- news
- Transition vers la nouvelle clé de signature OpenPGP
Tails est en transition vers une nouvelle clé de signature OpenPGP.
La clé de signature est la clé utilisée pour :
- Signer nos images ISO officielles.
- Certifier les autres clés OpenPGP utilisées par le projet.
La précédente clé de signature est sûre et, de ce que l'on en sait, n'a jamais été compromise.
Nous avons fait ce changement pour améliorer nos pratiques de sécurité lorsque nous manipulons des données aussi cruciales.
- L'ancienne clé peut encore être utilisée pour vérifier les images ISO de Tails 1.3.
- La nouvelle clé sera utilisée pour signer les images ISO à partir de Tails 1.3.1.
Importer et vérifier la nouvelle clé de signature
Cliquez sur le bouton suivant pour télécharger et importer la nouvelle clé de signature :
Nouvelle clé de signature de Tails
La nouvelle clé de signature est elle-même signée par l'ancienne clé de signature. Donc vous pouvez transitivement faire confiance à la nouvelle clé si vous aviez accordé votre confiance à l'ancienne clé de signature.
Pour vérifier que la nouvelle clé est correctement signée par l'ancienne clé, vous pouvez exécuter la commande suivante :
gpg --check-sigs A490D0F4D311A4153E2BB7CADBB802B258ACD84F
Le résultat doit inclure la signature de la nouvelle clé par l'ancienne, tel que :
sig! 0x1202821CBE2CD9C1 2015-01-19 Tails developers (signing key) <tails@boum.org>
Dans ce résultat, le statut de la vérification est indiqué par un drapeau
qui suit directement l'étiquette "sig
". Un "!
" indique que la signature
a été vérifiée avec succès.
Stratégie de sécurité pour la nouvelle clé de signature
Voici la description complète de la nouvelle clé de signature :
pub 4096R/0xDBB802B258ACD84F 2015-01-18 [expires: 2017-01-11] Key fingerprint = A490 D0F4 D311 A415 3E2B B7CA DBB8 02B2 58AC D84F uid [ unknown] Tails developers (offline long-term identity key) uid [ unknown] Tails developers sub 4096R/0x98FEC6BC752A3DB6 2015-01-18 [expires: 2017-01-11] sub 4096R/0x3C83DCB52F699C56 2015-01-18 [expires: 2017-01-11]
Vous pouvez voir qu'elle a :
Une clé primaire (marqué comme
pub
) avec l'ID0xDBB802B258ACD84F
. Cette clé primaire :- N'est pas conçue pour être dans un format utilisable par un individu seul. Elle est découpée de manière chiffrée à l'aide de gfshare.
- Elle est utilisée uniquement hors-ligne, dans un Tails non connecté au réseau (« air-gapped » en anglais).
- Expire dans moins d'un an. Nous étendrons sa validité autant de fois que nous le trouverons raisonnable.
Deux sous-clés (marquées comme
sub
) avec les IDs0x98FEC6BC752A3DB6
et0x3C83DCB52F699C56
qui sont stockées dans les cartes à puce OpenPGP et détenues par nos responsables de publication. Les cartes à puce garantissent que les opérations de chiffrement sont faites dans les cartes à puces elles-mêmes et que les clés de chiffrement secrètes ne sont pas directement accessibles par le système d'exploitation utilisé.
Web de confiance avec le trousseau Debian
Cette nouvelle clé de signature a déjà été signée par différent développeurs Debian, à savoir :
- gregor herrmann gregoa@debian.org, avec la clé
0xBB3A68018649AA06
- Holger Levsen holger@debian.org, avec la clé
0x091AB856069AAA1C
- Stefano Zacchiroli zack@debian.org, avec la clé
0x9C31503C6D866396
Vous pouvez donc utiliser la technique décrite dans notre documentation pour vérifier davantage la clé de signature Tails avec le trousseau Debian en utilisant n'importe laquelle de ces trois clés.