Forum général.général Les joies de PGP...

Posté par  (site web personnel) .
Étiquettes : aucune
-2
26
nov.
2008
Suite à la demande d'un client un peu pro-sécurité (surtout de ses secrets industriels, je ne suis pas prêt de faire du libre avec lui pffff...), je découvre les joies de PGP. Et ses problèmes.

Lui utilise Outlook+Je ne sais quoi. Moi Thunderbird+Enigmail.

J'ai créé ma paire clés, et lui ai envoyé la clé publique. Lui m'a envoyé sa clef publique, que j'ai rajouté à Enigmail.
Il m'a envoyé un mail signé, et la le drame :
gpg: Signature faite le xxx avec la clé DSA ID xxx
gpg: MAUVAISE signature de « xxx@xxx.com> »


Par contre, si je m'envoie un mail signé, c'est bien validé par Thunderbird.

Avant de passer devant mon client pour une burne avec PGP, avez-vous des petites idées d'où pourrait provenir le soucis, avec votre expérience PGP?
  • # Octroyez une confiance à cette clé.

    Posté par  . Évalué à 2.

    Vérifier que l'identité attachée à la clé publique est bien la même identité que l'expéditeur du mail...

    GnuPG considère qu'une clé publique est, par défaut, non digne de confiance. Voyez avec votre gestionnaire de trousseau (KGpg, Seahorse etc.) pour lui accorder une confiance plus élevée, et vous pouvez signer cette clé avec votre propre clé. Et ce si vous lui faites suffisamment confiance, évidemment ! Échangez par téléphone les empreintes de vos clé respectives pour vérifier qu'elles n'ont pas été substituées. (Peu probable, mais bon)

    Vérifiez aussi que la clé publique est bien prise en compte dans votre trousseau.

    Et si tout ces points sont vérifiés, peut-être que le mail a effectivement été spolié !
    • [^] # Re: Octroyez une confiance à cette clé.

      Posté par  (site web personnel) . Évalué à 2.

      Pour le moment, j'accorde 100% de confiance à tout (pas bien, mais déjà faut que ça marche comme ça...)

      Je n'avais pas mis de niveau de confiance, tenté en "confiance absolue", et j'ai "signé" la clef.

      Vérifiez aussi que la clé publique est bien prise en compte dans votre trousseau.

      Si je supprime la clef du trousseau, j'ai un message "Signature non vérifiée" et "voulez-vous importer la clé d'un serveur de clé publiques?". J'imagine que ça veut dire que c'est pris en compte.

      arghhh
  • # Outlook + je ne sais quoi

    Posté par  (site web personnel) . Évalué à 2.

    A un moment donné j'ai utilisé pour ma soeur un truc Outlook . Si le message était en HTML, il était parfois vérolé par l'appli qui signé les mails (le mail était modifié après signature).

    Est-ce que tu peux essayer en plain text ?
    • [^] # Re: Outlook + je ne sais quoi

      Posté par  (site web personnel) . Évalué à 2.

      J'ai vu que PGP n'aime pas du tout le HTML, je le désactive pour mes mails en chiffré, mais résultat pareil.

      Son mail n'est pas en HTML non plus :
      Content-Type: text/plain;
      charset="us-ascii"
      X-Mailer: Microsoft Office Outlook 12.0
      gpgol-version: 0.9.92

      Mais échec de la signature. Mystère mystère...

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.