Cent mille adresses courriel confirmées !
Il y a cinq mois, nous lancions ce service. Nous avons aujourd’hui atteint une étape remarquable :
Nous remercions tous ceux qui utilisent ce service. Nous remercions tout particulièrement ceux qui nous ont envoyé des rétroactions et qui ont collaboré avec des traductions et même du code.
Quelques nouvelles sur certaines des choses auxquelles nous travaillons :
.Si vous souhaitez que keys.openpgp.org soit traduit dans votre langue maternelle, n’hésitez pas à vous joindre à l’équipe de traduction sur Transifex. Nous aimerions recevoir de l’aide, plus particulièrement pour le russe, l’italien, le polonais et le néerlandais.
C’est tout pour ces brèves nouvelles. 👍️
Nous avons lancé keys.openpgp.org il y a maintenant trois mois. Nous sommes heureux d’annoncer que ce fut un succès retentissant. 🥳
Le serveur de clés keys.openpgp.org a très bien été reçu par les utilisateurs, et les clients l’adoptent rapidement. Il est maintenant utilisé par défaut par GPGTools, Enigmail, OpenKeychain, GPGSync, Debian, NixOS et d’autres. De nombreux tutoriels ont aussi été mis à jour pour diriger les utilisateurs vers nous.
Alors que nous écrivons ces lignes, plus de 70 000 adresses courriel ont été confirmées.
Il convient de féliciter tout particulièrement GPGTools pour macOS. Ils ont orchestré le processus de mise à jour de manière si fluide que le nombre d’adresses confirmées a totalement explosé après qu’ils ont publié leur mise à jour.
Il n’a pas grand-chose à signaler d’un point de vue opérationnel et dans ce cas, pas de nouvelle est synonyme de bonne nouvelle. Depuis le lancement, il n’y a presque pas eu de temps d’arrêt et le volume d’assistance fut faible.
Notre trafic est actuellement de dix requêtes par seconde (plus durant la journée, moins la fin de semaine), et nous avons envoyé environ 100 000 courriels lors du mois dernier, sans problème.
Nous avons apporté plusieurs petites améliorations d’ordre opérationnel, dont le déploiement de DNSSEC, la mise en place de limites de débit, apporté la touche finale à nos en-têtes de politique de sécurité du contenu et activé le mode à un seul saut pour notre service onion sur Tor. Vous trouverez une liste plus complète ici (page en anglais).
Une amélioration qui mérite une mention spéciale est MTA-STS, qui améliore la sécurité des courriels sortants.
Bien que HTTPS soit déployé à peu près partout de nos jours, ce n’est malheureusement pas le cas pour le courriel. De nombreux serveurs n’ont pas du tout recours au chiffrement ou utilisent un certificat autosigné au lieu d’un certificat adéquat (p. ex. de Let’s Encrypt). Mais les problèmes de remise gênent plus les clients qu’une sécurité réduite et de nombreux courriels sont encore remis sans chiffrement.
Avec MTA-STS, les opérateurs de domaines peuvent indiquer (par HTTPS) que leur serveur de courriel prend en charge le chiffrement. Si une connexion sécurisée ne peut pas être établie vers un tel serveur, la remise du courriel sera différée, voire refusée au lieu de poursuivre sans sécurité adéquate.
Cela est particulièrement utile pour des services tels que keys.openpgp.org. Si le chiffrement n’est pas fiable, des assaillants pourraient assez facilement intercepter les courriels de confirmation. Mais pour les fournisseurs qui ont mis en œuvre MTA-STS, nous pouvons être certains que tous les messages sont remis en toute sécurité et au bon serveur.
Vous pouvez effectuer un contrôle (site en anglais) pour découvrir si votre fournisseur de service de courriel prend en charge MTA-STS. Si ce n’est pas le cas, veuillez leur envoyer un message et leur demander de rehausser leur niveau de sécurité.
Nous travaillons sur deux choses :
La première est la localisation. La plupart des gens ne parlent pas anglais, mais c’est actuellement la seule langue que nous prenons en charge. Nous collaborons avec le Labo de localisation afin de traduire le site Web et les courriels sortants en d’autres langues.
La seconde est de ramener les signatures par des tiers. Comme mentionné dans notre FAQ, nous ne les prenons actuellement pas en charge en raison de contenus indésirables et de possibilités d’abus. L’idée est d’exiger des signatures croisées, qui permettent à chaque clé de faire son choix quant aux signatures d’autres personnes qu’elle veut distribuer. Malgré cette étape supplémentaire, le processus est assez compatible avec les logiciels existants. De plus, il n’importune pas les utilisateurs qui ne se préoccupent pas des signatures.
Bien que nous travaillions à les mettre en place, une date de disponibilité n’est prévue ni pour l’une ni pour l’autre.
Au sujet du problème « pas d’identité » avec GnuPG (mentionné dans notre dernier article de nouvelles et dans notre FAQ), un correctif qui règle ce problème est maintenant en place sur Debian, ainsi que sur GPGTools pour macOS. GnuPG n’a pas encore fusionné ce correctif en amont.
C’est tout ! Nous vous remercions de votre intérêt. 👋
Résultat d’une initiative communautaire par Enigmail, OpenKeychain et Sequoia PGP, nous sommes heureux d’annoncer le lancement d’un nouveau serveur de clés OpenPGP public keys.openpgp.org. Hourra ! 🎉
Nous avons créé keys.openpgp.org afin de fournir une solution de rechange à la réserve de serveurs de clés SKS, qui est de nos jours utilisée par défaut par de nombreuses applications. Ce réseau distribué de serveurs de clés est aux prises avec des abus, des problèmes de performance et de protections des données personnelles, et plus récemment aussi avec des questions de conformité au RGPD (pages en anglais). Kristian Fiskerstrand a accompli un travail absolument exemplaire de maintenance de la réserve depuis plus de dix ans, mais à l’heure actuelle, l’activité de développement semble être pratiquement arrêtée (pages en anglais).
Nous avons pensé qu’il était temps d’envisager une approche nouvelle pour résoudre ces problèmes.
Le serveur de clés keys.openpgp.org sépare dans les clés les renseignements qui peuvent vous identifier de ceux qui ne le peuvent pas. Vous trouverez plus de précisions sur notre page À propos : en gros, les renseignements qui ne permettent pas de vous identifier (les clés, les révocations, etc.) sont distribués librement, alors que ceux qui permettent de le faire sont seulement distribués avec consentement, qui lui-même peut être révoqué n’importe quand.
Si une nouvelle clé est confirmée pour une adresse courriel donnée, cette dernière remplacera la précédente. De cette façon, chaque adresse courriel est au plus associée à une seule clé. Le propriétaire de l’adresse peut aussi la retirer n’importe quand de la liste. Cela est très pratique pour la découverte de clés : si une recherche par adresse courriel retourne une clé, cela implique que c’est la seule qui est actuellement valide pour l’adresse courriel recherchée.
Le serveur de clés keys.openpgp.org sera pris en charge de façon prioritaire dans les versions à venir d’Enigmail pour Thunderbird et d’OpenKeychain pour Android. Cela signifie que les utilisateurs de ces logiciels profiteront de temps de réponse plus courts et d’une découverte de clés par adresse courriel améliorée. Nous espérons que cela nous donnera aussi l’élan nécessaire pour faire évoluer ce projet vers une initiative communautaire de plus grande envergure.
Les techniques qui protègent les données personnelles sont encore nouvelles pour ce qui est des serveurs de clés et malheureusement, la séparation des renseignements d’identité cause encore quelques problèmes de compatibilité.
Plus particulièrement, quand GnuPG (version 2.2.16 au moment d’écrire ces lignes) rencontre une clé OpenPGP sans identités, il retourne une erreur « pas d’identité » et ne traite pas les nouveaux renseignements qui ne permettent pas l’identification (tels que les certificats de révocation), même s’ils sont valides d’un point de vue cryptographique. Nous nous efforçons activement de trouver des correctifs pour ces problèmes.
Les techniques qui protègent les données personnelles sont encore nouvelles pour ce qui est des serveurs de clés et nous avons d’autres idées sur la façon de réduire la quantité de métadonnées. Mais pour l’instant, nous prévoyons seulement d’assurer la fiabilité et la rapidité 🐇 de keys.openpgp.org, de corriger les bogues qui se présenteraient 🐞, et de rester à l’écoute des rétroactions de la communauté. 👂
Pour plus de précisions, consultez nos pages À propos et FAQ. Vous pouvez commencer tout de suite en téléversant votre clé. Vous serez aussi intéressés par notre API et notre service onion.
Merci ! 🍻