A propos de sécurité informatique
Communication des clefs publiques, PKI, réseaux de confiance
Nature du problème
Une clef publique peut être communiquée directement à un correspondant, ou mise à disposition de tous par différentes voies : indication sur la home page, envoi par pièce-jointe à un e-mail. En ce qui concerne au moins PGP et GnuPG, on peut aussi l'envoyer sur un des nombreux serveurs de clefs ouverts à tous.
L'utilisation des systèmes de protection des données entre personnes qui se connaissent personnellement pose fort peu de problèmes. Il n'en va pas de même dans les autres cas. En effet, il n'est pas toujours possible de connaître le propriétaire de la clef publique ou de pouvoir vérifier son identité ; ce n'est pas forcément impossible, mais en général cela prendrait trop de temps.
Réseau de confiance
PGP et Open PGP mettent en oeuvre un mécanisme basé sur une chaîne de signatures, ou réseau de confiance : si un tiers à qui on sait pouvoir se fier a contresigné la clef en cause, on peut décider de l'utiliser. Plusieurs niveaux de confiance sont prévus.
Infrastructure de clés publiques
Un système différent du précédent consiste à confier sa clef à un dépositaire censé garantir l'authenticité des clefs qu'il met à disposition du public. C'est la méthode des Public Keys Infrastructures (PKI), basée sur des serveurs spécialisés qui revendiquent la propriété d'être totalement dignes de confiance. L'inscription sur une de ces "autorités de certification" est très généralement payante.
Avantages, inconvénients, alternatives
Les avantages et inconvénients des deux systèmes font l'objet de débats. Si la seule inscription sur un serveur de clefs est insuffisante pour garantir certaines transactions commerciales, il reste que le terme « tiers de confiance » qui est appliqué aux PKI signifie seulement qu'ils sont ceux à qui on doit accorder aveuglément sa foi pour la simple raison qu'ils sont payés pour cela.
Un argument avancé en faveur de l'utilisation de réseaux de confiance : s'agissant de journalistes et autres acteurs ayant le besoin de protéger leur indépendance, l'utilisation de GnuPG est très préférable à celle d'un système basé sur des PKI, ces derniers étant un moyen efficace, dans certains pays du moins, d'imposer à une population des entités corrompues ou peu scrupuleuses.
La méthode du blockchain se présente comme une solution radicale aux inconvénients des tiers de confiance puisqu’elle les supprime tout simplement. Les systèmes basés sur un blockchain constituent en effet un réseau totalement décentralisé et redondant. Cette solution a ses propres inconvénients (trafic réseau et consommation énergétique croissant de façon infinie…).