PGP est un protocole permettant de chiffrer des données, notamment des mails. Il repose sur le chiffrement asymétrique: chacun se crée une paire de clés publique/privée, et diffuse sa clé publique, pour que n'importe qui puisse l'utiliser pour chiffrer des messages que seul le destinataire peut lire.
La question devient: comment être sûr que l'on est en train d'utiliser la bonne clé publique pour chiffrer ? On peut se les échanger en mains propre, mais cela a ses limites, on pourrait vouloir discuter de manière chiffrée avec quelqu'un que l'on n'a jamais rencontré physiquement. On peut utiliser le modèle TOFU (expliqué dans ssl): parier que le premier mail reçu contient la bonne clé, ou bien utiliser des signatures de clés.
Si par exemple Alice rencontre Joe, elle peut lui demander qu'il signe sa clé publique avec sa propre clé privée. Ensuite, si Bob rencontre Joe, il peut récupérer en mains propres la clé publique de Joe. Il peut alors vérifier que la clé d'Alice est la bonne, puisqu'il peut vérifier la signature que Joe a apposée grâce à sa clé publique. Et inversement: Alice aura aussi récupéré la clé publique de Joe, et Bob fait signer sa clé publique par Joe, et donc Alice pourra vérifier que la clé de Bob est la bonne.
Et l'on peut étendre le raisonnement à plusieurs intermédiaires, ce qui ouvre des communications sûres à l'ensemble des personnes qui ont signé les clés des uns et des autres, appelé le “web of trust”. Il est intéressant de participer à des crypto-parties où l'on se signe les clés des uns les autres. On ne sait jamais quelle signature sera plus tard utile pour établir des chemins de signatures pour vérifier les clés.
Quand on signe la clé de quelqu'un d'autre, il faut par contre être absolument sûr de l'identité de la personne, soit parce qu'on la connait déjà très bien, soit en vérifiant une carte d'identité, passeport, etc.
“Booba utilise pgp ?” par Micode Youtube