pour Jean-Marc MOREAU :
    - Sans nom de domaine : jeanmarc.moreau@orange.fr ; jmmoreau@gmail.com ; j-moreau@hotmail.fr ; jmm@live.fr ; etc...
    - Avec nom de domaine : jean.marc@moreau.fr ; marc@moreau.net ; sav@moreau.com mais pas catherine@moreau.fr
  Quoiqu'il en soit, s'il est propriétaire de son nom de domaine, il devra en plus des pièces d'identité, présenter un titre de propriété du domaine (telle qu'une facture pour la période en cours, par exemple)

Déroulement

• Toute personne désireuse de participer à une réunion de signature de clefs dans les conditions fixées ci-dessus devra au préalable s'inscrire sur le site en utilisant le formulaire prévu à cet effet. A la fin de l'inscription, sous le compte-rendu d'enregistrement, un bouton permet d'afficher une feuille au format PDF, appelée par la suite 'Feuille des propriétés de la clef à faire signer', avec les informations qui auront été saisies. Cette feuille devra être imprimée en un ou plusieurs exemplaires selon les besoins. Sa conception lui permet, pour plus de commodité, d'être découpée en vue de former une sorte de 'carnet à souche' avec les caractéristiques de la clef (à remettre au vérificateur) et une souche (à conserver). Les inscriptions ne peuvent pas se faire le jour de la réunion ; elles s'arrêtent au plus tard la veille à minuit (heure GMT).
• L'inscription étant faite, le nom de la personne sera affiché dans la liste des participants. Il peut être intéressant d'imprimer cette liste de participants pour avoir le nom de toutes les personnes pouvant potentiellement vérifier et signer ses clefs. Elle ne présente alors un intérêt que si les inscriptions sont closes.
• Les personnes inscrites pourront se rendre au lieu de rendez-vous munies de :
  - une ou plusieurs pièces d'identité parmi celles mentionnées ci-dessus,
  - feuilles imprimées des propriétés de la clef à faire signer,
  - la liste des participants,
  - le titre de propriété du domaine (facture en cours) si l'adresse mail dont la clef publique à signer, est gérée par ce domaine.
• Les présentations et civilités étant faites, le vérifié présentera à un vérificateur (tout participant est potentiellement un vérificateur) :
  - sa ou ses pièces d'identité,
  - un exemplaire daté des propriétés de la clef à faire signer.
  - l'éventuel titre de propriété du domaine (facture en cours) si besoin est.
• Le vérificateur contrôle alors les pièces d'identité. Si la vérification est concluante :
  - il coche sur l'exemplaire des propriétés de clef qu'il a reçu, les cases correspondantes au nombre de pièces d'identité vérifiées,
  - il coche la case correspondante indiquant son degré de connaissance du vérifié (plus ou moins d'un an).
  Ces cases déterminent le degré de confiance qu'il a dans cette clef publique et qui correspond au tableau suivant :
  

  	le vérifié est inconnu du vérificateur ou connu depuis moins d'un an	le vérifié est connu du vérificateur depuis un an ou plus
  2 pièces d'identité	confiance totale (4)	confiance ultime (5)
  1 pièce d'identité	légèrement confiance (3)	confiance totale (4)
  0 pièce d'identité	pas confiance (2)	légèrement confiance (3)

  
  
  Cela étant fait, il mentionne sur le talon (conservé par le vérifié) la date de la vérification et sa key-ID.
  La première étape du processus de signature des clefs (la vérification d'identité) est réalisée, les rôles peuvent alors s'inverser et le vérifié devenir vérificateur à son tour.
• La réunion étant terminée et chacun rentré chez soi, chaque vérificateur, à l'aide des documents 'propriétés des clefs à faire signer', va chercher les clefs des vérifiés sur les serveurs où elles ont été déposées ou, au pire, sur les serveurs web indiqués.
• Il signe alors les clefs avec les degrés de confiance respectifs correspondant au niveau de vérification effectué et les redépose, signées, sur les serveurs de clef d'origine. Si une clef a été téléchargée à partir d'un site web, celle-ci sera retournée par mail, signée, à son propriétaire qui se chargera de la remettre à sa place.

Il ne semble pas exister de règles bien précises pour attribuer un degré de confiance dans une clef, celui-ci étant à l'appréciation du signataire. Toutefois, la crédibilité sera d'autant plus élevée que les critères d'attribution appliqués seront rigoureux. Dans cet objectif, les règles indiquées ici devront être respectées.

Par le fait de son inscription et de sa présence à la réunion, le vérifié s'engage à :

• ne présenter à la vérification que des adresses mail et des documents lui appartenant en propre et ne pas être le mandataire d'une autre personne.
• ne présenter à la vérification que des adresses mail correspondant aux critères mentionnés plus haut.
• respecter les niveaux de confiance qui seront attribués à sa clef (ou ses clefs) sans chercher à les faire augmenter

Par le fait de son inscription et de sa présence à la réunion, le vérificateur s’engage à :

• ne signer aucune clef sur la foi d’autres critères que ceux présentés sur les documents officiels d’identité avec photo cités plus haut et correspondant à la personne physique qui présente sa clef à la signature.
• ne signer que des clefs dont l’adresse mail correspond aux critères mentionnés plus haut.
• accorder les niveaux de confiance conformément au tableau mentionné plus haut.
• signer les clefs de chaque propriétaire de clefs dont il aura vérifié l’identité et de retourner celles-ci, dûment signées dans un délai n'excédant pas une semaine, sur le serveur de clefs d’origine ou, s'il n'y a pas de serveur de clefs, par mail à son propriétaire.