Une signature GPG est comme un « cachet numérique » qui permet de vérifier que :
- Un fichier ou un message provient bien de l’expéditeur annoncé
- Et qu’il n’a pas été modifié depuis.
C’est une méthode cryptographique utilisée pour garantir l’intégrité et l’authenticité d’un fichier, d’un message ou d’un document numérique.
GPG signifie GNU Privacy Guard, un outil open-source conforme au standard OpenPGP.
Une signature GPG est créée avec une clé privée : elle prouve que l’auteur du message est bien celui qu’il prétend être (authenticité).
Elle permet aussi de vérifier que le contenu n’a pas été modifié depuis sa signature (intégrité).
Fonctionnement :
- L’auteur signe un fichier ou un message avec sa clé privée GPG.
- Le destinataire vérifie la signature avec la clé publique de l’auteur.
- Si la signature est valide :
- Le fichier est authentique (signé par la bonne personne).
- Le fichier est intègre (pas altéré depuis la signature).
Usages courants :
- Signer des commits Git ou des tags.
- Signer des paquets logiciels (Debian, RPM, etc.).
- Signer des emails (avec des clients compatibles).
- Signer des documents numériques.