
Tapez une adresse e-mail dans la plupart des serveurs de clés OpenPGP. Vous obtiendrez quelque chose comme :
Type bits/keyID Date User ID
pub 255E/0x8C39D09E68D27179 2026/05/08 Alice Dupont <alice@example.com>
Un visiteur non-technique qui atterrit là ne comprend rien : c’est quoi un pub ? un KeyID ? pourquoi 255E ? est-ce que la clé est encore valide ?
À foopgp, on estime qu’un serveur de clés doit servir tout le monde : du vérificateur expert qui veut surfer à travers la toile de confiance, au correspondant qui veut simplement visualiser le certificat de son destinataire. Les serveurs actuels ne servent bien ni l’un ni l’autre.
Notre service keys.foopgp.org tourne désormais sur une version refondue en profondeur. Ce qui suit la décrit.

Recherche « mneme » — deux clés remontées, layout à deux colonnes, portrait à gauche, identifiants à droite. Copie d’écran de keys.foopgp.org/pks/lookup?op=index&search=mneme.
Sept choix visibles au premier coup d’œil :
2026-05-08, 2037-05-05) plutôt qu’en format ambigu 05/08/2026. Pas d’hésitation sur mois vs jour.ed25519) plutôt que le mnémonique historique 255E.Tout est en français ici parce que le navigateur qui a fait la requête l’était. La page se traduit toute seule en anglais, allemand, espagnol, italien, ukrainien ou polonais selon la locale — sept langues qui correspondent au bandeau utilisé sur le reste de foopgp.org, pour qu’un visiteur ne « change pas de pays » entre nos pages.
Basculez sur le mode expert (op=vindex au lieu de op=index) :

Vue détaillée : une clé avec toutes ses signatures visibles, y compris les UIDs révoqués (grisés).
Trois différences avec le mode standard :
sig 0xFE13… Jean-Jacques B. en dessous de <jjbrucker@foopgp.org> signifie : « Jean-Jacques a auto-certifié cette identité ». Un rev en préfixe signifie que la signature a été révoquée depuis.En parallèle du rendu, on a renforcé la sécurité. Un serveur de clés public est une cible régulière — attaques par flood, empoisonnement WoT, paquets malformés. La version d’onak que nous déployons applique cinq durcissements en partie empruntés au draft IETF draft-dkg-openpgp-abuse-resistant-keystore
:
drop_v3=false a été retirée : plus de porte dérobée.aged, dump-aged, clean-aged) — un opérateur peut lister les clés dormantes depuis N années, en exporter un jeu chiffré, ou les purger sans en laisser fuiter le contenu au passage.Rien de tout ceci n’est spécifique à foopgp. Et l’on espère que ces améliorations seront reprises dans la version upstream d’onak, afin que l’ensemble de la communauté Debian puisse en bénéficier.
Le rendu HTML a été isolé dans un moteur de templates Mustache minimaliste — 200 lignes de C, ni dépendance externe, ni JavaScript côté serveur. Deux templates coexistent dans le paquet :
vanilla : la sortie legacy (<pre> monospace), mais rendue depuis un template au lieu d’être hardcodée en C. Un opérateur qui préfère le look historique la garde.foopgp : le layout à deux colonnes qu’on vient de voir. C’est le défaut de notre paquet.Un opérateur qui veut son propre look ajoute son template dans /etc/onak.ini :
[main]
template_dir=/usr/share/onak/templates/mytheme
Et livre son propre key_index.html. Aucune modification C requise.
Le template foopgp en particulier tient dans un seul fichier de 130 lignes. Un peu de CSS et de javascript assez générique, pas de dépendances.
Notre travail est distribué sous le nom onak-foopgp, un paquet Debian source et binaire distinct de l’onak officiel de Debian.
Cette séparation n’est pas un divorce. Les cinq durcissements du cœur (§ « ce qu’on a nettoyé ») sont proposables en pull requests amont, et le moteur de templates aussi. La saveur foopgp — le template deux colonnes, la page d’accueil sept langues, le lien contact en pied de page vers la clé de l’opérateur — est un choix éditorial : il ne devrait pas s’imposer en silence à un administrateur d’onak vanilla via une mise à jour Debian. D’où le nom distinct.
Réciproquement, notre branche reste périodiquement rebasable sur amont. Chaque amélioration qu’onak livre, on la récupère.
Le serveur de clés est une étape sur un chemin plus long. Notre cap :
keydb_uetree (backend en cours de spécification chez nous) permettrait à onak de servir les certificats depuis une arborescence uetree — sauvegardée, synchronisée et fragmentée à travers git.foopgp/main)apt install onak-foopgp depuis notre dépôtSi vous rencontrez un bug : ouvrez un ticket ou écrivez-nous, chiffré et signé, à mneme@foopgp.org .