Ce sera également l'occasion de boire une bonne bière et de regretter ensemble de ne pas assister aux RMLLs !
N'oubliez pas votre fingerprint ainsi qu'une pièce d'identité.
Aller plus loin
- Annonce sur debian-devel-french (4 clics)
- GPG Keysigning Party HOWTO (6 clics)
# euh...
Posté par crevette . Évalué à 7.
[^] # Re: euh...
Posté par rootix . Évalué à 2.
Je suis à la recherche d'un certificateur gratuit et qui ne demande pas d'infos spéciales et qui ne spamment pas les demandeurs.
J'aimerais bien commencer à basculer de gpg vers x509 pour suivre la prochaine mode.
[^] # Re: euh...
Posté par Alexandre Belloni (site web personnel) . Évalué à 6.
Pour GPG, tu te bases sur la confiance que tu mets dans chaque individu pour établir un réseau de confiance.
Pour X509, tu te bases sur la confiance que tu mets dans une autorité de certification pour savoir si tu peux faire confiance.
Plus d'info à :
http://www.openpgp.org/technical/whybetter.shtml(...)
[^] # Re: euh...
Posté par charlieecho . Évalué à 5.
Et ensuite, on peut télécharger le dit certificat calculé par l'Autorité.
Donc... la clé privée est calculée par l'Autorité ; et il n'est jamais écrit que l'Autorité s'engage à ne pas en garder trace...
Moi, ça me laisse songeur... D'une part parce que l'Autorité peut tout décrypter ; d'autre part parce que quelqu'un pourrait "voler" ces clés.
Ce qui est fortement souhaitable, c'est qu'un individu puisse se présenter avec sa clé USB et sa carte d'identité à la Préfecture de Police, et qu'un Officer de Police signe sa clé (GPG) ou son certificat (X509).
[^] # Re: euh...
Posté par jcs (site web personnel) . Évalué à 5.
Mais non, où tu as vu ça ?
Ce qui est fortement souhaitable, c'est qu'un individu puisse se présenter avec sa clé USB et sa carte d'identité à la Préfecture de Police, et qu'un Officer de Police signe sa clé (GPG) ou son certificat (X509).
Oui c'est ce qui se passe. Les clés (privée et publique) sont créées sur le poste local, par exemple dans la carte à puce, la partie privée de la paire de clés n'en sort jamais.
Ensuite la carte à puce fabrique une requête (souvent une requête PKCS#10) qu'elle va envoyer à l'autorité de certification (la CA). Cette requête contient ta clé publique, des informations te concernant (par exemple ton nom, ton adresse e-mail,... bref ce que tu trouves dans le champ subject d'un certificat) et des infos sur le certificat que tu demandes (les fameuses extensions des certificats X.509 v3 qui indiquent par exemple les usages possibles de la clé). Dans la requête on trouve aussi un moyen d'authentifier sa provenance pour que la CA soit sûre que la demande vient bien de toi ainsi qu'une Proof of Possession qui prouve que tu possèdes bien la clé privé associée à la clé publique pour laquelle du demande un certificat.
C'est à partir de cette requête que le certificat est frabiqué et signé par la CA qui ne connait jamais la clé privée.
En ce qui concerne les différences entre X.509 et GPG on peut dire que la structure hiérarchique de X.509 fonctionne bien dans le cas de grands déploiements mais demande une lourde architecture (déployer et gérer des CA, gérer les politiques de certifications...) alors que GPG est parfait pour les petites communautés mais il fonctionne moins bien pour des groupes plus larges.
Par exemple si je signe A, A signe B, B signe C, C signe D. Est-ce que je dois faire confiance à D ? C a signé D mais je ne connait pas C, je ne connais que A à qui je fais raisonnablement confiance. C a peut-être signé D un soir dans un bar après 3 bières.
En revanche GPG ne demande pas de grosse infrastructure.
[^] # Re: euh...
Posté par charlieecho . Évalué à 2.
J'ai essayé ; j'ai donné mes coordonnées ; j'ai ensuite téléchargé mes clés publique et privée.
Donc la clé n'a pas été calculée par moi ; ça, c'est sûr (d'ailleurs, j'ai fait la demande d'un PC et j'ai récupéré la clé d'un autre...)
Pour le Ministère des Finances (déclaration d'impôts), si je me souviens bien, un programme en Java s'occupe de tout, et on n'y voit pas grand chose. Sans doute la procédure est-elle celle que tu décris, et la clé privée est effectivement privée. (sous réserve que le programme Java ne triche pas...)
Conclusion : l'Open Source est la seule garantie dans ce genre de domaine (euh... Je dis ça pour la Mairie de Paris, si ils veulent voir loin...)
[^] # Re: euh...
Posté par jcs (site web personnel) . Évalué à 2.
Il faut bien voir qu'il y a deux étapes lors de la récupération d'un certificat : l'enregistrement auprès d'une autorité d'enregistrement (la RA) et la récupération du certificat à proprement parlé.
L'enregistrement peut prendre plusieurs formes : un formulaire web par exemple ou alors un guichet. Lors de cet enregistrement tu donnes des informations personnelles et tu les prouves si nécessaire. En échange la RA te donne un moyen de t'authentifier à la CA quand tu vas aller récupérer ton certificat. Cet enregistrement est nécessaire pour 2 raisons :
- prouver que tu as bien le droit à un certificat
- "préremplir" certains champs du certificat, si tu prouve que tu es Jean Dupont, tu ne peux demander un certificat dont le subject est Jean Dupont.
La 2e partie concerne la requête elle-même telle que je l'ai décrite dans mon post précédent (génération des clés, requête...). En fait la requête ne contient pas nécessairement toutes tes infos personnelles car tu as pu les fournir lors de l'enregistrement. Cette demande est d'ailleurs être asynchrone, c'est à dire que le navigateur web (qui sert souvent d'interface avec la RA) envoie la requête fabriquée à grand coup de VBScript (IE pour discuter avec la CryptoAPI Windows) ou javascript(Netscape & Co pour discuter avec les modules PKCS#11) avec une récupération du certificat plus tard sous forme d'une URL reçue dans un mail envoyé par la RA.
Ca c'est, plus ou moins, le comportement normal d'une PKI. Il est possible de faire l'enregistrment sur une machine (voir sans machine du tout si on la fait "physiquement" à un guichet) puis de récupérer le certificat plus tard.
Après tout, si c'était à titre expérimental, il est toujours possible de faire générer les clés par l'autorité, même si ce n'est pas vraiment conseillé.
[^] # Re: euh...
Posté par charlieecho . Évalué à 1.
Reste que ma clé privée, cryptée par un mot de passe léger, se trouve sur un serveur web AVANT d'être sur mon PC.
Donc le serveur web y a accès.
Et un décryptage par bruteforce peut largement suffire...
Effectivement, peut-être que ce n'est pas vraiment lié à mon nom, et que c'est crypté, et que le Monde est beau ; mais je n'ai aucune certitude, pas plus que lorsque j'utilise l'appli Java des Finances.
Et puis, au fond, si j'étais la DST, et s'il n'y avait pas de contrôle externe, je me permettrais de récupérer les clés privées...
A l'inverse, quand je calcule "moi-même" ma clé PGP, au moins, je sais ce qu'il se passe...
On se prend la tête sur des notions de sécurité ("attention, cela vaut une signature physique, faites attention") alors qu'il y a un trou béant au début de la procédure....
[^] # Re: euh...
Posté par rootix . Évalué à -1.
Je connais la différence entre les deux. Je voulais juste connaître l'intérêt de l'un ou de l'autre.
[^] # gpg vs x509
Posté par Cangamra . Évalué à 1.
Existe-t-il un moyen de donner une valeur juridique à une clé pgp signée (et par qui ?) ? (en France ? en Europe ?)
Ou bien gpg est-il "condamné" à une utilisation dans des groupes "privés" et par exemple inutilisable pour les transactions commerciales ?
[^] # Re: gpg vs x509
Posté par jcs (site web personnel) . Évalué à 3.
- il est plus simple de distribuer des milliers (millions) de certificats X.509 et de gérer un hiérarchie de CA plutôt que créer un réseau de confiance GPG.
- Le support des certificats X.509 est inclus par défaut dans 99% des navigateurs web (et aussi dans la CryptoAPI de Windows).
Il y en a probablement d'autres mais à 23h30 je commence à fatiguer :-)
De toutes façon X.509 et GPG utilisent les même algo de crypto (RSA, DSS...), sont tous les deux basés sur des standards (PKIX, ISO...), ils n'ont tout simplement pas la même finalité.
[^] # Re: euh...
Posté par Ramso . Évalué à 3.
# Pourquoi une piece d'identite ?
Posté par a_jr . Évalué à 10.
J'explique ma question a l'aide d'un exemple. Imaginons que vous rencontrez Jean Dupont, qui participe au developpement du celebre logiciel machintruc. Vous echangez vos clefs en vous montrant vos cartes d'identite respectives.
Et un jour, vous avez besoin de communiquer avec cette personne qui vous a dit participer au celebre logiciel machintruc. Et la personne vous raconte n'importe quoi, mais signe avec la clef que vous avez signe.
Bah oui, vous avez bien signe la clef de Jean Dupont, mais vous etes-vous assure que Jean Dupont etait bien la personne que vous pensiez, a savoir un developpeur actif dans le celebre logiciel machintruc ? Vous vous etes en fait assure de signer la clef du porteur de la carte d'identite de Jean Dupont, rien de plus !
Voici un autre exemple, a l'envers. Vous recuperez un logiciel depuis une source sure. Il contient une clef, que vous associez donc de maniere sure au responsable du logiciel. Si vous avez besoin de discuter avec cette personne par mail, avez-vous besoin de l'avoir vu et d'avoir vu sa carte d'identite pour etre sur que c'est bien cette personne physique que vous discutez ?
Et puis, si un jour vous rencontrez cette personne, une bonne discussion ne suffira-t-elle pas a verifier que c'est avec elle que vous avez communique et elle dont vous avez la clef ? A quoi cela sert-il de verifier sa carte d'identite ?
Et puis, une carte d'identite, quand elle est celle de votre etat, vous savez l'identifier. Mais saurez-vous reconnaitre la valeur officielle d'un papier d'identite d'un autre etat ? N'allez-vous pas confondre une carte nominative quelconque avec un papier d'identite d'un autre pays si votre interlocuteur se presente comme pakistanais ou bresilien ?
Et puis, si vous evoluez dans un milieu ou la confiance regne, avez-vous besoin de la carte d'identite ? Une bonne discussion ne suffit-elle pas ? Inversement, si le milieu n'est pas un milieu de confiance, que vous ne pouvez pas faire confiance facilement a votre interlocuteur qui vous semble louche, allez-vous lui faire confiance sur presentation d'une simple carte d'identite ? Qui vous prouve qu'elle n'est pas fausse ?
Voila divers arguments en la defaveur de la presentation de la carte d'identite. Mais alors, comment faire ? En ce qui me concerne, discuter avec l'interlocuteur et lui demander de signer ses messages electroniques valide bien plus la clef qu'autre chose. S'il par mails signes, il me montre effectivement les qualites et competences qu'il pretend avoir, alors sa signature a bien plus de valeur que sa carte d'identite.
Ceci dit, une key-signing party est une excellente occasion de signer des clefs: ca permet de rencontrer des gens, et d'avoir/remettre en main propre des signatures de clefs avec ces gens que vous connaissiez deja ou que vous venez de rencontrer et que vous trouvez sympas.
Le bonjour chez vous,
Yves
[^] # Re: Pourquoi une piece d'identite ?
Posté par Bière Drabo . Évalué à -2.
Oui.
[^] # Re: Pourquoi une piece d'identite ?
Posté par Miair Patreau . Évalué à 2.
Ah. Comment ?
@Yves: J'ai beaucoup aimé cet article dans GLMF.
[^] # Re: Pourquoi une piece d'identite ?
Posté par a_jr . Évalué à 1.
j'ai effectivement ecrit un article sur gnupg dans GLMF avec quelques unes de ces idees, dans la rubrique programmation C, mais la ou elles sont vraiment bien exposees, c'est dans l'article de Guillaume Rousse "Vos papiers" ou un titre comme ca, paru aussi dans GLMF.
le bonjour chez vous,
Yves
[^] # Re: Pourquoi une piece d'identite ?
Posté par Bière Drabo . Évalué à 1.
Par la participation à une conférence où le monsieur a présenté (ou évoqué, plutot) son projet.
[^] # Re: Pourquoi une piece d'identite ?
Posté par a_jr . Évalué à 2.
[^] # Re: Pourquoi une piece d'identite ?
Posté par Bière Drabo . Évalué à 1.
[^] # Re: Pourquoi une piece d'identite ?
Posté par a_jr . Évalué à 2.
Non seulement je n'en ai pas l'assurance (autrement qu'avec la carte d'identite), mais en plus, ca ne m'avance a rien de savoir que la personne qui travaille sur un projet donne porte effectivement son nom.
J'ajouterais meme que si elle porte un surnom et ne veut pas communiquer son nom, ca ne m'empeche nullement de signer sa clef.
c'est une justification de l'identité
Oh que non ! Certaines personnes portent des surnoms !
Et quid des personnes qui sont homonymes ? doit-on verifier aussi leur date de naissance ou leur numero national comme le fait l'hotesse de caisse au supermarche quand je lui fais un cheque ?
Et puis, si la personne n'a pas sa carte d'identite sur elle, mais qu'on a identifie que c'est bien elle avec qui on veut echanger des mails signes, doit-on refuser de signer sa clef sous pretexte que cette personne ne peut justifier de son identite ?
Le bonjour chez vous,
Yves
[^] # Re: Pourquoi une piece d'identite ?
Posté par Bière Drabo . Évalué à 1.
Pour toi non, pour le reste du monde si. Ce n'est pas un argument valable.
> J'ajouterais meme que si elle porte un surnom et ne veut pas communiquer son nom, ca ne m'empeche nullement de signer sa clef.
Ne change pas de sujet. Les cas particuliers se traitent autrement, celui qui ne veut pas communiquer son nom n'est pas le cas dont on parle.
> Oh que non ! Certaines personnes portent des surnoms !
Si tu n'as pas mieux comme réponse, tu ne fais que confirmer à quel point ce que tu dis est léger.
> Et quid des personnes qui sont homonymes ? doit-on verifier aussi leur date de naissance ou leur numero national comme le fait l'hotesse de caisse au supermarche quand je lui fais un cheque ?
On peut en effet être parano et imaginer que l'usurpateur a fait faire de fausses cartes d'identité, et/ou qu'il s'est fait refaire le visage, ou qu'en réalité c'est un Envahisseur. M. Sibaud a déjà parfaitement répondu. C'est une vérification, et aucune vérification ne tient face à des théories du complot suffisamment fantaisistes.
> Et puis, si la personne n'a pas sa carte d'identite sur elle, mais qu'on a identifie que c'est bien elle avec qui on veut echanger des mails signes, doit-on refuser de signer sa clef sous pretexte que cette personne ne peut justifier de son identite ?
Ca te concerne toi, a toi de voir. Je n'aime pas cette manière de vouloir imposer agressivement sa méthode aux autres, et je n'ai donc pas l'intention de le faire moi-même.
[^] # Re: Pourquoi une piece d'identite ?
Posté par a_jr . Évalué à 2.
Je ne fais pas partie de la police, il est vrai :)
On peut en effet être parano et imaginer que l'usurpateur
je ne parlais pas d'usurpateurs mais de vrais homonymes. Merci de ne pas changer le sujet non plus.
Je n'aime pas cette manière de vouloir imposer agressivement sa méthode aux autres
La par contre, regarde qui impose quoi.
Je me permets de te citer: Pour toi non, pour le reste du monde si. En tout cas, c'est gentil de ta part de prendre la defense du reste du monde :)
Le bonjour chez vous,
Yves (plie de rire de lire quelqu'un qui veut controler l'identite des gens mais qui signe "choucroute joyeuse")
[^] # Re: Pourquoi une piece d'identite ?
Posté par Bière Drabo . Évalué à 0.
La vérification est faite en raison des fraudes et usurpations possibles. Dans un monde idéal on n'en a pas besoin, c'est sûr, on n'a pas besoin de mots de passe ni rien d'autre non plus, tout le monde est gentil.
Le cas des homonymes ne pose aucun problème, la meilleure preuve est que tu n'as même pas été capable d'expliciter le moindre problème possible les concernant.
> La par contre, regarde qui impose quoi.
Je me permets de te citer: Pour toi non, pour le reste du monde si. En tout cas, c'est gentil de ta part de prendre la defense du reste du monde :)
Le reste du monde, c'était « ceux qui font signer et réclament une pièce d'identité ». Désolé d'avoir employé une tournure qui te dépasse, ce n'était pas intentionnel.
> (plie de rire de lire quelqu'un qui veut controler l'identite des gens mais qui signe "choucroute joyeuse")
Je ne signe pas "choucroute joyeuse" mais c'est une subtilité qui doit t'échapper. Mais le fait que tu confondes un pseudo DLFP avec une identité explique au moins la simplicité de tes raisonnements naïfs.
[^] # Re: Pourquoi une piece d'identite ?
Posté par Bière Drabo . Évalué à 1.
> Mais le fait que tu confondes un pseudo DLFP avec une identité explique au moins la simplicité de tes raisonnements naïfs.
Plutot de la malveillance que de la naïveté, car quelqu'un de naïf ne terminerait pas tous ses messages de manière insultante avec ce railleur et méprisant "bonjour chez vous".
Bon, je n'arrange rien en nourrissant ce troll, alors faisons simple, plonk.
[^] # Re: Pourquoi une piece d'identite ?
Posté par a_jr . Évalué à 2.
mais c'est une subtilité qui doit t'échapper.
la simplicité de tes raisonnements naïfs
Oui maitre :)
Le bonjour chez vous,
Yves
PS. Pour les attaques directes, c'est plus simple d'envoyer des mails que de passer par un forum public, a moins qu'il ne s'agisse de lynchage.
[^] # Re: Pourquoi une piece d'identite ?
Posté par Aurélien Jarno (site web personnel) . Évalué à 2.
Et puis, une carte d'identite, quand elle est celle de votre etat, vous savez l'identifier. Mais saurez-vous reconnaitre la valeur officielle d'un papier d'identite d'un autre etat ? N'allez-vous pas confondre une carte nominative quelconque avec un papier d'identite d'un autre pays si votre interlocuteur se presente comme pakistanais ou bresilien ?
Tant qu'on reste dans l'Union Européenne, les cartes d'identités (pour les pays qui en délivrent), ont le même format, il y a donc que très peu de risque de se tromper.
Par contre, il est vrai que si l'on va un peu plus loin, cela peu poser problème. J'ai eu le cas d'une carte d'identité japonaise. A part la photo, je ne pouvais rien reconnaitre, même pas le nom ! Heureusement, dans ce cas, la solution la plus simple est d'utiliser un passeport, là ça devient de nouveau compréhensible, et on peut donc vérifier l'identité de quelqu'un facilement.
[^] # Re: Pourquoi une piece d'identite ?
Posté par Benoît Sibaud (site web personnel) . Évalué à 5.
[^] # Re: Pourquoi une piece d'identite ?
Posté par Benoît Sibaud (site web personnel) . Évalué à 6.
En général je signe la clé d'une personne (Jean Dupont), pas d'une fonction (développeur du machintruc). Et lorsque j'écris au développeur de machintruc en chiffrant avec la clé de Jean Dupont, si la personne n'est pas Jean Dupont, elle me signalera qu'elle ne pourra pas lire mon message. La question est plutôt quelle adresse de courriel j'utilise pour écrire au développeur : celle marquée sur une carte de visite que j'ai récupérée il y a X mois/années, ou celle utilisée sur la liste de diffusion que je suis ou dont je consulte les archives ? En général c'est plutôt la dernière solution.
> Voici un autre exemple, a l'envers. Vous recuperez un logiciel depuis une source sure. Il contient une clef, que vous associez donc de maniere sure au responsable du logiciel. Si vous avez besoin de discuter avec cette personne par mail, avez-vous besoin de l'avoir vu et d'avoir vu sa carte d'identite pour etre sur que c'est bien cette personne physique que vous discutez ?
Non. Si j'ai besoin d'envoyer une chose confidentielle, sa clé me suffit (« depuis une source sûr »). Au pire il ne pourra pas me lire si je me suis trompé. Même problème que précédemment.
> Et puis, si un jour vous rencontrez cette personne, une bonne discussion ne suffira-t-elle pas a verifier que c'est avec elle que vous avez communique et elle dont vous avez la clef ? A quoi cela sert-il de verifier sa carte d'identite ?
Les signatures de clé se font en quelques minutes. Une discussion c'est plus long (surtout s'il y a une barrière linguistique). La vérification est un plus.
> Et puis, si vous evoluez dans un milieu ou la confiance regne, avez-vous besoin de la carte d'identite ? Une bonne discussion ne suffit-elle pas ? Inversement, si le milieu n'est pas un milieu de confiance, que vous ne pouvez pas faire confiance facilement a votre interlocuteur qui vous semble louche, allez-vous lui faire confiance sur presentation d'une simple carte d'identite ? Qui vous prouve qu'elle n'est pas fausse ?
Qu'est-ce qui me prouve que la personne a qui je parle n'a pas une fausse carte d'identité et un faux passeport, et en plus n'a pas écouté les conversations téléphoniques de la personne imitée et lu ses courriels, en plus d'avoir eu recours à la chirurgie esthéthique et de s'être fait modifier les cordes vocales, après avoir éliminé l'usurpé, sa famille, ses proches et toutes ces connaissances par sécurité ? D'ailleurs suis-je sûr de mes perceptions ? Et ai-je confiance en moi, des fois j'ai l'impression d'être sur la corde raide et de devenir parano.... je me dis que je ne devrais pas me faire confiance... je vais retirer ma signature de ma clé, et aussi garder ma clé publique pour moi.
Pour résumer, on accepte/souhaite un certain niveau de confiance.
[^] # Re: Pourquoi une piece d'identite ?
Posté par a_jr . Évalué à 3.
En ce cas, avoir verifie la carte d'identite n'aura servi a rien. CQFD.
Non. Si j'ai besoin d'envoyer une chose confidentielle, sa clé me suffit (« depuis une source sûr »). Au pire il ne pourra pas me lire si je me suis trompé. Même problème que précédemment.
La, ce n'est pas un probleme, au contraire. Et a nouveau, CQFD :)
Les signatures de clé se font en quelques minutes. Une discussion c'est plus long (surtout s'il y a une barrière linguistique). La vérification est un plus.
la verification est un plus !!? La verification est essentielle !
A quoi sert-il de signer ou de verifier des signatures si on ne verifie pas vraiment qui est le destinataire ?
A quoi ca sert de signer la clef de Pierre Truc si on ne verifie pas que c'est bien la personne dont on voulait la clef ? Autant ne rien signer du tout !
Qu'est-ce qui me prouve que la personne a qui je parle n'a pas ...
Peu importe ! Si on veut joindre la personne qu'on a devant soi en signant ses messages, c'est en signant la clef qu'il nous presente. On s'en fiche de connaitre l'identite civile de la personne avec qui on veut correspondre, tant qu'on est sur qu'on correspond avec la personne avec qui on veut correspondre.
Et beaucoup confondent "signer une clef" avec "faire un controle d'identite".
... n'a pas une fausse carte d'identité et un faux passeport, et en plus n'a pas écouté les conversations téléphoniques de la personne imitée et lu ses courriels, en plus d'avoir eu recours à la chirurgie esthéthique et de s'être fait modifier les cordes vocales, après avoir éliminé l'usurpé, sa famille, ses proches et toutes ces connaissances par sécurité ?
Cela n'a rien a voir avec signer la clef de cette personne. Ce n'est ni en signant ou non sa clef, en verifiant ou non ses papiers d'identite que ca avancera a quelque chose.
Signer la clef de quelqu'un permet de s'assurer qu'on correspondra bien avec la personne qu'on a vu et avec qui y'a eu echange de clefs.
Verifier la carte d'identite permet de s'assurer que la personne qu'on a en face de soi a bien l'identite qu'elle pretend avoir.
Signer la clef de quelqu'un qui montre sa carte d'identite sans autre verification ne permet que d'associer une clef a une identite, mais pas a la personne qui porte cette identite. Pour enfoncer le clou, posez-vous cette question: communique-t-on avec des gens ou des identites ?
Pour résumer, on accepte/souhaite un certain niveau de confiance.
C'est la prefecture de police qui delivre les cartes d'identite, par ici.
Je ne lui reconnais aucune capacite a me dire que la personne avec qui j'ai pu deja avoir des echanges non signes, ou qui signe tel ou tel fichier que je peux recuperer sur internet, est bien celle qui me presente sa carte d'identite.
Signer une clef et montrer sa carte d'identite peut par contre servir: faites signer votre clef a votre banquier. En cas de litige, ce qui compte, ce n'est pas votre jolie frimousse, mais votre identite, pour vous defendre. Et la, d'ailleurs, vous pouvez tres bien confier votre clef et votre carte d'identite a un ami (de confiance, hein!): le banquier s'en fiche, tant qu'il associe la clef a la carte d'identite. Enfin bon, dans ce cas, il va quand meme trouver ca un peu louche :)
Le bonjour chez vous,
Yves
[^] # Re: Pourquoi une piece d'identite ?
Posté par Éric (site web personnel) . Évalué à 3.
> ne permet que d'associer une clef a une identite, mais pas a la personne qui
> porte cette identite. Pour enfoncer le clou, posez-vous cette question:
> communique-t-on avec des gens ou des identites ?
Je suis tout à fait d'accord. Et ce qui m'importe dans la signature c'est que celui qui s'exprime soit la personne habituelle à l'adresse mail indiquée, et pas quelqu'un d'autre. À ce titre un bref échange de mail est probablement même plus utile qu'une carte d'identité.
Certifier une clé sans vérifier l'email ça me semble un peu léger finalement, vu que c'est pour les conversations par email/newsgroup/internet que c'est le plus utilisé, et pas les relations basées sur le nom+prénom. D'autant que perso je serais bien à mal de repérer une CI falsifiée par un débutant : je n'ai aucune crédibilité pour certifier une identité à partir de ça.
Maintenant il reste un gros argument pour tout de même faire des vérifications d'identité : c'est l'usage.
Dire ça peut paraitre crétin mais finalement si chacun certifie suivant ses critères, à la fin on ne sait plus ce qui est certifié (le fait que le détenteur de la clé soit celui qui signe habituellement les paquets X ? le fait que le détenteur de la clé soit celui qui répond habituellement à l'email Y ? le fait que le détenteur s'appelle Z ?). Ça fout toute la notion de réseau de confiance par terre car on est grosso modo dans l'impossibilité de faire confiance en une relation de niveau 2.
Comme l'usage est de demander l'identité il faut le faire, sinon on fout tout le réseau de confiance à terre, et certains auront confiance en la donnée "identité" alors que ce n'est pas ce qui a été vérifié.
[^] # Re: Pourquoi une piece d'identite ?
Posté par mdlh . Évalué à 1.
A ce titre certaines personnes qui signent la clef ne l'upload pas mais l'envoit par mails... crypte avec la clef publique du destinataire.
[ En fait c'est un chouilla plus complique que ca mais le principe est la: verifier que l'adresse e-mail correspond bien].
[^] # Re: Pourquoi une piece d'identite ?
Posté par Bière Drabo . Évalué à -1.
Verifier la carte d'identite permet de s'assurer que la personne qu'on a en face de soi a bien l'identite qu'elle pretend avoir.
Ecrire en gras est équivalent à écrire comme un gros porc (en français on emploie l'emphase qui est l'italique quand c'est disponible), cela ne se fait pas en français. Merci de l'éviter.
Cordialement.
[^] # Re: Pourquoi une piece d'identite ?
Posté par Bière Drabo . Évalué à -2.
Pour résumer, on accepte/souhaite un certain niveau de confiance.
Bravo pour ce post, voilà notre Yves bien mouché. Mais je crois que tu te fatigues pour rien, la suffisance de ses propos suffit à lui dénier toute crédibilité. Heureusement qu'il ne publie pas sa prose dans une revue digne de ce nom... quel effet celà aurait pour ladite revue !
# Pourquoi pendant le LSM ?
Posté par Gaël Le Mignot . Évalué à 4.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.