Signing-party et conférence sur la cryptographie à Paris lundi 2012-05-21

Posté par (page perso) . Édité par Benoît Sibaud et baud123. Modéré par Pierre Jarillon. Licence CC by-sa
6
5
mai
2012
Sécurité

Le lundi 21 mai au soir, à Paris, se tiendra une conférence organisée par Parinux, expliquant les principes de base de la cryptographie et leur application dans les systèmes SSL et PGP. Cette conférence sera suivie par une signing-party PGP et CAcert.

Pour le déroulement de la signing-party, il est demandé de :

  1. générer un paire de clefs si vous n'en avez pas déjà une ;
  2. envoyer votre clef publique et vous inscrire ;
  3. imprimer quelques exemplaires de votre empreinte de clef ;
  4. imprimer la liste des participants qui vous sera envoyée ;
  5. venir munis de tout cela ainsi qu'un stylo et d'une (ou plusieurs) pièce d'identité.

Conférence

Cette conférence commencera à 18:45. Elle aura pour but de comprendre les principes et les enjeux des systèmes cryptographiques utilisés aujourd'hui grâce à :

  1. une brève description de l'histoire de la cryptographie ;
  2. une petite explication des principes mathématiques des cryptosystèmes asymétriques ;
  3. une explication des systèmes de certification ;
  4. une présentation pratique du système OpenPGP avec son implémentation libre GnuPG.

Signing-party

À l'issue de la conférence, vers 20:30, nous procéderons à une signing-party. Il s'agira pour les participants de vérifier mutuellement leur identité afin de certifier leurs clefs PGP.

Cette signing-party sera également l'occasion, pour les utilisateurs de l'autorité de certification SSL CAcert, de certifier leur identité dans le cadre de cette organisation.

Détails pratiques

Il vous est demandé de vous inscrire afin d'évaluer le nombre de participants.

Si vous n'utilisez pas encore PGP, vous pouvez générer une paire de clefs avec la commande suivante (ou en cliquant dans un outil graphique) :

$ gpg --gen-key

Pour faciliter le déroulement de cette signing-party, veuillez envoyer votre clef publique. Vous pouvez exporter votre clef dans un fichier avec la commande suivante (indiquez votre adresse à la place de celle de Tintin…) :

$ gpg --armor --export tintin@example.com

Pour permettre aux participants tardifs de participer, il sera également utile de vous munir de morceaux de papier indiquant votre empreinte de clef ; vous pouvez en générer avec l'outil gpg-key2ps du paquet Debian signing-party, ou copier plusieurs fois la sortie de la commande :

$ gpg --fingerprint tintin@example.com

Le jour venu, vous aurez besoin à cette signing-party d'un exemplaire imprimé par vos soins de la liste des participants qui vous sera envoyée au préalable, ainsi que d'un stylo.

Pour les utilisateurs de CAcert, veuillez venir avec une bonne liasse de formulaires d'accréditation pré-remplis à votre nom (en tant que demandeur et en tant qu'accréditeur pour ceux qui ont assez de points pour cela).

  • # Conférence filmée?

    Posté par . Évalué à 1.

    J'aurais bien aimé y assister mais je ne pourrai pas…est-il prévu de filmer la conférence?

  • # Pièce d'identité

    Posté par (page perso) . Évalué à 3.

    Pour le déroulement de la signing-party, il est demandé de :

    1. générer un paire de clefs si vous n'en avez pas déjà une ;
    2. envoyer votre clef publique et vous inscrire ;
    3. imprimer quelques exemplaires de votre empreinte de clef ;
    4. imprimer la liste des participants qui vous sera envoyée ;
    5. venir munis de tout cela ainsi qu'un stylo…

    … et d'une (ou mieux plusieurs) pièce d'identité, évidemment ! Désolé pour cet oubli.

  • # Partager son empreinte via QR Code ?

    Posté par . Évalué à 1.

    Simple curiosité :
    Comme je n'ai jamais participé à de signing-party, je me demandais s'il était d'usage de présenter son empreinte de clé publique via un QR Code ?

    • [^] # Re: Partager son empreinte via QR Code ?

      Posté par . Évalué à 2.

      Ça ne me paraît pas très pertinent, puisque le but de l'empreinte est justement de vérifier visuellement la concordance entre celle du serveur de clé et celle annoncée comme "bonne" par son propriétaire. C'est plus facile de comparer des chaînes de caractères que des pixmaps, non?

      • [^] # Re: Partager son empreinte via QR Code ?

        Posté par . Évalué à 1.

        C'est plus facile de comparer des chaînes de caractères que des pixmaps, non?

        Tout à fait mais je pensais pas du tout à la comparaison des images entre elles.

        J'imaginais plutôt l'utilisation d'un QR-Code pour l'échange d'empreintes afin de remplacer le papier ou les stylos :

        1. on scan le QR-Code pour récupérer l'empreinte qu'il contient ;
        2. on la vérifie en l'affichant en mode texte à l'écran ;
        3. on repart avec l'empreinte enregistrée associé au contact dans le téléphone.

        :-)

      • [^] # Re: Partager son empreinte via QR Code ?

        Posté par (page perso) . Évalué à 3.

        Le code matriciel ne sert ici que de mode de transport, il sera décodé en chaîne hexadécimale avant d'être utilisé sur l'ordinateur pour télécharger la clef.

        D'ailleurs, il est inutile de vérifier que l'empreinte notée correspond à celle de la clef téléchargée lorsqu'on a récupéré celle-ci par son empreinte plutôt que par son identifiant court : elles correspondent forcément, puisqu'on a demandé au serveur « donne-moi la clef qui a telle empreinte » ! Quoique, pour être vraiment sûr, il faudrait vérifier que GnuPG gueule si le serveur lui fournit une clef différente de celle demandée.

    • [^] # Re: Partager son empreinte via QR Code ?

      Posté par (page perso) . Évalué à 4.

      C'est pertinent dans le cadre d'une signing-party ad-hoc (artisanale, si vous voulez) où les gens se rencontrent librement. En effet, dans ce type de séance, on échange ses cartes de visite PGP : le signataire vérifie alors que le demandeur lui fournit bien volontairement sa clef, peu importe alors dans quel du moment qu'il suffit à l'identifier sans ambiguïté.

      Pour voir ça à la première personne : en tant que demandeur, tu demandes au signataire de signer cette clef après avoir vérifié que ton identité civile correspond bien au nom mentionné dedans. Peu importe le format auquel tu lui fournis cette clef du moment que ça ne lui permet pas de se tromper.

      En revanche, dans le cadre d'une signing-party organisée comme celle-ci, ça n'est pas vraiment pertinent, puisque je préparerai une liste des participants, avec les empreintes de clefs de chacun, que vous pourrez vérifier au préalable. Cela ne servira que pour les participants de dernière minute, pour qui cela sera une signing-party ad-hoc.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.