PGP Tool

Apprendre · 6 min de lecture · 2026-04-12

Comment importer et vérifier une clé publique

N'importe qui peut prétendre publier une clé publique PGP. Vérifier la clé avant de chiffrer évite d'envoyer des secrets à la mauvaise personne. Voici la procédure.

Importer une clé publique est trivial — collez-la dans l'Inspecteur de clé et c'est fait. La vérification est l'étape où la plupart des gens s'arrêtent, et où la plupart des erreurs se produisent. Un message signé adressé au mauvais destinataire ne vaut pas mieux qu'une absence totale de chiffrement.

Cet article parcourt les deux moitiés : obtenir la clé, confirmer qu'elle est la bonne, puis l'utiliser.

Ce qu'est réellement une clé publique

Une clé publique est un long bloc d'ASCII armored que tout le monde peut détenir. Elle contient l'algorithme, l'empreinte, des identités (noms + e-mails) et les dates de création/expiration. L'empreinte — une chaîne hexadécimale de 40 caractères — est la seule partie à traiter comme identifiant canonique. Le créateur de la clé peut donner aux noms et e-mails la valeur qu'il veut.

Étape 1 — Obtenir la clé

  • Depuis un keyserver : keys.openpgp.org est le keyserver moderne. Cherchez par e-mail ou empreinte, copiez le bloc armored.
  • Depuis le site du destinataire : beaucoup de gens publient leur clé publique sur leur site personnel ou sous /.well-known/openpgpkey/.
  • Depuis une signature e-mail : certains intègrent leur clé publique en pied de message.
  • En personne : si vous rencontrez quelqu'un, échangez les empreintes via clé USB ou QR code et évitez complètement le réseau.

Étape 2 — Inspecter

  1. Ouvrez l'outil Inspecteur de clé.
  2. Collez le bloc de clé armored.
  3. Lisez l'empreinte, la date d'expiration, le type de clé et les identités.
  4. Notez l'empreinte — la chaîne hex de 40 caractères — quelque part en sécurité.

Étape 3 — Vérifier l'empreinte

C'est l'étape qui transforme « j'ai une clé prétendant appartenir à Alice » en « j'ai la clé d'Alice ». Comparez l'empreinte que vous voyez avec une obtenue par un autre canal — une carte de visite imprimée, une bio publiée, un journal de transparence, un appel téléphonique où Alice la lit à voix haute. Si elles correspondent, la clé est authentique.

Si les empreintes ne correspondent pas, ne chiffrez pas avec cette clé. Soit la version importée est falsifiée, soit celle de l'autre canal l'est. Enquêtez avant d'envoyer quoi que ce soit de sensible.

Étape 4 — Utiliser

Une fois vérifiée, la clé peut être utilisée en toute sécurité dans Chiffrer, Chiffreur JSON, Chiffrer un fichier ou tout autre outil qui accepte une clé publique. Enregistrez l'empreinte avec la clé dans vos notes pour ne pas avoir à refaire la vérification chaque fois.