Sortie de GPG 1.0.7

Posté par  (site web personnel) . Modéré par Benoît Sibaud.
Étiquettes :
0
1
mai
2002
Sécurité
Une nouvelle version de GPG (Gnu Privacy Guard) vient de sortir. Pour ceux qu'ils l'ignorent (et c'est bien dommage), GPG est un outil qui fonctionne sous Unix, Windows (NdM: et Mac) et permet de signer/chiffrer/déchiffrer des documents avec une paire de clés publique/privée (crypto asymétrique). C'est le pendant libre de PGP.

Au menu de cette nouvelle version :
- l'algo de cryptage est maintenant par défaut CAST5
- amélioration du support PGP2 et PGP6
- images pour identifier les utilisateurs
- les signatures non révocables sont supportées
- génération de clés RSA
- ...

Note du modérateur : cf l'édito « LinuxFr recommande fortement l'utilisation de GnuPG pour vos correspondances. »

Aller plus loin

  • # Question

    Posté par  (site web personnel) . Évalué à 9.

    - images pour indetifier les utilisateurs

    Kesako ?

    • [^] # Re: Question

      Posté par  (site web personnel) . Évalué à 10.

      J'ai traduit le « Photographic user ID support » mis par le rédacteur.

      Extrait du site de GnuPG :
      « * Photographic user ID support. This uses an external program to view the images. »

      Maintenant, je vois pas trop ce que c'est.

    • [^] # Re: Question

      Posté par  . Évalué à 10.

      GnuPG est désormais capable d'afficher les photos optionnellement incluses dans les clés de PGP, en utilisant la commande "showphoto" ou d'ajouter une photo, avec la commande "addphoto".

      Il faut aussi spécifier la visioneuse avec --photo-viewer ce qui nous donne :

      gpg --photo-viewer "kview %i" --show-photos --list-key B5DDB046

      pour afficher l'éventuelle photo incluse dans la clé B5DDB046 avec Kview.

      • [^] # Re: Question

        Posté par  (site web personnel) . Évalué à 10.

        2 questions:

        - Quel interêt ? (je subodore une question de vérification d'identité lors d'un échange de clés)
        - Où L'image est stockée ? sur les serveurs de clés ?

        • [^] # Re: Question

          Posté par  . Évalué à 10.

          > - Quel interêt ? (je subodore une question de vérification d'identité lors d'un échange de clés)

          Ca sent si fort que ca ? Lorque tu rentre chez toi et que tu signes la clé, ça te permet de vérifier que c'était bien la personne en question.

          Y a sussi le fait que c'est vachement rigolo de regarder les photos. Mais bon faut vraiment avoir rien d'autre à faire.

          > - Où L'image est stockée ? sur les serveurs de clés ?

          L'image est stockée dans la clé elle même (c'est un des nombreux types de paquest qui forment la clé) et par conséquent sur le serveur aussi. Le problème c'est que ca augment la taille des clés.

          Bien entendue la photo est signée

          • [^] # Photos : énorme erreur

            Posté par  . Évalué à 10.

            Ca sent si fort que ca ? Lorque tu rentre chez toi et que tu signes la clé, ça te permet de vérifier que c'était bien la personne en question.

            Quoi ?? Ouhlalala mais faites attention.... La photo ne prouve rien du tout.

            Rien ne m'empêche de créer un couple de clés au nom de Monsieur X, d'y apposer sa photo (que j'aurai trouvée sur le Net ou ailleurs), et de l'uploader sur les serveurs de clés de la même façon que si je n'y avais pas mis de photo.

            Le seul moyen de prouver simplement l'authenticité d'une clé à un correspondant, c'est de lui donner son fingerprint (empreinte de la clé) par un canal non falsifiable (voix).
            L'empreinte étant caractéristique de la clé (car calculée à partir de sa valeur et non stockée sous forme de données additionnelles), si l'empreinte que je dicte à mon correspondant est la même que celle calculée à partir de la clé publique qu'il a récupérée, alors cette clé publique est bien la mienne.

      • [^] # Re: Question

        Posté par  . Évalué à 10.

        Plus d'infos sur le site du CLX (LUG du Nord-Pas de Calais) : http://clx.anet.fr(...)
        et plus particulièrement
        http://clx.anet.fr/spip/article.php3?id_article=82(...)

        @+

  • # Le cryptage çà veut rien dire.

    Posté par  . Évalué à 10.

    Sans vouloir chinoiser et juste pour la culeture personelle

    crypter ca veut rien dire.
    On dit chiffrer lors que l'on passe du message au cryptogramme et que l'on possède la clé.
    L'opération contraire est le déchiffrement.

    Décrypter c'est lorque l'on obient le message originale en partant du cryptogramme et ce sans avoir la clé.

    A la limite crypter ca serait passer du message en clair au cryptogramme et ce sans la clé.

    • [^] # Re: Le cryptage çà veut rien dire.

      Posté par  . Évalué à -10.

      Quand je te vois préciser ce genre de chose, j'ai l'impression d'entendre mon ancien Prof de math App qui tenait absolument à ce qu'il n'y ait pas de confusions sur la signification et la définition des termes de la cypto. :)

      (hop -1 : on s'en bat de ma vie)

    • [^] # Re: Le cryptage ç_a_ veut rien dire.

      Posté par  . Évalué à 10.

      Juste pour info aussi (:-), pour dire "ça" dans le sens de "cela", on ne met pas d'accent sur le "a". Le seul cas où on met un accent est dans l'expression "çà et là".

    • [^] # Re: Le cryptage çà veut rien dire.

      Posté par  . Évalué à 10.

      Cette enfilade de mouche discussion a déjà eu lieu ( http://linuxfr.org/section/Articles/7881,0,-1,0,1.php3(...) ), et crypter existe dans le dico depuis maintenant 50 ans.

      • [^] # Re: Le cryptage ça veut rien dire.

        Posté par  (site web personnel) . Évalué à 10.

        Si crypter c'est pareil que chiffrer, ne nous étonnons pas de la déformation du langage technique par les journalistes.

        Dans le dictionnaire (hachette : http://www.francophonie.hachette-livre.fr/(...) ) on a comme définition :
        1. Coder une transmission afin de la rendre intelligible aux seuls détenteurs d'un décodeur. -- Pp. adj. Une chaîne de télévision cryptée.
        2. INFORM Transformer un message de manière qu'il ne soit accessible qu'aux possesseurs du code utilisé. -- Pp. adj. Des données cryptées.

        Ça n'a pas grand chose à voir avec le chiffrement assymétrique qui ne rentre pas dans le cadre de ces définitions.

        Moi ça m'énerve ceux qui utilisent "hacker" pour "cracker", de meme que ceux qui utilisent "crypter" pour "chiffrer". Il y a des mots précis pas trop dur à prononcer, autant les utiliser, surtout DANS leur contexte technique.

        • [^] # Re: Le cryptage ça veut rien dire.

          Posté par  (Mastodon) . Évalué à 8.

          En fait pour moi (et aussi dans le bouquin de Simon Singh sur l'histoire des codes secrets), comme la cryptographie couvre le code et le chiffre, crypter c'est cacher le sens d'un message en le codant ou en le chiffrant. Ça n'a donc pas tout à fait le même sens que chiffrer, et donc ce mot a une bonne raison d'exister.

          • [^] # Re: Le cryptage ça veut rien dire.

            Posté par  . Évalué à 3.

            crypter c'est cacher le sens d'un message en le codant ou en le chiffrant

            Pour être très précis, le chiffrement est un codage.

            Un codage est une transformation de données vers une autre forme, transformation univoque pour un vrai codage (par exemple le morse est un codage, l'ASCII aussi, etc...). On passe d'un code à un autre code. A noter qu'avec cette définition, passer d'une image 24 bits brute à du JPEG n'est pas un codage car on perd de l'information (est-ce qu'on peut parler de codage approché ?).
            La compression de données est un codage, on parle par exemple de codage de Huffman (en l'occurrence ça peut constituer une forme de chiffrement puisqu'on obtient un flux illisible à l'oeil nu, et avec des données semblant aléatoires).

            Un chiffrement est un codage fait exprès pour rendre les données inintelligibles, un exemple connu étant la transformation des lettres "A" -> "B", "B" -> "C", etc.. En général pour le chiffrement on utilise une clef, alors que pour le codage il n'y a qu'un algorithme.

            • [^] # Re: Le cryptage ça veut rien dire.

              Posté par  (Mastodon) . Évalué à 5.

              Hum, justement pour moi la différence entre le codage et le chiffre, c'est que tu peux décoder un texte codé si tu possède l'alphabet employé pour coder, alors que tu ne peux pas déchiffrer un texte chiffré en ayant l'algorithme employé, il te faut aussi une clé.

              Après effectivement on peut considérer qu'un "codage" désigne n'importe quelle représentation d'une information, mais ce n'est pas le sens employé en cryptographie, il me semble.

    • [^] # Re: Le cryptage çà veut rien dire.

      Posté par  (site web personnel) . Évalué à 0.

      J'ai remplacé crypter/décrypter dans « signer/chiffrer/déchiffrer » de la dépêche originale, mais j'ai raté celui-là. Désolé.

  • # + rapide ?

    Posté par  . Évalué à 10.

    Es-ce que cette version est plus rapide que les autres ?
    je m'explique, j'ai été à un first jeudi, mais déjà avec les linux expo, les rencontres etc, j'ai un ~/.gnupg d'a peine 800 Ko ... sauf que lorsque dans mutt je veux lire un mail de fabien, de ludo ou d'un autre, ben mon duron 800 "mouline" facilement plus de 20 secondes, c'est troooooooooooooooooop
    tout ça pour me dire que la clef n'est pas OK chez moi mais que des personnes ont validées cette clef ... y a une option pour aller plus vite ? faire des index sur les fichiers textes ?

    a+
    Éric

    eric.linuxfr@sud-ouest.org

    • [^] # Re: + rapide ?

      Posté par  (site web personnel) . Évalué à 10.

      Oui c'est plus rapide (nettement plus rapide).
      Avec la version CVS, je peut gerer un keyring
      de plus d'un 1Mo (juste pour des tests, je connait
      pas tant de gens que ca ;).

      gpg --check-sig sans argument (sur tout le keyring)
      est tres nettement plus rapide qu'avec la version 1.0.6.

      Moi je dit:
      Enfin, elle est enfin sortie cette version.

      PS: il y'a aussi une fonction update-keyring
      qui va mettre a jour tout votre keyring
      (mise a jour des signatures) en une seule passe.

    • [^] # Re: + rapide ?

      Posté par  (site web personnel) . Évalué à 10.

      D'après l'annonce de Werner Koch cette version est plus rapide mais il faut "reconstruire" son anneau de clés :

      * The way signature stati are store has changed so that v3 signatures can be supported. To increase the speed of many operations for existing keyrings you can use the new --rebuild-keydb-caches command.

    • [^] # Re: + rapide ?

      Posté par  . Évalué à 5.

      En fait, avec la version précédente, la vérification de la signature était très rapide, et si tu faisais CTRL-C dans mutt après 2 ou 3 secondes, il te disait : "signature valide" puis "some signal caught" ou un truc comme ça. En fait, ce qui prenait beaucoup de temps, c'est le parcours de la base de confiance (trustdb) qui augmente au fur et à mesure que tu as des clés et que tu signes du monde. Cette base te permet de faire confiance ou pas à quelqu'un en fonction des personnes qui ont signé sa clé, et de la confiance que tu accordes à ces personnes. Et elle était parcourue même lorsque toi tu avais signé cette personne. C'est ce parcours de la base de confiance qui a été grandement amélioré, et cette amélioration était attendue d'ailleurs depuis fort longtemps :o)

      J'en profite (rien à voir, ou presque) pour recaser l'URL de la doc que j'ai écrite pour ceux qui voudraient se mettre à GnuPG sans trop de douleurs (y'a plein de trucs à mettre à jour sur cette doc, je sais ...) : http://www.vilya.org/gpg/(...)

      Enfin une bonne nouvelle cette nouvelle version de GnuPG :o)

  • # Et sous Windows ??

    Posté par  . Évalué à 10.

    Et sous windows, est-ce qu'il y a tous les outils qu'il faut.

    Parce que si on veut que le cryptage se dévellope, malheureusement il faut bien penser à la plateforme...

    Pourquoi mozilla, netscape, et outlook n'utilisent pas ce système ?? perso j'utilise kmail, et je ne vois pas de problème dans le courrier...

  • # Faudra m'expliquer...

    Posté par  . Évalué à -10.

    ... mais alors concrêtement l'intérêt d'utiliser GPG, PGP, ou n'importe quel logiciel basés sur une combinaison de ces lettres, parce que ça me dépasse.

    Pour les entreprises, je comprends bien le besoin de ponctuellement établir une communication cryptée pour des besoins de confidentialité. Mais pour un particulier ? Dans quels cas vous l'utilisez ? Pour signer les mails à vos potes où vous leur racontez vos vacances ? Pour crypter vos derniers hacks sur linux ? Franchement, dans la mesure où aujourd'hui on constate que ce qui camoufle le mieux l'information c'est le bruit, et que justement le bruit il y en a un paquet, vu tout ce qui peut transiter sur l'internet, comme mail, icq, ftp, web, etc.

    Ce qui m'étonne c'est le nombre de personne que ça semble intéresser, et qui ont l'air de se faire des petits trips entre elles, sur le thèmes du "ouaaiis je suis le mega-cool-hacker, j'ai ma propre clef GPG, personne ne pourra lire ce que je crypte, personne ne pourra se faire passer pour moi quand je signe", alors que franchement, personne ne vous connait, personne ne s'intéresse à vos petites affaires, et concrêtement, que vous chiffriez ou pas, ça change rien.

    Pour les packages ? Ouais, cool, c'est super intéressant de signer son packaging rpm ou apt, pour un logiciel qui est utilisé par 2 péquins dans le monde, y compris vous même.

    L'impression qui se dégage c'est "beaucoup de bruit pour rien", autour de jeunes hackers qui ont trop regardé Matrix.

    • [^] # Re: Faudra m'expliquer...

      Posté par  (site web personnel) . Évalué à 10.

      Mon pauvre, tu ne dois pas comprendre grand chose à ce que sont le respect de la vie privée et des libertés individuelles.

      Tout d'abord, PGP/GPG est principalement utilisé pour la signature de messages textes ou de packages binaires : cela permet d'en authentifier leur auteur. Par ex. de nombreux avis de sécurité de Bugtraq sont signés par GPG et on s'assure comme cela de leur intégrité. De même pour de de nombreux packages binaires livrés avec une signature OpenPGP.

      Ensuite, sans entrer dans une parano aïgue, la connaissance de réseaux "d'écoute" internationaux tel Echelon peut laisser craindre à certains que les communications privées doivent être cryptées.

      Pour reprendre un exemple connu, un mail simple est comme une carte postale (le postier peut la lire sans ton consentement), um mail chiffré est une lettre dans une enveloppe.

      L'impression qui se dégage c'est "beaucoup de bruit pour rien", autour de jeunes hackers qui ont trop regardé Matrix.

      Tu diras çà aux milliers d'informaticiens "chevronnés" qui utilisent ces outils à travers le monde.

      • [^] # Re: Faudra m'expliquer...

        Posté par  . Évalué à -10.

        D'abord je ne suis pas ton "pauvre", merci de rester courtois.

        Ensuite je connais suffisamment bien les réseaux d'écoute pour savoir que les mails que n'importe quel particulier peut envoyer sont totalement transparent pour ces réseaux.

        C'est pourtant une question de bon sens. Est-ce que tu crois vraiment qu'il existe des gens qui sont payés pour lire les centaines de milliers d'emails qui transitent chaque jour ? Parce que croire que les filtres de ces réseaux d'écoute sont sensibles au point qu'ils vont s'affoler sur les mails de particulier, c'est comme croire au père noel. Le minimum que peuvent faire ces système pour limiter le bruit, c'est de filtrer sur les auteurs/destinaires de ces informations, et sauf à croire que tu es important au point d'être fiché par ces systèmes (même si certains doivent avoir l'égo suffisamment développé pour le croire), fais-moi confiance, c'est de la science-fiction à l'état brut.

        Tu dis "un mail est comme un carte postale". Oui, et alors ? Tu crois qu'il suffit que l'information soit lisible pour être utilisable ? C'est montrer là une très pauvre connaissance des systèmes de surveillance, et surtout une très grande naïveté.

        Franchement, tant que vous n'êtes pas une cible potentielle des RG, journaliste, ou homme politique, tant que vous restez des hackers qui refont leur monde, mais un monde qui se limite à linux et à l'informatique, vous pouvez dire que vous vous faites plaisir en jouant aux espions (pourquoi pas si ça vous donne des frissons à peu de frais), mais ne dites pas que ça peut servir à quelque chose, et surtout pas la liberté d'expression, qui n'a jamais eu besoin de PGP pour exister, merci pour elle (et heureusement pour nous).

        • [^] # Re: Faudra m'expliquer...

          Posté par  . Évalué à 10.

          Tu traites les utilisateurs GPG de jeunes hackers qui ont trop remarqué Matrix, et plus haut de "mega-cool-hackers" qui se font des "trips"... et puis après tu exiges de la courtoisie envers ceux-ci?

          Rester courtois, je suis à 100% pour... mais autant que ça soit à double sens non? :)

          Et haup -1, mes leçons de morale dérivent du sujet là

        • [^] # Re: Faudra m'expliquer...

          Posté par  . Évalué à -5.

          PWET TA GUEULE !

          Bon sang c'est pas possible d'être aussi borné !

      • [^] # Re: Faudra m'expliquer...

        Posté par  . Évalué à 6.

        Pour reprendre un exemple connu, un mail simple est comme une carte postale (le postier peut la lire sans ton consentement), um mail chiffré est une lettre dans une enveloppe.

        Cet exemple connu ne va justement pas dans le sens de ton argumentation : le fait que le postier puisse lire les cartes postales n'empêche pas des millions de vacanciers d'en envoyer. Autant je suis d'accord avec toi s'agissant des avis de sécutité, autant s'agissant des mails de tous les jours c'est un poil parano.
        Quant au respect de la vie privée et des libertés individuelles, je crois qu'à force de les invoquer à tout va, on noie le fait que ce sont des choses extrèmement importante à défendre.

        • [^] # Re: Faudra m'expliquer...

          Posté par  (Mastodon) . Évalué à 7.

          Dans la mesure où on peut très bien automatiser la procédure, chiffrer ses mails de tous les jours, même si c'est probablement supperflu, peut très bien passer inapperçu pour l'utilisateur. Actuellement c'est trop peu répandu, mais pourquoi pas, à plus long terme.

        • [^] # Re: Faudra m'expliquer...

          Posté par  . Évalué à 8.

          non ça ne va pas à l'encontre de sa démonstration : quel est le pourcentage de cartes postales parmi tes expéditions ? D'accord les entreprises n'envoient jamais de cartes postales, mais tous les particuliers ne font pas qu'envoyer des cartes postales. refuser gpg en tant que particulier, c'est envoyer exclusivement des cartes postales.

          dans les sources de RSA-REF, les fonctions de chiffrement sont désignés comme enveloppes numériques, ben pourquoi ?

          • [^] # Re: Faudra m'expliquer...

            Posté par  . Évalué à -3.

            Arretez de pensez que l'état observe vos conversation, il s'en fout.

            Par contre l'administrateur de mail, votre collegue de bureau, ou je ne sais qui encore qui s'y connait un peu, peut lire vos mails sans aucun problème, et venire ainsi percer votre intimité. Et comme je pense que personne ici n'a envie que son collégue de bureau sache tous ce que vous faites de vos soirées, ou enocre copie les photos de votre week-end en amoureux! Ce ces mails la qui doivent le plus etre chiffrer!

    • [^] # Re: Faudra m'expliquer...

      Posté par  . Évalué à 10.

      Tu oublies l'interêt de la signature.
      C'est necessaire sur certaines mailing list de developpeurs et cela se comprend pour eviter que des petits malins viennent foutre le souk.

      • [^] # C'est vrai la signature.

        Posté par  (site web personnel) . Évalué à 8.

        En fait, je dirais même que c'est le seul interêt actuellement.

        Pour crypter|chiffrer ses mails, il faut être sur que la personne en face utilise les mêmes protocoles si elle veut le lire, et puis c'est long et lourd si on est pas sur sa machine déjà configurée (vous n'avez jamais fait de webmail ?).
        Par contre on peut toujours vérifier la signature après coup en cas de "litige" mais ça n'empêche aucunement l'accès à l'information.

        Je ne suis pas contre le principe de chiffrer tous les mails, mais encore faudrait il qu'il y a ait une norme commune (utopie allez mettre d'accord MicroSoft, Sun, IBM sur un standard libre d'utilisation) comme pour SSL qui est utilisé pour le HTTPS ou pour le SSH pour que l'utilisation des mails chiffrés soient totalement transparente.

        Et la standardisation, ça sera une décision politique, parce que pour l'instant, si on oblige dans une entreprise a chiffrer tous les mails, il va falloir ressortir votre dual-boot sous windows pour les lire avec outlook. Il y a des outils de chiffrage avec outlook et windows doit representer 80% des postes bureautiques (au moins), a votre avis qui deviendra le standard de fait même si il est pourri et que GPG est des milliards de fois mieux ?

        Ou alors, il faut que le libre monopolise les ordinateurs bureautiques et là, GPG étant en standard dans toutes les distribs, on pourrait effectivement généraliser le système. Mais même si le libre suit ce scénario, il faudra encore une dizaine d'année (d'autant plus que dans le monde "professionnel" ils ont peur de ne pas avoir de parapluie s'ils ne se fournissent pas auprès d'une grosse boîte de software, linux fait peur car en cas de problème, le décideur pressé ne peut pas rejeter la faute sur le fournisseur).

        En plus, comme celà n'est pas trés répandu, ceux qui chiffrent leurs messages avec GPG seront repérés beaucoup plus vite.

        Alors théoriquement, chiffrer tous ses messages, c'est trés bien, mais dans la pratique, c'est beaucoup d'emmerdemments pour pas grand chose.

        • [^] # Re: C'est vrai la signature.

          Posté par  . Évalué à 7.

          Chiffrer, c'est quand même utile. Quand je veux dire du mal de mon boss ou d'un client depuis chez lui, je chiffre mes mails. Au cas ou il y a un relecteur, ou, plus classique, si tu te plantes dans une adresse et que le mail part en retour chez l'admin du serveur de mail qui y jette un oeil.
          Bien sur, je correspond avec des geeks qui utilisent aussi PGP ;-) Les autres, je ne leur ecris jamais detels choses sinon ils me repondent en html avec outlook ;-)

        • [^] # Re: C'est vrai la signature.

          Posté par  (site web personnel) . Évalué à 7.

          Je ne suis pas contre le principe de chiffrer tous les mails, mais encore faudrait il qu'il y a ait une norme commune

          Il y a 2 normes communes pour les mails chiffrés :
          - PGP/MIME --> voir RFC 2440 pour OpenPGP et RFC 3156 pour PGP/MIME
          - S/MIME --> pléthores de RFC

          Donc ton argument sur les normes comme obstacle au chiffrement, ne tient pas la route IMHO.

          Le problème est plutôt d'éduquer les gens à ces problèmatiques et de fournir des outils libres et simples d'utilisation.

          • [^] # Re: C'est vrai la signature.

            Posté par  (site web personnel) . Évalué à 0.

            Quand je parles de normes communes, je ne parle pas de "white papers" "voeux pieux" mais de solutions implémentées par tout le monde.

            Par exemple, peut on sous linux utiliser les algo de chiffrement de Microsoft pour envoyer un mail a une personne utilisant outlook sans enfeindre une quelconque licence ou restriction anti-chiffrement américaine?

            Maintenant, comment diffuser des plugin GPG sous windows pour imposer une solution GPG qui deviendrai un standard de fait ?

            En plus la gestion des clefs c'est plutôt casse-couille pour un particulier (il faut apprendre les notions, il faut gérer ses clefs, ça prend du temps et il faut être rigoureux pour que cela ne soit pas inutile).

            La cryptographie est lourde à mettre en oeuvre, et le maillon faible, ce n'est pas un algo de 40bits mais un utilisateur, et je ne connais aucun système simple.
            A moins de laisser l'admin gérer les clefs pour les utilisateurs (ce qui peut être le cas en entreprise).
            C'est valable pour une communication entre sites distants, mais ça devient le bordel pour une communication entre des partenaires commerciaux sans cesse renouvelés.

          • [^] # Re: C'est vrai la signature.

            Posté par  (site web personnel) . Évalué à 4.

            Le problème est plutôt d'éduquer les gens à ces problèmatiques et de fournir des outils libres et simples d'utilisation.
            Ben oui c'est ça le gros problème, faire des outils simple, je veux bien, éduquer, ben là c'est plus dur.
            Combien de personnes se proménent encore avec leur Carte Bleue et leur code noté sur un bout de papier dans leur porte-feuille.
            Quand on voit que les utilisateurs ne retiennent pas un code à 4 chiffres, alors mettre en place des procédures de sécuritées sans que leurs mots de passe se baladent dans le bureau sous forme de papiers volant est une utopie.

            Pour des applications spécifiques et ciblées, on peut arriver à un trés bon résultat, car les utilisateurs sont concernés, maintenant, dans une grande entreprise, combien d'utilisateurs ont un mot de passe faible, combien s'échangent leur mots de passe pour débloquer une situation urgente (à merde j'ai besoin de tel document là tout de suite pour la réunion, ah oui, mais je ne peux pas accéder à ton répertoire, attends je te donne les droits ou attends je me logge).
            Donc croire que la généralisation de la cryptographie par sa simple présence aménera un surcroit de sécurité est faux.

            Est-ce que tu respecte tous les feux rouges quand tu arrive à un croisement et que tu as une visibilité de 3km de chaque côté et qu'il n'y a pas une voiture à l'horizon ? Au bout d'un moment on devient laxiste et c'est là que les procédures de sécurités sont inutiles.

            La sécurité est un tout, à quoi ça sert d'avoir des communications cryptés si un "pirate" contourne le firewall pour lire les mails en clair dans le fichier temporaire de déchiffrage ou si les utilisateurs utilisent des mots de passe comme "police" ?

            De même que linux est plus "secure" que windows à priori, mais je suis sur qu'on pourrait des exemples ou des boites windows bien configurées sont plus "secure" que des boites linux mal configurées.

            Et comme dans une population type d'utilisateurs tu auras 10% de parano, 20 de moyennement parano, 40% d'utilisateurs normaux, 20% de moyennement laxistes et 10% de super-laxistes un systéme généraliste ne sera pas sur même si tu les "éduquent", tu auras au moins 10% de réfractaire, donc autant de failles potentielles alors que tu te crois à l'abri.

    • [^] # Re: Faudra m'expliquer...

      Posté par  (Mastodon) . Évalué à 10.

      L'intérêt est le même que de mettre ses lettres dans une enveloppe qu'on ferme avec de la colle. Le problème n'est pas de savoir si quelqu'un aura envie de lire notre courrier, mais simplement d'avoir la possibilité de communiquer avec quelqu'un sans que quelqu'un d'autre puisse écouter.

      Et maintenant qu'on s'est bien fait peur en agitant un petit drapeau fachiste sous le nez des français pendant 15 jours, c'est une bonne occasion pour signaler qu'il n'est pas impossible qu'un état policier s'installe un jour où l'autre, et que ce jour là on sera bien content d'avoir un peu d'intimité.

      • [^] # Re: Faudra m'expliquer...

        Posté par  . Évalué à 4.

        Certes, PGP permet de chiffer et de signer des documents. Mais qu'en est-il des problèmes d'usurpation d'identité ??? J'invite ceux qui veulent en savoir plus sur le sujet à lire : http://groups.google.fr/groups?q=cle+pgp+%2Bidentit%E9&hl=fr&am(...)
        Je trouve le point 2. particulièrement intéressant et, à l'issue de cette lecture, pourriez vous me dire combien parmi vous utilisent des clés certifiées ?

        • [^] # Re: Faudra m'expliquer...

          Posté par  . Évalué à 3.

          La faille dans son raisonnement est de faire
          confiance au Key-ID, ce qui n'ai pas raisonnable.

          Seul l'empreinte complète a de la valeur.

          Les clef certifiées sont pour des messages d'une
          valeur bien supérieure à celle de nos messages
          personnels.

    • [^] # Tant que t'auras pas prix un coup sur la figure tu comprendras pas.

      Posté par  . Évalué à 3.

      Rassures toi!! Je reste poli. Je ne te souhaite pas du mal mais bon si tu veux comprendre faut que ça t'arrive un jour :
      Si jamais tu reçois un mail d'un gars que tu connais et qui ne te fait pas plaisir (un mail qui serait crédible, pas un gros fake qui se voit) et que par la suite tu fini par te facher avec ce pote,çà serait bète de se facher si c'est pas lui qui avait envoyé le mail ..
      Tu vas me dire que j'en rajoute. C'est vrai que la situation est un peu nulle, mais avec des gars qui ont le sang chaud c'est facile. J'ai un pote à qui c'est arrivé. (comme par hazard mais c'est vraiment pas une connerie en fait)

      C'est tellement simple de se faire passer pour un autre sur ternet que c'en est ridicule. Si tu as habitude de signer tes mails et bien bon là l'autre il réfléchis avant de bondire s'il ne l'est pas.

      Quant à ce que j'envoie dans mes mails c'est personnel et même c'est totalement inintéressant aux yeux de beaucoup de monde.
      Sauf que si je balance une bonne vielle blague de merde sur le dos d'une personne que j'aime pas j'aimerai pas qu'elle me retombe sur le coin de la gueule parce que y a un script kiddie qui a voulu jouer dans mon université.
      De plus c'est personnel et ca me ferait chier qu'il y est un guignol que je ne connais pas qui s'amuse à lire les mails plein de débilité que j'enverrai à ma copine au canada.

      Bon il y a fort à parier que tu n'aies toujours pas compris, mais bon je vais te citer les dires d'une personne qui avita bossé pour les copains de la NSA qui bossent au canada. (reportage sur France 2)
      "N'ayant rien à faire, ils nous arrivaient s'occuper en lisant les mails des gens que nous ne connaissions pas"
      Savoir qu'il y a un gars qui s'ammuse à lire mes conneries ca me plait pas vraiment. d'autant plus que si je veux que tout le monde lise je posete dans fr.rec.blabla

  • # Juste une question comme ca..

    Posté par  . Évalué à 6.

    Pourquoi ne pas utiliser S/MIME ?

    • [^] # Re: Juste une question comme ca..

      Posté par  . Évalué à 6.

      Ca implique l'utilisation de certificats X509 si ne ne m'abuse.
      Donc t'as deux solutions.
      Te débrouiller à établir une infrastructure pki avec tes amis. mais bon qui va être la CA (tu peux lui faire confiance????).
      Ou bien tu payes tes certificats à verisign (trop cher ???? nan pas du tout)

      Oups j'oubliais la troisieme solution pgp/gpg (on y reviens). Tu payes rien et tu te débrouilles pour signer les clés et paramétrer le truc pour avoir en fonction de tes besoins une bonne toile de confiance.

  • # tite question: legislations

    Posté par  . Évalué à 4.

    Je me demandais si legalement on est tenu a un certains niveau de cryptage max??

    ca depend du pays (si ui connaitre le status en Belgique m'interesserait) ou c a niveau européen?

    merci :)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.