Signature numérique

Traductions :
English

En bref : Je signe certains documents. Ici vous trouverez mon certificat OpenPGP pour les authentifier.

Les documents que j'émets peuvent être signés numériquement, afin de prouver leur authenticité et de les protéger contre une altération.

  • La méthode employée est OpenPGP.
  • Pour vérifier l'authenticité avec un logiciel approprié, vous pouvez :
    • télécharger mon certificat, ou
    • simplement vous assurer que l'empreinte affichée est E0D94AFB80BF89E1F9377FE125158520D38DC09D.
  • Généralement, la signature suit le document avec une extension ".sig" (Par exemple "document.pdf.sig").
  • Le message que j'envoie est du type : "Chaque document est certifié authentique, avec ma signature numérique (voir sukender.net/pgp)."

Pour les personnes non habituées à OpenPGP, la suite explique comment procéder à la vérification.

Vérification pas-à-pas avec GnuPG 2

Si vous avez GnuPG 2 (Linux, Cygwin), vous pouvez importer mon certificat puis vérifier en ligne de commande. Par exemple :

gpg2 --import Benoit_NEIL_public_asc.txt
gpg2 --verify document.pdf.sig

Notez que vous serez prévenu que la "clé n'est pas certifiée". Cela signifie juste que c'est à vous de vérifier qu'il s'agit bien de mon certificat, notamment grâce à l'empreinte. Dit autrement, la preuve d'authenticité nécessite que vous fassiez confiance au certificat de cette page Web ou à son empreinte. Vous pouvez éliminer cet avertissement en ajoutant mon certificat à la liste des certificats de confiance (voir la documentation de gpg2).

Vous devez obtenir une "Bonne signature" pour prouver l'authenticité. Typiquement :

gpg: les données signées sont supposées être dans « document.pdf »
gpg: Signature faite le jeu.  5 nov. 2020 06:54:10 CET
gpg:                avec la clef RSA E0D94AFB80BF89E1F9377FE125158520D38DC09D
gpg: Bonne signature de « Benoit NEIL <neilb@free.fr> » [inconnu]
gpg: Attention : cette clef n'est pas certifiée avec une signature de confiance.
gpg:             Rien n'indique que la signature appartient à son propriétaire.
Empreinte de clef principale : E0D9 4AFB 80BF 89E1 F937  7FE1 2515 8520 D38D C09D

Vérification avec GPG4Win (Windows)

De manière similaire, avec GPG4Win (Windows), vous pouvez ouvrir le logiciel Kleopatra et effectuer :

  1. Un import de mon certificat, puis
  2. "Déchifrer / vérifier" sur la signature.