GNU Privacy Guard
GnuPG (ou GPG, de l'anglais GNU Privacy Guard) est l'implémentation GNU du standard OpenPGP défini dans la RFC 4880[3], distribuée selon les termes de la licence publique générale GNU.
Pour les articles homonymes, voir GPG.
| Créateur | Werner Koch |
|---|---|
| Développé par | Projet GNU |
| Première version | [1] |
| Dernière version | 2.3.2 ()[2] |
| Dépôt | dev.gnupg.org/source/gnupg.git |
| Écrit en | C |
| Système d'exploitation | GNU/Linux, BSD (d), Microsoft Windows et macOS |
| Formats lus | GNU Privacy Guard public keyring (generic) (d) |
| Formats écrits | GNU Privacy Guard public keyring (generic) (d) |
| Langues | Multilingue (d) |
| Type |
Logiciel de cryptographie Privacy software (en) |
| Licence | GPL-3.0+ (d) |
| Site web | gnupg.org |
Ce logiciel permet la transmission de messages électroniques signés et chiffrés, garantissant ainsi leurs authenticité, intégrité et confidentialité.
Historique
Le projet est initié à la fin des années 1990 par Werner Koch dans le but de remplacer la suite PGP de logiciels cryptographiques (plus précisément, de cryptographie asymétrique) par une alternative en logiciel libre. Il a pour cela bénéficié d'un financement important de la part du ministère fédéral de l'Économie d'Allemagne[4]. La première version stable est publiée le 7 septembre 1999[5]. En décembre 2013 est lancée une première campagne de financement participatif, dans le but de créer un site web plus attractif, améliorer la documentation et sortir la version 2.1 de GnuPG[6]. En 24 heures, 90 % de l'objectif (24 000 €) ont été atteints[7]. Depuis 2015, la Core Infrastructure Initiative subventionne le projet à hauteur de plus de 50 000 € par an[8].
Caractéristiques
Le principal inconvénient de GnuPG est — comme pour tous les procédés de chiffrement asymétrique — que la clé privée doit être enregistrée quelque part. Si c'est sur une clé USB que l'on garde avec soi, les risques de perte, de vol ou de copie existent. Si elle se trouve sur le disque dur d'un ordinateur, on est alors exposé aux risques classiques du piratage. Notons qu'une phrase (ou mot) de passe, optionnelle mais pouvant protéger la clé privée, limite alors les risques.
Depuis novembre 2014, GnuPG est maintenu dans trois branches : la branche classique, portable mais désuète, dont la dernière version est la 1.4.2x ; la branche stable, offrant plus de fonctionnalités (par exemple le support des certificats X.509), dont la dernière version est la 2.0.3x ; enfin la branche moderne, présentant de nouvelles fonctionnalités (par exemple le support de la cryptographie sur les courbes elliptiques), dont la dernière version est la 2.2.x.
Depuis sa version 2.0, GnuPG peut être installé sur une carte à puce. La clé privée est alors protégée par le code PIN de la carte, ce qui permet d'en améliorer sensiblement la confidentialité.
Utilisation
GnuPG est un logiciel stable distribué dans tous les systèmes d'exploitation libres, notamment GNU/Linux.
Bien que le logiciel GnuPG soit doté d'une interface en ligne de commande, plusieurs applications ou extensions lui fournissent une interface graphique ; par exemple, il a été intégré entre autres à Mozilla Thunderbird et SeaMonkey via Enigmail, ou encore à KMail, le client de messagerie fourni avec KDE et enfin à Mail, le client de messagerie d'OS X, via GPGMail. Il est également disponible sous Microsoft Windows, depuis la publication de la suite logicielle Gpg4win, en 2005. Pour les appareils fonctionnant sous Android, les applications APG (Android Privacy Guard) ou bien OpenKeychain peuvent s'intégrer au client de messagerie K-9 Mail.
GnuPG est aujourd'hui communément utilisé, notamment depuis les révélations sur le programme de surveillance PRISM[9]. Il figure parmi les outils généralement recommandés[10]. Sa robustesse face aux attaques de la NSA a été confirmée dans un article publié en décembre 2014 par Der Spiegel[11].
Notes et références
- (en) « Release Notes » (consulté le )
- (en) Werner Koch, « GnuPG 2.3.2 released », (consulté le )
- (en) Network Working Group, « Request for Comments: 4880 - OpenPGP Message Format », sur tools.ietf.org, (consulté le )
- (de) Florian Rötzer, « Bundesregierung fördert Open Source », sur heise.de, (consulté le )
- (en) Werner Koch (07-09-1999), « GnuPG 1.0 released », gnupg-announce.
- (en) « GnuPG: new website and infrastructure », sur Goteo (consulté le 21 décembre 2013)
- Sam Tuke et Framalang, « GnuPG a 16 ans et est en campagne », sur Framablog, 20 décembre 2013 (consulté le 21 décembre 2013)
- (en) Julia Angwin, « The World’s Email Encryption Software Relies on One Guy, Who is Going Broke », ProPublica, (lire en ligne, consulté le )
- Sébastien Gavois, « PRISM : un message “top secret” pour Edward Snowden, chiffré via GnuPG », Next INpact, (consulté le )
- Peng Zhong, « Chiffrement des courriels », sur prism-break.org, Nylira, (consulté le )
- Jacob Appelbaum, Aaron Gibson, Christian Grothoff, Andy Müller-Maguhn, Laura Poitras, Michael Sontheimer et Christian Stöcker, « Inside the NSA's War on Internet Security », sur spiegel.de, 28 décembre 2014 (consulté le 29 décembre 2014)
Voir aussi
Articles connexes
Liens externes
- (en) Site officiel ;
- (en) GnuPG sur le répertoire du logiciel libre ;
- Martin Untersinger, « GPG, un projet crucial pour la sécurité des e-mails, sauvé de la banqueroute », sur lemonde.fr, (consulté le ).
Portail de la cryptologie 
Portail de la sécurité informatique 
Portail des logiciels libres