La firma PGP Les signatures numériques PGP Il possessore di una chiave privata PGP può creare delle firme digitali da allegare ai documenti (o programmi) distribuiti. Il possessore della chiave pubblica può verificare se il documento è stato spedito dalla persona che lo ha firmato senza essere stato manomesso; basta infatti modificare un solo bit del documento, perchè la firma non sia più valida. L'unico rischio, a questo punto, è che la chiave pubblica in vostro possesso non sia della persona che credete, ma sia stata falsificata da qualcuno. Per tale motivo esistono due ulteriori strumenti di verifica: 1) Le chiavi pubbliche possono contenere a loro volta delle firme di altre persone che conoscete che ne certificano l'autenticità 2) Potete richiedere al vostro interlocutore il suo "fingerprint", cioè un codice univoco che permette di verificare l'autenticità della chiave. Per esempio il mio "fingerprint" è la stringa seguente: CD9E 5BB6 98BE 4021 FBFE 17BC ABAF 7232 2E3A 1EC5 Chiaramente, se qualcuno ha manomesso a mia insaputa questo sito, può avere inserito una falsa chiave pubblica a mio nome e un falso fingerprint, quindi la verifica sarebbe poco attendibile; se però mi contattate io vi darò lo stesso fingerprint e potrete verificare se la chiave pubblica che state scaricando è effettivamente la mia. Les signatures numériques PGP Le possesseur d'une clé privé PGP peut créer des signatures numériques à joindre aux documents ou logiciels. Le possesseur de la clé publique peut vérifier si le document a été envoyé par celui qu'il l'a signé sans aucune altération; ça suffit, en effet, de modifier un seul bit du document, parce que la signature ne soit plus valable. Le risque, à ce point, c'est que la clé publique dans votre possession ne soit pas de la personne qui croyez, mais elle a été contrefaite par quelqu'un. Pour tel motif deux autres instruments de vérification existent: 1, Les clés publiques peuvent contenir les signatures d'autres gens que vous connaissez qu'ils en certifient l'authenticité 2 Vous pouvez demander à votre interlocuteur son "fingerprint", c'est-à-dire un code univoque qui permet de vérifier l'authenticité de la clé. Par exemple, mon "fingerprint" est le suivant : CD9E 5BB6 98BE 4021 FBFE 17BC ABAF 7232 2E3A 1EC5 Clairement, si quelqu'un a altéré sans ma permission cette page Internet, il peut avoir inséré une clé publique fausse à mon nom et un fingerprint faux, donc la vérification serait peu digne de foi; si cependant vous me contactez je vous donnerai le même fingerprint et vous pourrez vérifier si la clé publique est effectivement la mienne.