S'il n'a pas de clé publique il ne peut pas vérifier la signature donc non, ça ne garantit rien.
La sécurité de PGP repose sur la confiance des clés et leur signature par des personnes de confiance. En résumé le principe de PGP c'est :
- Alice crée sa paire, bob également.
- Alice et bob se connaissent, ils vont se rencontrer (ou mettre un système de confiance) et se signer mutuellement leur clé .
- Si charles a confiance dans la clé de bob, si Alice envoie à bob un mail signé, charles peut légitimement faire confiance à la clé d'Alice car il a confiance dans la clé de bob
Si tu n'as pas de chaîne de confiance pour remonter à la clé qui dit avoir signé, tu ne peux pas dire que la "signature est ok". Tu peux voir que la signature correspond à la clé indiquée, mais tu ne sais pas si cette clé est réellement liée à personne se disant l'expéditrice.
Plus la paire de clé aura été signée par différentes personnes, plus tu auras de chaine potentielle permettant de valider la clé ayant signée. C'est là que repose le principe de PGP et c'est pour cela que les "cérémonie" de signature de clé sont si importante. C'est l'un des maillon sensible de l'infrastructure.
Pour la synchro des serveurs de clé il me semblent que oui, mais ce n'est pas du temps réel.
Message édité par o'gure le 24-11-2011 à 08:14:27
