En faisant un tour, par dés½uvrement (je suis au taf...) sur le serveur de clés GPG du MIT, je me suis aperçu qu'il y avait des clés à mon nom, et à mon adresse mail, que je n'ai JAMAIS créées ni uploadées là-haut... Vu la date de création, début juillet, de toute façon, j'étais en vacances, loin de mon ordi. Trois le même jour, bien différentes. Et elles sont pas signées, ni rien, alors que la mienne, ma vraie clé, est signée par une éminente personne - j'ai pas eu le temps de la faire signer plus.
Est-ce que ça vous est déjà arrivé ? Est-ce un mauvais plaisantin ? Il peut envoyer des mails chiffrés en se faisant pour moi, maintenant ? Je ne crois pas qu'il soit possible de les virer des serveurs autrement qu'en les révoquant... La seule solution est-elle alors de TOUJOURS prendre et recommander des clés dûment signées ?
Je suis assez perplexe, en fait... Ou alors je crée des nouveaux UID dans ma vraie clé, qui disent, en commentaire, de pas tenir compte des autres ? Mais je crois pas que le champ commentaire de l'UID soit fait pour faire des messages, non ? Vraiment contrariant, en tout cas.
Journal Usurpation de clé GPG, c'est possible ?
21
oct.
2004
# Tu oublies un détail ...
Posté par Maillequeule . Évalué à 2.
Vous me direz qu'une carte d'identité ca s'achète ... oui enfin bon :)
M
[^] # Re: Tu oublies un détail ...
Posté par Calim' Héros (site web personnel) . Évalué à 2.
Cela ne passe pas obligatoirement par des papiers d'identité (enfin perso je demande pas les papiers des amis par exemple)
[^] # Re: Tu oublies un détail ...
Posté par Hugues Hiegel (site web personnel) . Évalué à 2.
Donc l'histoire des papiers d'identité n'est pas si idiote, car fortement liée à ce même principe.
C'est LE seul moyen de véritablement garantir l'authenticité de ta clef. Après ce contact, tu vas "signer" (j'ai oublié le vrai terme) la clef du gars que tu viens de croiser, et lui fera de même avec la tienne : garantie que la clef diffusée a bien été vérifiée par untel ou untel. (c'est le principe des trusted keys, je crois).
[^] # Re: Tu oublies un détail ...
Posté par Calim' Héros (site web personnel) . Évalué à 2.
D'ailleurs il existe le cas typique de tes amis ou tu ne leur demande pas leurs papiers. Apres il ton peut etre mentit tout ce temps la...
De plus dans le cas de la confiance aux papiers d'identité il ne faut pas oublier que le gars derriere peut quand meme etre le pire escrots, la plus belle ordure du monde et qu'en plus tu lui fera confiance.
Non serieusement, les papiers d'identité ca vaux rien pour ce type d'evenement, a moins de s'en donner les moyens technique et/ou humain de verfier les dit papiers et l'honnetteté des gens. Autant dire que les cas ou cela est possible sont rares de par le couts et la loi (hein, l'acces au casier judiciare tu l'as pas comme ca)
[^] # Re: Tu oublies un détail ...
Posté par Foxy (site web personnel) . Évalué à 2.
Pour GPG, on fait généralement ça lors de keys-signing parties où chacun présente ces papiers et valident ses clés par ses fingerpints.
Pour les certificats numériques, les fournisseurs de certificats (Thawte, Verisign) font de même avec une présentation de preuve d'identité.
Néanmoins, il faut bien à un moment prendre cette preuve pour argent comptant.
Personne (ni une personne physique, ni un organisme de certification) n'a la possibilité de vérifier l'authenticité de cette preuve. Seul un Etat peut vérifier l'authenticité de papier d'identité.
Si on accepte pas ce postulat de base, autant abandonner directement la notion de "web of trust" pour les clés GPG.
[^] # Re: Tu oublies un détail ...
Posté par Calim' Héros (site web personnel) . Évalué à 4.
En ce qui concerne les fournisseurs de certificats ils peuvent deja sans aller jusqu'au casier :
- avoir du materiel detectant les faux papier d'identiter
- avoir du personnel former pour ce servir de ce materiel et les personnes au comportement louche (les phisionomiste, pas les vulgaires videur)
- avoir des acces aux registre du commerce plus aisaiment pour les entreprises (qui elle on peut etre des facilités pour avoir acces a ton extres de casier (perso mon employeur en a eu un via un papier que j'ai signé)
[^] # Re: Tu oublies un détail ...
Posté par Foxy (site web personnel) . Évalué à 2.
C'est d'ailleurs pour cela que dans GPG, tu peux donner un niveau de confiance (de 1à 4) aux clés que tu signes :
- niveau 1 : on ne fait pas de tout confiance à la personne à qui appartient cette clé (i.e. il signe vraiment n'importe quelle clé sans même avoir rencontré physiquement les possesseurs de clés)
- niveau 4 : c'est un très bon copain, j'ai entièrement confiance en lui et je sais qu'il est très rigoureux dans la vérification des clés qu'il signe
Avec ces indicateurs, on peut reconstruire un "web of trust" avec un niveau de confiance pour un "chemin" de signatures entre 2 clés.
[^] # Re: Tu oublies un détail ...
Posté par imalip . Évalué à 3.
Quel rapport entre la signature de clef GPG et le fait que ca soit un escroc ? J'aurai confiance dans le fait que c'est bien lui qui a signe un document, je ne vais pas lui confier mes economies, lui donner une procuration pour voter a ma place ou que sais-je.
Signer une clef GPG, c'est une verification d'identite, pas de moeurs ou d'opinion.
Au passage, rien a voir, mais quel est le rapport entre http et w3c ? C'est le (X)HTML qui est defini par le W3C. Pour l'HTTP, il faut plutot voir du cote de l'IETF. Enfin c'est peut-etre voulu, ou j'ai peut-etre pas compris...
[^] # Re: Tu oublies un détail ...
Posté par Matthieu Moy (site web personnel) . Évalué à 2.
[^] # Re: Tu oublies un détail ...
Posté par Blackknight (site web personnel, Mastodon) . Évalué à 1.
# J'ai eu le cas
Posté par Éric (site web personnel) . Évalué à 2.
Ceci dit si quelqu'un a monté une clé qui n'est pas à toi, je serai toi je me demanderai pourquoi il a fait ça, et ce qu'il a bien pu essayer de faire en se faisant passer pour toi. Essaie de récupérer le finger print et faire une recherche avec sur le net, voir si quelqu'un a mis un message sur une ml public avec ton nom et cette clé.
Quand au fait d'avoir une clé à son nom non utilisée sur les serveurs de clé ... ça m'est arrivé. Bon, moi c'était ma faute, une erreur de manip avec une clé dont je n'avais plus le certificat de révocation ... Mais après quelques échanges avec un admin il y avait moyen de faire retirer la clé (ou plutot de la faire désactiver, elle est toujours là mais ne sera pas proposée dans les recherches). Je n'ai pas poursuivi car de toutes façons j'ai changé d'adresse email peu après mais c'est faisable. Si ça peut t'aider ...
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.