L'info vient de
TorrentFreak.
GnuPG (ou GPG) est un logiciel souvent utilisé pour chiffrer le contenu des emails, ou pour garantir qu'un fichier émane bien de la personne que l'on pense être.
Les serveurs de clés GPG sont une commodité qui permet aux utilisateurs de rechercher la clé publique d'un autre utilisateur.
Concrètement, vous ne pouvez pas envoyer de message chiffré à quelqu'un si vous ne disposez pas de sa clé publique. Généralement, c'est la personne avec qui vous souhaitez communiquer qui vous la donne en main propre, mais ce n'est pas toujours envisageable.
Ce serveur de clé tient donc le rôle d'informateur et ses informations sont publiques, il suffit de l'interroger. Bien qu'il soit informateur, ça ne veut pas dire que les informations sont fiables, mais il s'agit néanmoins de l'un des informateurs possibles.
Un autre informateur, ce serait par exemple que je publie ma clé GPG ici sur ce site web.
Code:
$ gpg -k F111110101011
pub rsa4096/0x1FC492901F9CC35B 2017-07-04 [SC] [expire : 2020-07-03]
Empreinte de la clef = 5C5E 6443 8628 C546 CF8B 8CF1 1FC4 9290 1F9C C35B
[...]
Plus vous multipliez les sources d'informations, plus vous avez de raisons de penser que la clé publique montrée est crédible et authentique, si elles concordent.
Bref, ça c'était pour vous expliquer le rôle normal d'un serveur de clés GPG.
Maintenant, ce dont TorrentFreak parle, c'est d'un détournement de l'usage habituel de ce serveur de clés. Ce serveur de clés possède quelques propriétés :
- il n'est pas prévu qu'on puisse faire disparaître une clé qui lui a été envoyée. Le serveur cumule donc les informations, mais n'en retire pas. Sans cette propriété, il ne serait pas possible de confronter des informations contradictoires.
- n'importe qui peut publier, et n'importe qui peut accéder aux informations, pourvu que ce qui est publié suive le format d'une clé GPG.
- à une clé GPG, sont associées d'autres informations, comme le nom de l'utilisateur, son adresse email, et on peut même y joindre une photo.
Donc en effet, au lieu de fournir des informations de contact associées à la clé GPG, il suffit d'y joindre des liens magnet.
En vrai je ne sais pas si cet usage est très commode ni très justifié.
D'une part, ça accroit le risque d'emmerdes possibles pour les serveurs de clé GPG.
D'autre part, il y a peut-être des façons plus appropriées de rendre une information non-censurable, et d'utiliser cette fois-ci GPG proprement en utilisant sa fonction de "signature" qui permet de garantir qu'une information émane bien de la personne que l'on pense être : si l'on a confiance envers la personne, cela permet d'éviter les fakes.
J'ai essayé quelques recherches sur le serveur GPG par curiosité, hormis quelques mots-clés donnés en exemple dans l'article de TorrentFreak, j'ai fait choux blanc.
Voilà pour le topo.