Le logiciel GnuPG est disponible sur plusieurs sites mais le mieux est de le télécharger depuis son site officiel. Vous trouverez aussi sur ce site les adresses de sites mirroirs. Si vous disposez déjà d'une version installée de GnuPG ou de PGP, il est fortement recommandé d'en profiter pour vérifier que les sources de GnuPG que vous avez téléchargées sont bien les sources authentiques.
Le logiciel GnuPG est disponible sous forme de paquets Debian ou Red Hat et sous forme de sources. Les paquets Debian et Red Hat s'installent directement à l'aide des outils de gestion de paquets fournis avec les distributions correspondantes et leur installation n'est pas abordée dans ce document. La marche à suivre pour installer GnuPG à partir des sources est detaillée ci-dessous. Si vous installez GnuPG sur une architecture ou un système différent de ceux initialement prévus, il serait bien 8) de faire parvenir les détails de votre installation aux auteurs de GnuPG qui pourront ainsi en faire profiter le plus grand nombre. La liste des systèmes d'exploitation sur lesquels GnuPG a déjà été compilé avec succès est disponible sur le site officiel de GnuPG.
Remarque : la réglemention des Etats Unis d'Amérique restreint très sévèrement l'exportation de produits de chiffrement fort. Cette régulation a deux conséquences importantes. La première est qu'il est illégal de télécharger GnuPG sur un site hébergé sur le territoire des Etats Unis d'Amérique depuis un ordinateur situé à l'extérieur de ce territoire. La seconde est qu'il existe une version internationale et une version nationale (destinée aux Etats Unis d'Amérique) du logiciel PGP. Il est aussi intéressant de noter que vous êtes libre de télécharger la version internationale de PGP depuis une machine située sur le territoire des Etats Unis d'Amérique mais qu'il vous sera cependant totalement interdit de quitter ce même territoire avec cette version !
Anecdote : les sources de la version internationale ont été légalement exportées sous forme d'un livre qui a ensuite été scanné à Oslo. Vous trouverez d'autres informations à ce sujet sur le site International PGP Homepage.
Détarrer les sources de GnuPG :
tar xvzf gnupg-?.?.?.tar.gz
puis descendez dans le répertoire créé par la commande précédente et lancez la configuration des sources de GnuPG pour votre système :
./configure
Par défaut, GnuPG s'installe dans des répertoires où seul root peut écrire. Si vous n'avez pas les droits root, vous pouvez changer le répertoire de base de ces répertoires d'installation :
./configure --prefix=AutreRépertoireDeBase
AutreRépertoireDeBase/bin à
votre variable d'environnement PATH.
Si aucun message d'erreur n'apparait à la fin de la configuration, c'est que celle ci s'est bien
déroulée. En cas de problème avec l'internationalisation (gettext) de GnuPG, vous pouvez essayer
./configure --with-included-gettext ou ./configure --disable-NLS.
Si un message d'erreur est affiché durant cette configuration, vous pouvez consulter le fichier
config.log qui contient tous les détails sur le déroulement du processus de
configuration.
La configuration des sources est un processus très paramétrable. Vous pouvez afficher
toutes les options de configuration possibles grâce à l'option --help :
./configure --help
Pour lancer la compilation, il suffit maintenant de taper :
make
BUGS fourni avec les sources de GnuPG. Si ce fichier n'est pas suffisant, vous pouvez
demander de l'aide en postant vos questions (soyez PRECIS) dans la
liste de diffusion adéquate de GnuPG.
L'installation utilise la même commande que la compilation mais avec l'option
install :
make install
Si vous disposez des droits root, vous
pouvez décidez de positionner le suid bit de l'exécutable gpg. L'intérêt est qu'ainsi,
gpg pourra empêcher le système de swapper des données confidentielles sur le disque
dur. L'inconvénient est que si vous n'avez pas pu vérifier l'authenticité des sources de GnuPG que
vous avez téléchargées, il existe alors une probabilité non nulle que ces sources aient été
modifiées de façon mal intentionnée (cheval de Troie). Dans ce cas, accorder les droits d'exécution
root à un tel programme compromet fortement la sécurité de votre système, si ce n'est son
fonctionnement correct. Pour être complet, même dans le cas où vous avez vérifié l'authenticité des
sources de GnuPG, il vous faut encore vous interroger sur l'authenticité de la signature dont vous
vous êtes servi, du programme utilisé pour récupérer cette signature, du programme utilisé pour
vérifier la signature des sources, etc. L'attribution des droits d'exécution root à gpg n'est donc pas une
décision à prendre à la légère.
Si vous choisissez de ne pas accorder les droits d'exécution root à gpg ou que vous n'avez pas les droits
root, gpg affichera un message d'avertissement à chaque fois que des données confidentielles risquent
d'être écrites sur votre disque dur suite à un swap :
Warning: using insecure memory!
no-secmem-warning dans votre fichier ~/gnupg/options.