Sécurité & authenticité
Vérifier que ce contenu provient bien de Teddy JEAN-BAPTISTE
Les articles publiés sur ce blog peuvent être signés numériquement avec une clé OpenPGP (GPG). Cette signature ne protège pas contre la copie, mais permet à tout lecteur de vérifier de façon indépendante qu'un article a bien été publié et signé par Teddy JEAN-BAPTISTE, et que son contenu n'a pas été modifié depuis sa signature.
Ce que la signature atteste
- ✓Provenance : le contenu provient bien du détenteur de la clé privée (Teddy JEAN-BAPTISTE, via une YubiKey physique).
- ✓Intégrité : le contenu n'a pas été modifié depuis l'instant de la signature.
- ✓Relecture et validation humaine : plusieurs articles sont co-écrits avec des agents IA (ChatGPT, Claude). La signature certifie que Teddy JEAN-BAPTISTE a relu et validé le contenu final avant publication — l'IA peut avoir contribué à la rédaction, la responsabilité éditoriale reste humaine.
🔑Clé publique GPG
Empreinte (fingerprint)
1B9B FDBE 03A5 173D 3939 3924 3F52 DB76 391A 52EDServeur de clés
La clé publique à jour est disponible sur keys.openpgp.org, un serveur qui vérifie la propriété de chaque adresse email associée à la clé avant de l'exposer publiquement.
https://keys.openpgp.org/vks/v1/by-fingerprint/1B9BFDBE03A5173D393939243F52DB76391A52EDIdentités (UID) vérifiées
- • Teddy JEAN-BAPTISTE<>
- • Teddy JEAN-BAPTISTE<>
✅Vérifier un article signé
Chaque article signé est accompagné de deux fichiers de preuve, accessibles depuis la page de l'article : une signature détachée (.asc) et une empreinte sha256 (.sha256) du contenu source.
- 1. Récupérer la clé publique depuis keys.openpgp.org
gpg --keyserver hkps://keys.openpgp.org --recv-keys 1B9BFDBE03A5173D393939243F52DB76391A52ED - 2. Télécharger le fichier source de l'article ainsi que sa signature (.asc)
- 3. Vérifier la signature avec GPG
gpg --verify fr.mdx.asc fr.mdx
Une signature valide confirme deux choses : le contenu provient bien du détenteur de la clé privée, et il n'a pas été altéré depuis la signature.
🔄Rotation des clés
La clé de signature a une durée de vie limitée et doit être renouvelée avant expiration. La procédure est documentée en vidéo ci-dessous : renouvellement d'une clé GPG expirée et synchronisation avec GitHub. Les anciennes clés publiques restent conservées afin que les articles déjà signés restent vérifiables.
Renouveler une clé GPG expirée pour GitHub — Signature Git
Renouveler une clé GPG expirée et synchroniser avec GitHub via glab
⚠️Ce que cette preuve ne couvre pas
Une signature GPG prouve l'authenticité et l'intégrité du contenu signé au moment de la signature. Elle n'empêche pas la copie du texte, ne garantit pas la disponibilité future du contenu, et ne couvre pas les modifications éditoriales publiées après la signature (auquel cas une nouvelle signature est requise).