Alors comme je l'ai dit, oui tu as raison je dois mettre en place https.

dans le cas1 je pense pas que ça change grand chose... les gouvernements vont "simplement" enregistrer le flux chiffré https et le déchiffrer avec la clé du serveur (ils auront bien trouvé comment récupéré les clés)

par contre pour le cas 2 je ne vois pas comment le MITM va etre mis en place... c'est TOI qui fourni le fingerprint à tes amis.
et il est récupéré de la clé publique du serveur.
du coup si la clé de chiffrement/déchiffrement n'est pas la même que le fingerprint, openPGP et trytolisten vont refusés de décrypter le message.

mais effectivement, c'est un bon moyen pour trouver les failles dans l'application.

donc je résume seul la clé public est envoyé avec le fingerprint et le nom de l'utilisateur. avec une seul parti tu ne peux pas faire de MITM à moins d'avoir enregistré les clés des deux protagoniste au moment de la création du compte et de les remplacer (et encore les fingerprint rentré dans l'interface ne seront pas les bons du coup).

Mais oui de toute façon je dois mettre en place HTTPS.