Pour renforcer davantage la robustesse de la confiance cryptographique entre mes amis et moi, j’ai mis à jour ma politique de confiance cryptographique et développé un système de gestion pour l’administrer de manière plus cohérente et uniforme. À compter d’aujourd’hui, toutes les relations de confiance cryptographique établies précédemment ne sont plus valides. Chacun doit rétablir une confiance cryptographique avec moi en utilisant une clé OpenPGP valide. Vous êtes responsable de la protection de votre clé privée dans un endroit sécurisé, à l’abri de toute compromission potentielle par Mallory.
Pour établir une confiance cryptographique avec moi, vous devez posséder une paire de clés OpenPGP valide, démontrer la cohérence entre votre clé publique OpenPGP et votre identité initiale (l’identité que vous utilisiez lors de votre premier contact avec moi), puis démontrer la cohérence entre votre clé publique OpenPGP et vos autres identités.
Les directives détaillées sont fournies ci-dessous.
Jabber
Vous devez vérifier les empreintes OMEMO associées à votre compte Jabber. Utilisez votre clé OpenPGP pour signer le texte suivant :
I hereby formally acknowledge that the Jabber/XMPP account username@example.org is associated with and under the control of the individual whose OpenPGP key has the fingerprint XXXX. The following OMEMO fingerprints are hereby confirmed as valid for this account:
AAAAAAAA
BBBBBBBB
......
Remplacez username@example.org, XXXX, AAAAAAAA… par vos informations réelles.
Matrix, Tox, et Session
Vous devez seulement vérifier vos identifiants. Par exemple, pour Matrix :
I hereby formally acknowledge that the Matrix account @username:example.org is associated with and under the control of the individual whose OpenPGP key has the fingerprint XXXX.
Si vous utilisez Tox ou Session, utilisez votre ID Tox ou ID Session à la place de votre compte Matrix.
SimpleX
Vous devez seulement vérifier votre code de sécurité SimpleX. Ouvrez ma page de contact pour obtenir le code de sécurité.
I hereby formally acknowledge that the SimpleX account with the security code YYYYYY is associated with and under the control of the individual whose OpenPGP key has the fingerprint XXXX.
Pour prouver que la boîte mail vous appartient et est de confiance, envoyez simplement un email signé (ou de préférence chiffré) avec OpenPGP à ma boîte mail .
Briar
Puisque Briar permet une seule connexion par compte, prouver que le compte vous appartient prouve effectivement que personne d’autre ne peut y accéder. C’est aussi simple que de signer un texte aléatoire que je fournis et de me le renvoyer.
Telegram, Signal, Carrier SMS/MMS, etc.
Ces outils de communication ne disposent pas de gestion de confiance intégrée, de mécanismes de vérification d’identité, ni de comptes locaux avec connexion unique. Certains ne supportent même pas le chiffrement de bout en bout. Par conséquent, il n’est pas possible d’établir une relation de confiance cryptographique avec moi via ces plateformes. Cependant, vous pouvez toujours prouver la propriété de ces comptes en signant un texte contenant vos identifiants pertinents.
Par exemple, si vous utilisez Telegram :
I hereby formally acknowledge that the Telegram account @username is associated with and under the control of the individual whose OpenPGP key has the fingerprint XXXX.
Identité Réelle
Vous aurez besoin de votre carte d’identité ou de votre carte de résident. Seuls les documents délivrés en Chine continentale, Hong Kong, Macao, Taïwan, France, Allemagne ou Japon sont acceptés. Vous devez également avoir installé OpenKeychain avec votre clé secrète OpenPGP importée.
Puis suivez ces étapes :
- Prenez rendez-vous avec moi ;
- Apportez votre carte d’identité ou carte de résident ;
- Ouvrez OpenKeychain et allez à la page de votre clé OpenPGP, tenez votre téléphone dans la bonne position, et je prendrai une photo de vous :
- Présentez votre carte d’identité/carte de résident pour que je puisse vérifier votre identité ;
- Signez un texte avec OpenPGP.
Si vous utilisez une carte de résident délivrée en Chine continentale, Hong Kong, Macao, Taïwan ou Japon :
I hereby formally acknowledge that the identity card issued in the name of ZHANG SAN (张三), bearing the identification number AAAA, is associated with and under the control of the individual whose OpenPGP key has the fingerprint XXXX.
Sinon :
I hereby formally acknowledge that the identity card issued in the name of John Appleseed, bearing the identification number AAAA, is associated with and under the control of the individual whose OpenPGP key has the fingerprint XXXX.