Beaucoup d'entre vous comprennent la nécessité d'utiliser des outils tels que GnuPG pour sécuriser leur correspondance, soit pour signer vos messages afin d'assurer leur provenance, soit pour les chiffrer avec la clef publique du (des) destinataire(s).
L'APRIL a récemment indiqué dans une interview d'Olivier Berger, secrétaire, que la cryptographie était indispensable. Uzine a publié un article intitulé « pourquoi j'utilise PGP » de septembre 2000, mais toujours d'actualité.
Cependant, toute la force de GnuPG vient lorsque l'on échange ses fingerprints avec ses petits voisins, afin d'agrandir son réseau de confiance. Lorsque vous rencontrez quelqu'un, vous vérifiez son identité (passeport, etc) et vous prenez sa fingerprint. Une fois de retour chez vous, vous téléchargez sa clef sur un serveur (keyserver par exemple), vous vérifiez la fingerprint, et si elle correspond vous la contre-signez, attestant que cette clef appartient bien à la personne que vous avez rencontrée.
Cependant il devient ensuite beaucoup plus intéressant, à mon avis, d'échanger ses fingerprints avec des gens qui sont géographiquement loin, et que vous avez peu de chance de rencontrer de visu, ceci afin d'agrandir encore un peu votre réseau de confiance. Un problème se pose alors, comment rencontrer des gens prêts à les échanger lors de vos voyages ponctuels ? Contacter les lugs sur place ? Peu efficace en fait. L'idéal serait un serveur qui listerait les gens prêts à échanger leur fingerprint, classés par région, pays, etc. Je n'ai pas trouvé de tels projets, si quelqu'un a des idées à ce propos... commentaires bienvenus.
GnuPG et échange de clefs
30
oct.
2001
# Je ne comprend pas!
Posté par Anonyme . Évalué à -4.
C'est exactement ce que fait Microsoft, qui vérifie votre MS-passport, et vous trouvez pas ça normal!
Alors, qui croire?
[^] # Re: Je ne comprend pas!
Posté par Rin Jin (site web personnel) . Évalué à 7.
Exactement? Non, parce que MS fait ça dans un but purement commercial. Il faut espérer que si ce types de choses existe (le serveur PGP), les données fournis ne soient pas utilisé à de cette maniéres.
Je ne pense pas que l'on puissent dire PGP=passport, le premier permet une défense de sa vie privée, le second va à l'encontre de la vie privée!
[^] # Re: Grosse différence...
Posté par Pierre Jarillon (site web personnel) . Évalué à 10.
Au contraire, GnuPG constitue un réseau maillé non hiérarchisé sur le modèle d'Internet.
# Bah et le first jeudi alors ???
Posté par Maxime Ritter (site web personnel) . Évalué à -5.
Ah oui, bon je vois ce que Fabien veux dire mais je n'en ai jamais entendu parler. Allez -1
# Sécurité ?
Posté par Gaétan RYCKEBOER . Évalué à 8.
Ou alors, je ne comprend pas bien l'intérêt d'échanger les Fingerprint par rapport aux serveurs de clés, mais je ne vois - dans ce cas - pas la différence.
Idéalement, il vaudrait mieux faire confiance un quelqu'un de "sérieux" ie. reconnu, dont le fingerprint est réputé sûr.
[^] # Re: Sécurité ?
Posté par Guillaume Thomassin . Évalué à 4.
Ben justement le but c'est de rencontrer les personnes pour pouvoir faire confiance au fingerprint.
--
Chuchi
[^] # Re: Sécurité ?
Posté par gle . Évalué à 1.
[^] # Re: Sécurité ?
Posté par Fabien Penso (site web personnel, Mastodon) . Évalué à 2.
[^] # Re: Sécurité ?
Posté par sToR_K . Évalué à -1.
[^] # Re: Sécurité ?
Posté par GP Le (site web personnel) . Évalué à 7.
La news : Lorsque vous rencontrez quelqu'un, vous vérifiez son identité (passeport, etc) et vous prenez sa fingerprint
Pour poster vite, faut avoir une bonne lecture rapide ;)
Ou alors, je ne comprend pas bien l'intérêt d'échanger les Fingerprint par rapport aux serveurs de clés, mais je ne vois - dans ce cas - pas la
différence.
Le serveur de news stocke les enorme clefs GPG en les associant a des fingerprints. Toi, on te donne un fingerprints, tu recupere le clef et tu verifies que fingerprints+mail certifie lors de la rencontre == fingerprints+mail recupere sur le serveur !
Idéalement, il vaudrait mieux faire confiance un quelqu'un de "sérieux" ie. reconnu, dont le fingerprint est réputé sûr.
C'est le but final des echanges, A as confiance en B. B a confiance en C. Donc a A peut avoir confiance en C.
Il faut donc avoir pleins de B et surtout dans pleins de "reseaux sociaux" differents. D'ou l'idee de centraliser les personnes qui acceptent les echanges. Comme ca, tu fais "Oh tiens, je vais aller a Montreal. Qui est a Montreal ?" Hop tu file rencard et tout les gens que tu as signe deviennent joingnable !
C'est pas beau la vie ?
[^] # Re: Sécurité ?
Posté par Gaétan RYCKEBOER . Évalué à 0.
Sinon, vraiment, je ne vois pas la différence entre stocker des clés sur un serveur quelconque; et stocker l'adresse de sinistres inconnus qui veulent bien échanger des fingerprints, et à qui tu devrait faire totalement confiance.
[^] # Re: Sécurité ?
Posté par Guillaume Thomassin . Évalué à 3.
--
Chuchi
# OutLook
Posté par Anonyme . Évalué à 9.
Quid d'un Plugin pour Outlook Express ??
Pour une plus grande diffusion de GnuPG ...je pense que cela serait le meilleur moyen. Sans ca GnuPG restera dans les sombres labyrinthes des Super Branchés informatiques pour une éternité :)
Voila mon point de vue
[^] # Re: OutLook
Posté par Anonyme . Évalué à -5.
[^] # Re: OutLook
Posté par benja . Évalué à 3.
Ceci dit, tu relève un point très important : la sécurité forme un tout. C'est bien de sécuriser les échanges d'information, mais ce n'est qu'utile si l'accès à ces informations est aussi sécurisé.
[^] # Le plug-in Outlook Express 5.x / 6.0 existe et est sous GPL
Posté par Anonyme . Évalué à 10.
[^] # Et pour Mozilla ?
Posté par Jean-Sébastien Pédron (site web personnel) . Évalué à 2.
Il serait fort pratique, étant donné que beaucoup de gens utilisent ce navigateur (d'après la news sur les stats DLFP :).
[^] # Re: Et pour Mozilla ?
Posté par Eugen Dedu . Évalué à 7.
[^] # Re: Le plug-in Outlook Express 5.x / 6.0 existe et est sous GPL
Posté par Fred Henri . Évalué à 1.
Je connaissais déja winpt, mais je ne savais pas qu'il avait sorti un plugin pour OutLook
Y a plus qu'à essayer de le répendre .... ce n'est pas une mince affaire !
[^] # Re: OutLook
Posté par Anonyme . Évalué à 3.
# C'est la journée des questions
Posté par Blackknight (site web personnel, Mastodon) . Évalué à 10.
Je crois pas étant donné que la législation autorise les clefs de longueur inférieure ou égale à 128 bits pour l'échange données perso ( cf. http://www.scssi.gouv.fr/fr/reglementation/tab_synth.html(...) ).
Je vous tiens tous les gens de Linuxfr, vous n'êtes que des terroristes en puissance !!!!!
C'est la fin de la journée, désolé.
Donc sans rire, on a le droit ou pas ?? En fait, peut-on brider GPG avec des clefs de moins de 128 bits ?
[^] # Re: C'est la journée des questions
Posté par Anonyme . Évalué à 5.
[^] # Re: C'est la journée des questions
Posté par Arnaud FEIX . Évalué à 7.
Je cite un "thread" de l'OSSIR :
Oui, le logiciel utilise une clef de chiffrement d'une longueur de 128 bits qui est autorisee par la legislation francaise.
D'apres la DCSSI, seules les versions 6.5.1 et 6.5.2 sont autorisée (
http://www.scssi.gouv.fr/present/chiffre/liste.html(...) )
La 6.5.1 existe en Francais, la 6.5.2 en US (
http://www.pgpi.org/products/pgp/versions/freeware/win32/(...) )
Voila ..
[^] # Re: C'est la journée des questions
Posté par Vivi (site web personnel) . Évalué à -2.
$ rpm -q gnupg
gnupg-1.0.6-1
'tain, j'suis pas à jour moi ...
[^] # Re: C'est la journée des questions
Posté par Anonyme . Évalué à 6.
Cependant, il est tout a fait legal d'utiliser GPG pour tout ce qui est signature, authentification et verification d'integrite, et ceci sans aucune formalite (voir les articles de loi, disponibles entre autres sur lsijolie).
Ce qui est interdit, c'est d'utiliser GPG (ou tout autre logiciel non approuve par la DCSSI) pour chiffrer tes messages/donnees. J'ai demande recemment a Werner Koch (l'un des auteurs de GPG) de faire la demande d'autorisation en France, et bien qu'il soit reticent, il va examiner la question.
Quant'a la possibilite de "brider" GPG, elle existe mais est contraignante (tu chiffres avec la cle du destinataire, pas la tienne!).
Sylvain.
# Partage de clés entre plusieurs ordinateurs
Posté par tomazi . Évalué à 4.
Faut-il copier sa clé sur tous les ordinateurs, au risque de ne pas le faire sur des ordinateurs dont on ne soit pas sûr (au travail) ? (ok la passphrase est toujours là).
# Et si ?
Posté par Eddy . Évalué à 4.
Il faudrait voir si on ne pourrait pas y deposer nos propres clefs, trouver une maniere de les certifier, et tout le tintouin.
Mais je dis peut-etre des conneries...
[^] # Re: Et si ?
Posté par pas_moi . Évalué à 5.
[^] # Re: Et si ?
Posté par Eddy . Évalué à 3.
Si je veux mettre n'importe quoi comme clef, et bien elle est fausse, et personne ne peut la verifier. Alors certes, dans les preferences, on peut les mettres, mais il n'y a pas de garantie.
J'ai peut-etre pas ete assez clair precedemment.
[^] # Re: Et si ?
Posté par Matafan . Évalué à 6.
Un sytème comme linuxfr te permet, de façon assez sûre, d'associer une clé à l'utilisateur d'un site. Evidemment, rien ne te garantit que la clé appartient bien à une personne physique particulière (moi) ; mais tu elle tout de même associée de façon certaine à "l'entité" que tu côtoie sur le site.
Un seul problème peut donc apparaître : un utilisateur X de linuxfr peut voler le pseudo d'une autre personne Y que tu connais par ailleurs sous ce même pseudo, tout en indiquant dans son profil sa vrai clé publique. Alors si tu envoie un mail à Y (ton copain) en le chiffrant avec la clé publique récupérée sur linuxfr, la personne X (l'usurpateur) pourra le déchiffrer. Mais dans ce cas, le problème vient de ce que tu mélange les rôles. Linuxfr te garentit que la clé appartient à la personne que tu cotoie sur linuxfr (donc X), pas à celle que tu connais pas ailleurs (Y).
[^] # Re: Et si ?
Posté par Eddy . Évalué à 4.
Donc les preferences ne sont pas le bon moyen. Cela peut etre un pis-aller, mais je ne coirs pas que c'est ce que recherchais Fabien. Me trompe-je?
[^] # Re: Et si ?
Posté par Fabien Penso (site web personnel, Mastodon) . Évalué à 5.
Le soucis c'est d'être certain à 100% que la clef de Mr Fabien Penso appartient bien à Fabien Penso, comment le savoir ? Pas avec les préférences LinuxFr, qui ont tout pour elles sauf la certitude de parler à la personne dont le nom est donné dans les préférences.
Non le seul moyen d'être sûr à 100% c'est de rencontrer la personne de visu, de vérifier avec sa carte d'identité qu'elle est bien qui elle dit être, c'est tout.
Ensuite par rapport à ce que j'ai lu plus haut, le fait de faire confiance à quelqu'un qui est loin. Evidemment quand on signe la clef de quelqu'un qui s'appelle Du Genou et qui habite Montréal, on ne va pas forcément dans son keyring local mettre qu'on le trust fully, mais avec de la chance on peut tomber sur le président du lug local, ou quelqu'un d'important, qu'on peut par contre truster sans trop de soucis, et donc toutes les clefs qu'il a signé seront trustées aussi. On agrandit ainsi son réseau de confiance et ce n'est pas plus mal.
Ca a aussi un intérêt par exemple je me ballade souvent dans les salons, je signe les clefs de gens, tout ceux qui m'auront rencontré (moi) et qui m'auront trusté auront la certitude que les clefs que j'ai moi même validé appartiennent bien aux personnes.
Bref, je ne vois aucun inconvénient à échanger des fingerprint avec le plus de monde possible, sachant qu'ensuite il est de la responsabilité de chacun de truster la personne ou non. Je suis d'ailleurs plus intéressé par signer des clefs, qu'à me faire signer la mienne. Ensuite on commence à avoir une clef publique énorme, c'est chiant :) Je dois dire que j'aurais désormais tendance à selectionner qui signe ma clef (genre les gens importants ou qui voyagent beaucoup), enfin plus qu'avant.
# a voir
Posté par Anonyme . Évalué à -2.
[^] # Re: a voir
Posté par Anonyme . Évalué à -2.
Complémentaire je dirais, ze-linux pour le coté sérieux et linuxfr.org pour le coté déconne/geekos.
@+
[^] # Re: a voir
Posté par Anonyme . Évalué à -4.
Cé même pa GNU
Linux Rullezzzz
Et nous les geeks, tu sais ce qu'on te di ?
[^] # Re: a voir
Posté par Arnaud (site web personnel) . Évalué à -4.
retourne d'abord en CM1 apprendre l'orthographe :))
aller, -1 pour la peine
# Ca sert à quoi PGP/GPG ?
Posté par jojolapin . Évalué à 4.
Bon, c'est bien chouette de pouvoir envoyer des mails cryptés, mais quel est vraiment le pourcentage de mails cryptés que vous envoyez ? (parceque même si le plugin de votre mailer est très bien fait, il faut quand même que votre interlocuteur ait gpg, que vous possédiez sa clef publique, il faut rentre sa passphrase, etc... alors pour s'envoyer des photos marrantes ou pour convenir d'un futur rendez vous, c'est un peu lourdingue).
De même quelle est l'utilisation pratique de la signature ? Ca vous arrive souvent que qqun essaye de se faire passer pour vous ? Et si par hasard ça vous est arrivé, est-ce que gpg aurait été applicable dans cette situation ?
Les signatures électroniques n'ont -si je ne m'abuse -aucune valeur légale pour l'instant.
[^] # Re: Ca sert à quoi PGP/GPG ?
Posté par Blackknight (site web personnel, Mastodon) . Évalué à 2.
Pour ce qui est de la signature, c'est vrai que l'intérêt peut sembler plus limité. Toutefois, il faut savoir que la signature électronique a depuis quelques temps une valeur légale sous certaines conditions dont je ne me rappelle plus (je crois qu'il faut la déposer et la faire vérifier dans une mairi mais là, je m'avance mais on me corrigera certainement très vite).
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.