Bonjour,
J'ai une petite question concernant la procédure de vérification des signatures numériques PGP. Ce n'est pas au niveau technique, mais au niveau conceptuel.
En effet, j'ai voulu installer Truecrypt à partir du site truecrypt.org.
Pour être certain que le logiciel n'a pas été modifié par quelqu'un, il est recommandé de vérifier la signature digitale X.509 ou PGP.
Pour la X.509, c'est simple, j'ai bien compris le fonctionnement (hiérarchique).
Mais pour la PGP, je sais que c'est une signature basée sur la confiance de proche en proche (mais dans un réseau constitué de membres auxquels on fait confiance), mais j'y vois une faille massive (due à mon incompétence dans ce domaine).
Voici la procédure à suivre indiquée sur le site truecrypt.org:
 
To verify a PGP signature, follow these steps:
 
    1. Install any public-key encryption software that supports PGP signatures.
    2. Create a private key.
    3. Download our PGP public key from our server or from a trusted public key repository, and import the downloaded key to your keyring.
    4. Sign the imported key with your private key to mark it as trusted.
    Note: If you skip this step and attempt to verify any of our PGP signatures, you will receive an error message stating that the signing key is invalid.
    5. Download the digital signature by clicking the PGP Signature button next to the file you want to verify (on one of the download pages).
    6. Verify the downloaded signature.
 
C'est le point 4 dont le raisonnement m'échappe. Il est évident que, si je signe la clé importée avec la mienne, la signature numérique sera reconnue comme digne de confiance, puisque c'est moi qui ai certifié la clé importée qui sert à certifier la signature.
Donc ma conclusion est que la vérification de la signature digitale du fichier téléchargé repose sur le fait que moi j'accorde ou non ma confiance à la clé PGP de truecrypt.org. Mais étant donné que je ne connais personne chez truecrypt.org, comment puis-je avoir confiance dans leur clé?
 
Je rappelle que le but de ce topic n'est pas d'être sûr de la validité de la signature numérique, mais de comprendre le raisonnement sous-jacent à l'utilisation du PGP pour vérifier une signature numérique.
 
En tout cas, je remercie par avance tous les forumeurs qui voudront bien apporter leur contribution pour éclairer ma lanterne à ce sujet, parce que j'avoue que là, je suis perdu (même après avoir lu les tutoriels d'utilisation de GPG4Win).

la réponse à ta uestion est : tu ne peux pas.
 
le point 4 est clairement une violation du système de confiance de pgp vu que tu décides de faire confiance à une clé inconnue (et donc tu ferais confiance aux clés signées par celle-là).
Je n'en comprends pas bien son intérêt d'ailleurs, de mémoire, pgp (ou gpg), lorsqu'il vérifie, doit te dire que oui, la clé privée correspond à la clé publique mais que tu ne fais pas confiance à cette dernière.
 
 
tu as quelques infos pratiques dans cet article :
https://lwn.net/Articles/461594

 
Bonjour Mjules,
merci bien pour ta réponse! J'ai lu l'article que tu as mis en lien, ainsi qu'un certain nombre d'autres articles qui y étaient reliés sur le même site.
Apparemment, les signatures numériques n'ont plus vraiment le vent en poupe en ce moment (puisqu'apparemment, certains certificats délivrés par des des CA ont été compromis...).
En tout cas, un grand merci pour ta réponse et pour le lien que tu m'as fourni, ça a bien éclairé ma lanterne.  
Bonne soirée!

La différence en effet réside que avec X.509 tu as un tiers de confiance (le fameux CA qui lorsqu'il est compromis... perds toute confiance) tandis qu'avec PGP il n'y en a pas.
 
Avec PGP idéalement tu es sensé obtenir le fichier signé via un canal et la clef publique de l'émetteur via un autre canal. Ensuite tu devras faire confiance à la clef publique ainsi obtenue et finalement tu pourras vérifier que le fichier reçu a bien été signé par la clef privée correspondante à cette clef publique.
 
Cela ne prouve nullement que c'est bien truecrypt.org qui t'a fourni le fichier et la clef publique. Mais cela juste de vérifier que le fichier que tu as téléchargé à tel endroit correspond bien à la clef obtenue à tel autre endroit.