Signing-party et conférence sur la cryptographie à Paris lundi 2012-05-21

Posté par 🚲 Tanguy Ortolo (site web personnel) le 05 mai 2012 à 23:50. Édité par Benoît Sibaud et baud123. Modéré par Pierre Jarillon. Licence CC By‑SA.

Étiquettes :

mai

2012

Le lundi 21 mai au soir, à Paris, se tiendra une conférence organisée par Parinux, expliquant les principes de base de la cryptographie et leur application dans les systèmes SSL et PGP. Cette conférence sera suivie par une signing-party PGP et CAcert.

Contenu : explications sur la cryptographie, SSL et PGP puis signing-party
Lieu : EPN la Bourdonnais, 105 avenue de la Bourdonnais, 75007 Paris
Date : 2012-05-21 18:45+02:00
Durée : 02:15

Pour le déroulement de la signing-party, il est demandé de :

générer un paire de clefs si vous n'en avez pas déjà une ;
envoyer votre clef publique et vous inscrire ;
imprimer quelques exemplaires de votre empreinte de clef ;
imprimer la liste des participants qui vous sera envoyée ;
venir munis de tout cela ainsi qu'un stylo et d'une (ou plusieurs) pièce d'identité.

Conférence

Cette conférence commencera à 18:45. Elle aura pour but de comprendre les principes et les enjeux des systèmes cryptographiques utilisés aujourd'hui grâce à :

une brève description de l'histoire de la cryptographie ;
une petite explication des principes mathématiques des cryptosystèmes asymétriques ;
une explication des systèmes de certification ;
une présentation pratique du système OpenPGP avec son implémentation libre GnuPG.

Signing-party

À l'issue de la conférence, vers 20:30, nous procéderons à une signing-party. Il s'agira pour les participants de vérifier mutuellement leur identité afin de certifier leurs clefs PGP.

Cette signing-party sera également l'occasion, pour les utilisateurs de l'autorité de certification SSL CAcert, de certifier leur identité dans le cadre de cette organisation.

Détails pratiques

Il vous est demandé de vous inscrire afin d'évaluer le nombre de participants.

Si vous n'utilisez pas encore PGP, vous pouvez générer une paire de clefs avec la commande suivante (ou en cliquant dans un outil graphique) :

$ gpg --gen-key

Pour faciliter le déroulement de cette signing-party, veuillez envoyer votre clef publique. Vous pouvez exporter votre clef dans un fichier avec la commande suivante (indiquez votre adresse à la place de celle de Tintin…) :

$ gpg --armor --export tintin@example.com

Pour permettre aux participants tardifs de participer, il sera également utile de vous munir de morceaux de papier indiquant votre empreinte de clef ; vous pouvez en générer avec l'outil gpg-key2ps du paquet Debian signing-party, ou copier plusieurs fois la sortie de la commande :

$ gpg --fingerprint tintin@example.com

Le jour venu, vous aurez besoin à cette signing-party d'un exemplaire imprimé par vos soins de la liste des participants qui vous sera envoyée au préalable, ainsi que d'un stylo.

Pour les utilisateurs de CAcert, veuillez venir avec une bonne liasse de formulaires d'accréditation pré-remplis à votre nom (en tant que demandeur et en tant qu'accréditeur pour ceux qui ont assez de points pour cela).

Aller plus loin

Page de l'événement (115 clics)
Inscription (40 clics)

# Conférence filmée?

Posté par Sclarckone le 06 mai 2012 à 17:08. Évalué à 1.

J'aurais bien aimé y assister mais je ne pourrai pas…est-il prévu de filmer la conférence?
- [^] # Re: Conférence filmée?
  
  Posté par 🚲 Tanguy Ortolo (site web personnel) le 06 mai 2012 à 18:15. Évalué à 2.
  
  Ça m'étonnerait franchement, mais je publierai un document écrit après.
  - [^] # Re: Conférence filmée?
    
    Posté par pizaninja le 15 mai 2012 à 17:44. Évalué à -3.
    
    Assurément, je lirai ce document!
# Pièce d'identité

Posté par 🚲 Tanguy Ortolo (site web personnel) le 07 mai 2012 à 10:17. Évalué à 3.
Pour le déroulement de la signing-party, il est demandé de :
1. générer un paire de clefs si vous n'en avez pas déjà une ;
2. envoyer votre clef publique et vous inscrire ;
3. imprimer quelques exemplaires de votre empreinte de clef ;
4. imprimer la liste des participants qui vous sera envoyée ;
5. venir munis de tout cela ainsi qu'un stylo…
… et d'une (ou mieux plusieurs) pièce d'identité, évidemment ! Désolé pour cet oubli.
- [^] # Re: Pièce d'identité
  
  Posté par Benoît Sibaud (site web personnel) le 07 mai 2012 à 11:45. Évalué à 2.
  
  Ajouté dans la dépêche.
  - [^] # Re: Pièce d'identité
    
    Posté par 🚲 Tanguy Ortolo (site web personnel) le 07 mai 2012 à 15:23. Évalué à 2.
    
    Merci bien !
# Partager son empreinte via QR Code ?

Posté par Mathieu le 07 mai 2012 à 16:05. Évalué à 1.

Simple curiosité :
Comme je n'ai jamais participé à de signing-party, je me demandais s'il était d'usage de présenter son empreinte de clé publique via un QR Code ?
- [^] # Re: Partager son empreinte via QR Code ?
  
  Posté par Larry Cow le 07 mai 2012 à 21:51. Évalué à 2.
  
  Ça ne me paraît pas très pertinent, puisque le but de l'empreinte est justement de vérifier visuellement la concordance entre celle du serveur de clé et celle annoncée comme "bonne" par son propriétaire. C'est plus facile de comparer des chaînes de caractères que des pixmaps, non?
  - [^] # Re: Partager son empreinte via QR Code ?
    
    Posté par Mathieu le 07 mai 2012 à 22:28. Évalué à 1.
    C'est plus facile de comparer des chaînes de caractères que des pixmaps, non?
    
    Tout à fait mais je pensais pas du tout à la comparaison des images entre elles.
    
    J'imaginais plutôt l'utilisation d'un QR-Code pour l'échange d'empreintes afin de remplacer le papier ou les stylos :
    1. on scan le QR-Code pour récupérer l'empreinte qu'il contient ;
    2. on la vérifie en l'affichant en mode texte à l'écran ;
    3. on repart avec l'empreinte enregistrée associé au contact dans le téléphone.
    :-)
  - [^] # Re: Partager son empreinte via QR Code ?
    
    Posté par 🚲 Tanguy Ortolo (site web personnel) le 08 mai 2012 à 10:16. Évalué à 3.
    
    Le code matriciel ne sert ici que de mode de transport, il sera décodé en chaîne hexadécimale avant d'être utilisé sur l'ordinateur pour télécharger la clef.
    
    D'ailleurs, il est inutile de vérifier que l'empreinte notée correspond à celle de la clef téléchargée lorsqu'on a récupéré celle-ci par son empreinte plutôt que par son identifiant court : elles correspondent forcément, puisqu'on a demandé au serveur « donne-moi la clef qui a telle empreinte » ! Quoique, pour être vraiment sûr, il faudrait vérifier que GnuPG gueule si le serveur lui fournit une clef différente de celle demandée.
- [^] # Re: Partager son empreinte via QR Code ?
  
  Posté par 🚲 Tanguy Ortolo (site web personnel) le 08 mai 2012 à 10:12. Évalué à 4.
  
  C'est pertinent dans le cadre d'une signing-party ad-hoc (artisanale, si vous voulez) où les gens se rencontrent librement. En effet, dans ce type de séance, on échange ses cartes de visite PGP : le signataire vérifie alors que le demandeur lui fournit bien volontairement sa clef, peu importe alors dans quel du moment qu'il suffit à l'identifier sans ambiguïté.
  
  Pour voir ça à la première personne : en tant que demandeur, tu demandes au signataire de signer cette clef après avoir vérifié que ton identité civile correspond bien au nom mentionné dedans. Peu importe le format auquel tu lui fournis cette clef du moment que ça ne lui permet pas de se tromper.
  
  En revanche, dans le cadre d'une signing-party organisée comme celle-ci, ça n'est pas vraiment pertinent, puisque je préparerai une liste des participants, avec les empreintes de clefs de chacun, que vous pourrez vérifier au préalable. Cela ne servira que pour les participants de dernière minute, pour qui cela sera une signing-party ad-hoc.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.