PGP
Qu'est-ce que PGP ?
PGPPretty Good Privacy, schéma de chiffrement et de signature de bout en bout pour e-mails, fichiers et messages, créé par Phil Zimmermann en 1991.
PGP (Pretty Good Privacy) offre confidentialité, intégrité et authentification via un schéma hybride : une clé symétrique par message (souvent AES) chiffre la charge utile, tandis que la clé publique RSA ou ECC du destinataire encapsule cette clé de session. Les signatures numériques lient le message à son signataire. Le format OpenPGP est normalisé par le RFC 4880 et modernisé dans le RFC 9580 (Crypto-Refresh, 2024) avec AEAD (OCB, GCM) et des algorithmes actualisés. Contrairement au X.509 hiérarchique de S/MIME, PGP repose sur une Web of Trust décentralisée. Il est implémenté par GnuPG, OpenPGP.js, Sequoia-PGP, etc., et largement utilisé pour la signature logicielle (releases de distributions Linux), le journalisme et le partage de renseignements.
● Exemples
- 01
Un mainteneur signe l'archive d'une release logicielle avec sa clé OpenPGP afin que les utilisateurs vérifient le téléchargement.
- 02
Un journaliste publie sa clé PGP publique pour permettre l'envoi de documents chiffrés par des sources.
● Questions fréquentes
Qu'est-ce que PGP ?
Pretty Good Privacy, schéma de chiffrement et de signature de bout en bout pour e-mails, fichiers et messages, créé par Phil Zimmermann en 1991. Cette notion relève de la catégorie Sécurité réseau en cybersécurité.
Que signifie PGP ?
Pretty Good Privacy, schéma de chiffrement et de signature de bout en bout pour e-mails, fichiers et messages, créé par Phil Zimmermann en 1991.
Comment fonctionne PGP ?
PGP (Pretty Good Privacy) offre confidentialité, intégrité et authentification via un schéma hybride : une clé symétrique par message (souvent AES) chiffre la charge utile, tandis que la clé publique RSA ou ECC du destinataire encapsule cette clé de session. Les signatures numériques lient le message à son signataire. Le format OpenPGP est normalisé par le RFC 4880 et modernisé dans le RFC 9580 (Crypto-Refresh, 2024) avec AEAD (OCB, GCM) et des algorithmes actualisés. Contrairement au X.509 hiérarchique de S/MIME, PGP repose sur une Web of Trust décentralisée. Il est implémenté par GnuPG, OpenPGP.js, Sequoia-PGP, etc., et largement utilisé pour la signature logicielle (releases de distributions Linux), le journalisme et le partage de renseignements.
Comment se défendre contre PGP ?
Les défenses contre PGP combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de PGP ?
Noms alternatifs courants : Pretty Good Privacy, OpenPGP.
● Termes liés
- network-security№ 446
GnuPG (GPG)
Implémentation libre du standard OpenPGP (RFC 4880, RFC 9580) utilisée pour signer, chiffrer et déchiffrer des données, dont des e-mails et paquets logiciels.
- network-security№ 955
S/MIME
Norme IETF pour signer et chiffrer de bout en bout des e-mails MIME à l'aide de certificats X.509 délivrés par une AC publique ou d'entreprise.
- network-security№ 330
DKIM
Standard d'authentification d'e-mail (RFC 6376) permettant à un domaine expéditeur d'apposer une signature cryptographique aux messages sortants, pour que les destinataires vérifient que l'en-tête et le corps n'ont pas été altérés.
- network-security№ 1159
TLS (Transport Layer Security)
Protocole cryptographique standardisé par l'IETF qui fournit confidentialité, intégrité et authentification au trafic entre deux applications en réseau.
- network-security№ 984
Passerelle de messagerie sécurisée
Service périmétrique ou cloud filtrant le courrier entrant et sortant à la recherche de spam, phishing, malware, fuites de données et violations de politique avant arrivée dans les boîtes.
- network-security№ 878
Infrastructure à clé publique (PKI)
Ensemble de politiques, logiciels, matériels et autorités de confiance qui émettent, distribuent, valident et révoquent les certificats numériques liant identités et clés publiques.