Journal GnuPG peut encore avoir plus de sous

Posté par (page perso) . Licence CC by-sa
14
20
déc.
2013

Plop à vous,

Je ne fais que relayer l’information :

http://goteo.org/project/gnupg-new-website-and-infrastructure

GnuPG: new website and infrastructure
The world needs GnuPG encryption more than ever - a new website, new design, and new content will make strong crypto friendly.
GnuPG is the world's privacy protector. It guards emails, files, and apps from snooping and spying. The new GnuPG website will bring bullet-proof privacy to the general public, provide a friendly face of Free Software cryptography, and allow the project to sustainably fund maintenance and development into the future. The new GnuPG.org will be mobile and desktop ready with a fresh design, built for internationalisation, provide non-technical guidance for new users, and have built in management for future subscription donations.

La flemme de traduire… un pas en arrière pour l’accessibilité me direz-vous.

  • # accessibilité?

    Posté par (page perso) . Évalué à -7. Dernière modification le 20/12/13 à 11:56.

    un pas en arrière pour l’accessibilité me direz-vous.

    Je ne vois pas le rapport.
    (on peut avoir un site joli, moderne, et accessible).

    Qu'est-ce qui te fait parler de pas en arrière pour l’accessibilité?

    • [^] # Re: accessibilité?

      Posté par (page perso) . Évalué à 3.

      Non, tu n’as pas compris. Je parlais du fait que je ne traduirai pas le texte cité.

      Love – bépo

      • [^] # Re: accessibilité?

        Posté par (page perso) . Évalué à 0.

        Ouh la, je mérite d'être battu avec des orties fraiches…
        Ceci-dit, si tu ne lis pas l'anglais, ça va être dur dans tous les cas de participer, tout étant en anglais ensuite (à part l'avertissement sur les cookies qui est en espagnol)

  • # Résistance au changement…

    Posté par (page perso) . Évalué à 10.

    PPppfff… Fin 2013, ça va faire exactement 9 ans que je mets en signature de TOUS mes mails ce message-là : « Chiffrons nos courriers électroniques ! Ma clé GnuPG : 0xXXXXXX »
    En 9 ans, PAS UNE SEULE personne ne m’a demandé des explications sur cette signature, ni comment faire, ni même envoyé un seul message chiffré.
    Du coup, je viens de retirer cette signature. Là.

    • [^] # Re: Résistance au changement…

      Posté par . Évalué à 10.

      C'est peut-être parce que les gens ne lisent pas les signatures, à force d'y voir des trucs aussi inutiles que "Attention, si tu imprimes cet email, tu es un vilain pas beau, et je te décline ce message dans 3 langues avec plein de détails pour que la signature soit deux fois plus lourde que le contenu de l'email, et nécessite donc plus d'énergie pour être envoyé".

    • [^] # Re: Résistance au changement…

      Posté par . Évalué à 6.

      ça va finir par passer… parce que le mail c'est fini.

      Madame Michu qui n'a rien a cacher ne communique plus que par fessebouc à la terre entière (parce que pour les réglages, elle n'a pas encore tout saisi)
      Jean-K3v1 anvoi D sms é tweet lol mdr

      Ne reste plus que les dinos et les barbus qui utilisent encore cet outil du siècle précédent et qui ont des sujets de réflexion étranges comme la vie privée ou la cyber surveillance protection

    • [^] # Re: Résistance au changement…

      Posté par (page perso) . Évalué à 8.

      Tiens, moi au contraire j'ai des amis qui se sont intéressés à ce sujet, et à qui j'ai pu donner une conférence du coup, en voyant que mes messages étaient signés.

      • [^] # Re: Résistance au changement…

        Posté par . Évalué à 10.

        Tiens, moi au contraire j'ai des amis qui se sont intéressés à ce sujet, et à qui j'ai pu donner une conférence du coup, en voyant que mes messages étaient signés.

        Tu dois être fun en soirée…

        Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

        • [^] # Re: Résistance au changement…

          Posté par . Évalué à 6.

          Ça dépend du point de vue, il était peut-être invité un mercredi…

          Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

    • [^] # Résistance au changement… => email = peine perdue

      Posté par . Évalué à 7. Dernière modification le 20/12/13 à 13:55.

      Le problème c'est que :
      – c'est un peu compliqué à mettre en place (moi-même je n'ai jamais essayé)
      – c'est incompatible Webmail, sachant que la population qui utilise des clients mail dédié (à part Outlook au bureau) est en minorité aujourd'hui (à mon grand regret)
      – ça nécessite que les 2 parties prenantes de la conversation aient fait la démarche; effet réseau bien connu… C'est loin d'être viral

      Patcher un mode de communication existant tel que l'email est de mon point de vue peine perdue… Malheureusement.

      Il faudrait plutôt dépenser l'énergie sur les initiatives P2P chiffrée comme retroshare, GNUnet, freenet… qui proposent tout ou partie d'équivalent email, forum, messagerie instantanée, partage de fichiers/photos etc… basé sur une infrastructure chiffrée « par design » (note pour plus tard : trouver le temps de tester ça). La cible c'est les réseaux sociaux et les services centralisés.

      Merci pour ce retour d'expérience.

    • [^] # Re: Résistance au changement…

      Posté par (page perso) . Évalué à 3. Dernière modification le 20/12/13 à 14:44.

      En 9 ans, je n'ai jamais réussi à comrpendre comment on fait avec GnuPG (surtout la partie révocation de clé si on se fait voler la clé, pour dire que tout ce qui a été émis depuis telle date est risqué mais pas avant telle date).
      Le problème est que GnuPG ou autre machin truc GPG est incompréhensible pour qui n'a pas envie d'y passer des heures.

      autant HTTPS/IMAPS/SMTPS est simple et la personne n'a rien à faire (mais il faut faire confiance au tiers, je sais), autant le chiffrement des mails, d'une c'est compliqué, et de deux les gens ne voient pas l'interêt (car rares sont les gens "méchants" sur la route du mail, même au boulot les concurrents ne savent pas comment intercepter les offres envoyées par mail, tout le monde n'a pas des potes à la NSA), l'interêt étant de chiffrer entre le client est le serveur (et ça ça se met en place au fur et à mesure surtout avec le risque en Wifi ouvert facilement explicable et au risque réel)

      Première étape avant de militer envers tout le monde : avoir une offre technique simple et compréhensible.

      • [^] # Re: Résistance au changement…

        Posté par . Évalué à 2.

        mais il faut faire confiance au tiers, je sais

        Ce n'est pas nécessaire tu peut monter ta propre PKI et être ta propre racine :)
        Avec tu as un mécanisme de révocation fiable (avec les CRL).

        Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

        • [^] # Re: Résistance au changement…

          Posté par (page perso) . Évalué à 2.

          ta propre racine n'est pas chez les autres donc le déploiement est pas par défaut, mais c'est un début, en effet.
          Sinon, je n'ai pas regardé pour les mail car les CRL sont plus utilisé en HTTPS/IMAPS/SMTPS donc "en temps réel" (si la clé est compromise, on ne l'utilise plus, point), mais est-ce qu'il y a un serveur de temps comme pour les binaires signés qui fait que ce qui est signé avant l'annonce de compromission est toujours correctement affiché comme légitime? Sinon ça donne plus d'inconvénients que d'avantages (trop de "faux-positifs" dès que ta clé est compromise).

          Le truc que j'ai jamais compris avec GPG (je n'ai pas encore essayé SSL avec les mails), c'est où est cette notion de serveur de temps (ou équivalent) pour que la signature soit toujours vue comme valide si signé avant la compromission de clé (de souvenir, à chaque fois que j'ai révoqué ma clé GPG, tous mes mails étaient marqué comme compromis ce qui n'est pas acceptable du tout, peut-être ai-je mal fait quelque chose)

          • [^] # Re: Résistance au changement…

            Posté par . Évalué à 3.

            les CRL sont plus utilisé en HTTPS

            Non. elles ne sont mêmes pas utilisées du tout. Une CRL de verisign, c'est 1.2Mo
            http://crl.verisign.com/SVRSecureG3.crl et c'est loin d'être la plus grosse.
            Imagines tu sérieusement télécharger 1.2Mo à chaque clic sur un lien d'un site dont le certif est signé par Verisign?

            Donc pas de CRL utilisées par les navigateurs. Il y a eu des tentatives avec OCSP mais c'est désactivé par défaut. Pour les cas de compromissions les plus graves, les certifs frauduleux connus sont mis en dur dans les navigateurs.

            En conclusion: SSL dans les navigateurs, ça sent pas bon dès qu'on creuse un peu et qu'on oublie le discours marketing "faites nous confiaaaaaance"

      • [^] # Re: Résistance au changement…

        Posté par (page perso) . Évalué à 2.

        Sur OS X (je n'ai pas essayé sur les autres plates-formes), ce n'est pas trop compliqué : tu distribues à la personne qui doit chiffrer ou signer un fichier avec certificat + clef (par exemple un .p12), elle double-clique dessus ce qui va l'enregistrer dans son trousseau de clefs (contenant tous les certificats, mots de passe, clefs privées et autres joyeusetés du même style).

        Quand elle enverra un mail, le mail sera par défaut signé, voire chiffré par défaut si tu as le certificat du correspondant ; Mail détecte automatiquement les certificats utilisables (et avec quelle adresse mail).

        Mais c'est sûr, il y a toujours l'étape d'avoir le certificat initial…

      • [^] # Re: Résistance au changement…

        Posté par . Évalué à 7.

        Le problème est que GnuPG ou autre machin truc GPG est incompréhensible pour qui n'a pas envie d'y passer des heures.

        À mon avis c'est le problème qui est compliqué, pas GnuPG. Une fois que tu as compris le problème, ça va, c'est simple. Mais pour comprendre le problème, là c'est très coton (clé privé/public, que faire pour la révocation ?, web of trust : pourquoi, etc.).

        Après ça dépend énormément de l'environnement : si tu es tout seul à comprendre l'intérèt de GPG, c'est mort. Mais si tu es dans un groupe déjà organisé, qui comprend le problème et utilise GPG, alors c'est nettement plus simple. Typiquement à l'échelle d'une association ou d'une société, c'est très très faisable. Faut juste un peu de volonté pour mettre ça en place au début.

        • [^] # Re: Résistance au changement…

          Posté par . Évalué à 2.

          Mais pour comprendre le problème, là c'est très coton (clé privé/public, que faire pour la révocation ?, web of trust : pourquoi, etc.).

          AMHA, les exemples que tu donne ne font pas partie du problème mais plutôt de la solution. Le problème c'est Comment m'assurer que le message que j'écris n'est lu que par le destinataire ou comment le destinataire est bien la personne que je crois être ?

          Ensuite une solution est le chiffrement asymétrique, mais on peut aussi imaginer une solution avec du chiffrement symétrique ou d'autres choses encore (SSL en est une par exemple).

          Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

          • [^] # Re: Résistance au changement…

            Posté par (page perso) . Évalué à 2.

            Ensuite une solution est le chiffrement asymétrique, mais on peut aussi imaginer une solution avec du chiffrement symétrique ou d'autres choses encore (SSL en est une par exemple).

            Le problème est que le chiffrement symétrique ne passe pas à l'échelle, cela nécessite beaucoup plus de clés pour communiquer avec chaque individu. Et on perd le bénéfice de la signature cryptographique possible avec le chiffrement asymétrique.

            • [^] # Re: Résistance au changement…

              Posté par . Évalué à 1.

              Je n'ai pas dis que c'est la meilleure solution, mais si tu veut échanger avec quelqu'un c'est une solution. C'est utilisé depuis des milliers d'années et ça marche pas aussi mal que ce que tu dis. Sinon j'ai aussi parlé de SSL qui est asymétrique et n'utilise pas les même concepts que PGP.

              Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

  • # Bon vendredi

    Posté par . Évalué à -9.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.