13.3. Importation de clés

Si vous recevez une clé dans un fichier (par exemple, dans une pièce jointe à un message électronique), intégrez-la à votre trousseau grâce à Import Key (Importer la clé) et utilisez-la pour coder vos communications avec son expéditeur. Cette procédure ressemble à la procédure d'exportation de clés décrite précédemment.

13.3.1. Signature de clés

Les clés peuvent être signées comme tout autre fichier afin de garantir leur authenticité et intégrité. Si vous êtes absolument certain qu'une clé importée appartient à l'individu indiqué comme son propriétaire, marquez votre confiance dans l'authenticité de la clé avec votre signature.

[Important]Établissement d'un Web de confiance

Une communication codée n'est sécurisée que lorsque vous êtes certain de pouvoir associer des clés publiques en circulation avec l'utilisateur spécifié. En vérifiant et en signant ces clés, vous contribuez à la promotion d'un Web de confiance.

Sélectionnez la clé à signer dans la liste de clés. Sélectionnez Keys (Clé)+Sign Keys (Signer la clé). Dans la boîte de dialogue suivante, spécifiez la clé privée à utiliser pour la signature. Une alerte vous rappelle de vérifier l'authenticité de cette clé avant de la signer. Si vous avez bien effectué cette vérification, cliquez sur Continue (Continuer) et à l'étape suivante, tapez le mot de passe correspondant à la clé privée sélectionnée. D'autres utilisateurs pourront désormais vérifier votre signature au moyen de votre clé publique.

13.3.2. Approbation d'une clé

Normalement, le programme correspondant vous demande si vous approuvez la clé (si vous estimez qu'elle est réellement utilisée par son propriétaire autorisé). Cela se produit chaque fois qu'un message a besoin d'être décodé ou qu'une signature doit être contrôlée. Pour éviter cette procédure, modifiez le niveau d'approbation de la clé nouvellement importée. Par défaut, les nouvelles clés apparaissent avec une boîte blanche qui signifie qu'aucune valeur concrète de niveau de confiance n'a été définie.

Cliquez avec le bouton droit de la souris sur la nouvelle clé pour accéder à un petit menu contextuel de gestion des clés. Sélectionnez Sign Keys (Signer les clés) dans ce menu. KGpg ouvre une zone de message et demande à l'utilisateur de revérifier l'empreinte de la clé. Utilisez Continue (Continuer) pour accéder à la boîte de dialogue de signature de clé.

Sélectionnez votre niveau de confiance, par exemple I Have Done Very Careful Checking (J'ai effectué une vérification très rigoureuse). Après en avoir fini avec cette boîte de dialogue, vous devez entrer votre phrase secrète pour terminer le processus de signature de clé. La clé importée affiche à présent un niveau de confiance en vert pour une clé approuvée.

Le niveau de confiance des clés de votre trousseau est indiqué par une barre de couleur en regard du nom de cette clé. Plus le niveau de confiance est faible, moins vous faites confiance au signataire d'avoir contrôlé la véritable identité des clés signées. Vous pouvez être tout à fait certain de l'identité du signataire, mais il se peut qu'il soit paresseux et qu'il n'ait pas contrôlé l'identité des autres personnes avant la signature de leurs clés. Par conséquent, vous pouvez très bien lui faire confiance à lui et à sa propre clé, mais assigner des niveaux de confiance inférieurs aux clés des autres qu'il a signées. Les niveaux de confiance sont proposés uniquement à titre de rappel. Ils ne déclenchent aucune opération automatique dans KGpg.