PGP / OpenPGP Pretty Good Privacy — cryptographie à clé publique pour humains
La cryptographie qui permet à un étranger de l'autre côté de la planète de vérifier qu'un document est véritablement le nôtre.
Un schéma de cryptographie à clé publique pour signer et chiffrer des fichiers, messages et releases logicielles, écrit à l'origine par Phil Zimmermann en 1991. Standardisé sous le nom OpenPGP (RFC 4880, mise à jour par la RFC 9580 en 2024). L'implémentation logiciel libre de référence est GnuPG (gpg). Utilisé pour vérifier l'intégrité des releases logicielles, signer des e-mails, chiffrer des fichiers au repos et authentifier l'identité sur un canal hors-bande.
PGP est la manière dont nous rendons nos propres déclarations vérifiables.
TLS prouve que vous parlez à un serveur contrôlé par le domaine sur le certificat ; il ne prouve pas que NordBastion l'organisation a dit quoi que ce soit de précis. Pour les déclarations qui doivent être inforgeables — le warrant canary, les rapports de transparence, les artefacts de release, les avis signés — TLS ne suffit pas. PGP est la couche manquante.
Nos clés publiques sont listées sur /pgp/ avec leurs empreintes. Le warrant canary est signé PGP à chaque période ; le rapport de transparence porte une signature détachée ; les archives de release sont livrées avec des fichiers .asc. Toute personne avec une copie de notre clé publique peut exécuter `gpg --verify` et avoir la certitude cryptographique que le document qu'elle détient a été produit par le détenteur de la clé privée correspondante et n'a pas été altéré depuis.
Le revers : PGP ne fonctionne que si vous vérifiez l'empreinte de la clé contre une source indépendante. La page /pgp/ liste l'empreinte, notre miroir Tor la liste, nos profils keybase / sociaux la listent ; vous devriez en comparer au moins deux avant de faire confiance à une clé fraîchement importée. C'est la partie inconfortable du protocole et c'est aussi la partie qui donne la propriété que le reste du système veut réellement.
Les pages qui s'appuient sur ce terme.
Les questions que les gens posent réellement.
Que fait réellement PGP ?
Deux choses liées. D'abord, il signe numériquement les fichiers et messages pour que toute personne disposant de votre clé publique puisse vérifier qu'un document vient véritablement de vous et n'a pas été altéré — c'est sur cela que reposent le warrant canary, le rapport de transparence et les archives de release. Ensuite, il chiffre les fichiers et messages pour un destinataire spécifique pour que seul le détenteur de la clé privée correspondante puisse les déchiffrer.
Quelle est la différence entre PGP et OpenPGP ?
PGP était le programme original écrit par Phil Zimmermann en 1991, ensuite commercialisé. OpenPGP est le standard ouvert dérivé du format de fichier et protocole de PGP, spécifié d'abord dans la RFC 2440 (1998) et actuellement défini par la RFC 9580 (2024). Quand les gens disent « PGP » aujourd'hui, ils veulent presque toujours dire une implémentation OpenPGP — généralement GnuPG (gpg), qui est la référence logiciel libre.
En quoi PGP diffère-t-il de TLS ?
TLS authentifie un serveur pendant une connexion en direct et chiffre le câble entre deux endpoints — c'est de la vie privée couche-lien qui disparaît une fois la connexion fermée. PGP authentifie l'humain ou l'organisation derrière une donnée et chiffre cette donnée pour qu'elle reste chiffrée sur disque, dans l'e-mail, dans une bande de sauvegarde, pour toujours. TLS protège la conversation ; PGP protège le document.
Comment vérifier une signature PGP NordBastion ?
Importez la clé de signature depuis /pgp/ dans votre trousseau GnuPG local (`gpg --import nordbastion.asc`), vérifiez l'empreinte contre celle publiée sur le site et idéalement contre une copie hors-bande (miroir Tor, post sur les réseaux sociaux), puis exécutez `gpg --verify