GnuPG a livré le 20 mars (de cette merveilleuse année 2020 qui a si bien commencé) la version 2.2.20 de son logiciel. Ce n’est pas mon habitude de faire des articles à chaque fois qu’une communauté ou quelqu’un livre une nouvelle version de son produit.

Mais dans cette version, ils ont ajouté quelque chose que j’attendais depuis très longtemps, et ça m’a tellement fait plaisir que j’ai pondu ces quelques lignes pour partager ma joie. C’est beau non ?

Le concept de base : chaque fois qu’on envoie un document signé avec notre clef à quelqu’un pour la première fois, il faut qu’elle aille chercher notre clef sur un serveur public. De la même façon, nous, avant de lui envoyer notre fichier, il faut avoir pris soin de vérifier que notre clef est bien sur un serveur public. Si ça n’est pas le cas, notre correspondant se retrouve avec un document dont il ne pourra pas vérifier l’identité de l’expéditeur.

Dans cette fameuse version 2.2.20, GnuPG nous donne à nous autres pauvre pêcheurs… Les options --include-key-block et --auto-key-import !

Ces options sont très simples d’utilisation et pourtant, je ne me demande comment on a fait pour vivre sans avant. La première sert, au moment de signer un fichier, à inclure dans ledit fichier notre clef publique. Notre commande devient donc :

% gpg -s -a --include-key-block secret-gov-data.txt

Nous n’avons donc plus à nous enquérir du fait que notre clef publique soit présente out there on a public server.

Côté receveur, il faudra inclure la seconde option pour récupérer automatiquement la clef publique de notre copain via son document signé.

% gpg --verify --auto-key-import secret-gov-data.txt.asc

Plus besoin d’aller chercher la clef de notre correspondant sur un serveur distant.

Un nouveau pas dans la simplicité d’utilisation de GnuPG qui pourrait avoir raison des utilisateurs rebutés par son aspect cryptique.