• # orthographe

    Posté par  . Évalué à 6.

    Signage ?
    Signature ??
    Echange de clés ???

  • # Utilité?

    Posté par  (site web personnel) . Évalué à 5.

    Pourrait tu m'expliciter l'utilité de la chose?

    • [^] # Re: Utilité?

      Posté par  (site web personnel) . Évalué à 3.

      Je precise ma pensée avant de me faire degommer :

      1 - Je ne te connais pas (ni les autres qui vont venir), dans quel mesure puis je donc vous accorder ma confiance?
      2 - Je ne suis pas capable de detecter une vrai d'une fausse carte d'identité, en quoi puis je certifier que tu es bien la personne que tu pretends?

      • [^] # Re: Utilité?

        Posté par  (site web personnel) . Évalué à 2.

        > 1 - Je ne te connais pas (ni les autres qui vont venir), dans quel
        > mesure puis je donc vous accorder ma confiance?

        Il ne s'agit pas de confiance dans la personne mais de confiance dans l'identité. On revient donc à ton point 2

        > 2 - Je ne suis pas capable de detecter une vrai d'une fausse carte
        > d'identité, en quoi puis je certifier que tu es bien la personne que tu
        > pretends?

        Ca ne rajoute pas énorme mais une règle officieuse veut qu'on envoie souvent la clé signée à son propriétaire par mail au lieu de l'envoyer sur les serveurs publics. Le résultat c'est qu'il faut aussi qu'il controle la boite mail qui est indiquée dans la clé. Ce n'est pas une sécurité énorme mais ça évite déjà de prendre la place de quelqu'un avec son email.

        A vrai dire l'idée de s'assurer plus sérieusement de l'identité qu'avec une carte d'identité, ou l'idée de travailler sur la confiance dans la personne est bonne.
        Mais si dans le même réseau la majorité des gens ne certifient que la carte d'identité et le mail, certifier plus n'aura que peu d'intérêt (vu que les gens ne pourront pas exploiter le réseau en profitant de ce que tu as certifié en plus). Du coup, pour le réseau GPG, on ne s'occupe que de carte d'identité et mail, c'est comme ça, et c'est déjà mieux que rien.

        • [^] # Re: Utilité?

          Posté par  (site web personnel) . Évalué à 3.

          Personnellement je signe les clés de personnes en qui j'ai confiance et non de personne dont j'ai verifier les papiers. Ce qui veux dire que j'ai signer des clé sur la base de la relation que j'ai avec ces personne, sur le fait que je leur fait confiance mais qu'il pourrait avoir usurpé l'identité qu'ils utilisent pour x ou y raisons (auquel cas je serais le premier deçu ou pas en fonction de x ou y).

          Donc pour resumer je signe la clé de celui qui se fait appeler comme ca et utilise tel e-mail et en qui j'ai confiance.

          Puis par extension je signe les clés qu'ils ont eux même signés, avec un degré de confiance moindre en fonction de l'eloignement dans la chaine et des valeur que les autres lui ont accordé.

          • [^] # Re: Utilité?

            Posté par  (site web personnel) . Évalué à 10.

            > Personnellement je signe les clés de personnes en qui j'ai confiance et non de personne dont j'ai verifier les papiers.

            Pour moi le Web of Trust de GnuPG est fondamentalement une histoire de confiance dans l'identité et pas une histoire de confiance dans la personne.
            La confiance elle se calcule avec le nombre de signatures, l'importance des signatures, et la branche à laquelle on les relies à toi (est ce que tu as confiance dans la branche qui mène à la personne que tu vérifies).

            Le système des keysigning party est vieux et bien implanté. Il y a des howto et des paquets deb uniquement pour ça. C'est même le moyen de s'implanté proposé par les docs GnuPG. C'est fait justement parce que ça permet qu'on authentifie ton identité. Après si les gens ne te connaissent pas ils te mettront une confiance faible ou nulle dans leur trousseau, mais au moins il y a aura moyen de tracer des relations vers toi et à travers toi. Le nombre de ces relations et leur importance permettra éventuellement de se faire une idée.

            Le système de confiance dans la personne il est implanté dans l'outil mais n'est géré que par ton trousseau de clé pour te permettre de donner un indice de confiance dans un message signé que tu reçois. C'est une information privée qui n'est pas exportée, et donc qui est dissociée des signatures de clé que tu peux faire.

            > je signe les clés qu'ils ont eux même signés, avec un degré de confiance moindre en fonction de l'eloignement dans la chaine

            Les degrés de confiance c'est pour ton trousseau de clés en interne. C'est une donnée pour toi pour savoir si tu peux avoir confiance dans les signatures faites par la clé X ou Y. Ca ne transpire jamais à l'extérieur. A l'extérieur la signature elle est binaire. Soit tu certifies l'identité, soit tu ne la certifies pas. Signer une clé avec un degré de confiance moindre ne veut rien dire (enfin sauf si tu n'exportes jamais la signature, mais dans ce cas autant ne pas la faire et simplement intégrer la clé dans ton trousseau)


            > Puis par extension je signe les clés qu'ils ont eux même signés

            Ca par contre c'est clairement une perversion du système.

            Gérer les relations entre signatures pour dire "oui, son identité est certifiée, mais avec deux intermédiaires et sur une branche à laquelle j'ai donné un niveau de confiance moyen" c'est à chacun de le faire, avec ses paramètres de confiance. Ca peut déjà être déterminé en suivant les signatures. Il y a même des softs qui tracent les relations dans de jolis graphiques de confiance.

            Si tu signes les clés "parce qu'elles sont signées par des gens en qui tu as confiance", tu casses justement les graphes de confiance en faisant des raccourcis qui n'ont pas lieu d'être. Pire, si jamais ta relation se rend compte qu'elle a fait une bêtise et révoque sa clé ou sa signature, ton raccourci restera et tu auras fait une liaison qui normalement aurait du être révoquée.

            Je ne sais pas comment le dire autrement mais en signant automatiquement les clés signées par tes relations, sans vérifier toi même physiquement ce que tu signes, tu casses beaucoup plus le réseau de confiance qu'en faisant une keysigning party qui se base sur l'identité des présents.

            • [^] # Re: Utilité?

              Posté par  (site web personnel) . Évalué à 3.

              Je ne sais pas comment le dire autrement mais en signant automatiquement les clés signées par tes relations, sans vérifier toi même physiquement ce que tu signes, tu casses beaucoup plus le réseau de confiance qu'en faisant une keysigning party qui se base sur l'identité des présents.


              Effectivement, si la notion de confiance n'est pas exportée contrairement à ce que je pensais, je vais arreter cette pratique.

              Par contre je ne demord pas qu'il faut mieux signer la clé de qqun en qui on a confiance plutot que de signer la cle de qqun sur la base de sa carte d'identité.

              Parce que creer une adresse RMS@hotmail.com et venir se la faire signer sur la base d'une fausse carte serait faicil si il n'etait pas aussi connu dans le milieu et que l'adresse n'etait pas aussi peut credible.

              • [^] # Re: Utilité?

                Posté par  . Évalué à 2.

                par confiance en une personne, veux-tu dire confiance en tout ce qu'il est ou seulement confiance en le fait qu'il est celui qu'il dit etre ?

                • [^] # Re: Utilité?

                  Posté par  (site web personnel) . Évalué à 3.

                  Je veux dire que c'est quelque que je concidere comme reglo et qui a donc parfaitement reussi son social engineering.
                  Enfin perso j'ai pas demander les papier d'identité de mes amis ni de mes collegues de travail.

  • # RDV de parano

    Posté par  . Évalué à -7.

    Un bien joli rendez-vous de mec parranos, qui veulent crypter leurs échanges.

    Vous venez déguisés aussi pour pas que l'on vous reconnaisse ?

    Vous mettrez votre main devant votre bouche pour pas que l'on lise sur vos lèvres ?

    Ceci dit je ne suis pas contre les échanges de ce type, mais bon quand il s'agit de crypter des mails privé dans lesquels on trouve "kikoo" "lol" ou au mieux "RTFM", je vois pas l'intérêt.

    Profitez-en pour boire un coup :-)

    • [^] # Re: RDV de parano

      Posté par  (site web personnel) . Évalué à 5.

      crypter -> signer (donc authentifier).

      Ca fait déjà vachement moins parano et ça ressemble beaucoup plus à quelque chose d'utile. Ca correspond tout à fait aux signatures que tu met sur les papiers physiques (et tu en fais probablement régulièrement, même sans être parano).


      Puis bon, admettons tout de même qu'il y a parfois autre chose que des "kikoo" et "lol" qui sont échangés sous forme électronique.

      • [^] # Re: RDV de parano

        Posté par  (site web personnel) . Évalué à 2.

        Et puis bon, si tu fait tes echanges de truc autre que kikoo lol via des serveur style gmail, peut etre es tu bien content qu'il ne puisse annalyser le fruit de tes recherches. [ma vie] j'ai des amis thésard qui apres de multiples echanges au sujetde leurs theses via des adresse gmail se sont rappeler que dans un coin google se reservait des droit sur ce qui transitait. Et la je ne sais pas pourquoi ils se sont dit que ca serait peut etre bien de chiffrer[/ma vie]

        Sinon la difference entre chiffrer et ne pas chiffrer c'est un peut comme envoyer une carte postale avec ou sans enveloppe...
        Signer c'est aussi une maniere de savoir que la personne qui te l'envois est bien la bonne et pas un usurpateur.

        • [^] # Re: RDV de parano

          Posté par  . Évalué à -5.

          est ce qu'un "binome" de thesard qui se connaissent depuis le DEUG ou la licence se demandent leurs papiers d'iidentité?

          Et comment ça marche avec les nationaux de personnes n'utilisant pas l'alphabet latin?

          Comment savoir que Наташа Королева est bien "Natacha Koroleva" ?

          • [^] # Re: RDV de parano

            Posté par  (site web personnel) . Évalué à 4.

            est ce qu'un "binome" de thesard qui se connaissent depuis le DEUG ou la licence se demandent leurs papiers d'iidentité?
            Il dit qu'il voit pas le rapport. Il dit qu'il a jamais parler de leur echange de papier d'identité. Il dit que les deux thesard apres s'etre envoyer des gros morceau de recherche (code / algo / futur publications) en clair via gmail se sont rappeler qu'ils auraient mieux fait de le chiffrer parce que gmail ca analyse tes mails.
            Et comment ça marche avec les nationaux de personnes n'utilisant pas l'alphabet latin?
            Il dit que d'apres le man c'est UTF-8 compilant 
                   --display-charset name
                 Set the name of the native character set.  This is used to convert some informational strings like user IDs to the 
                 proper UTF-8  encoding.   Note that  this  has nothing to do with the character set of data to be encrypted or 
                 signed; GnuPG does not recode user supplied data.  If this option is not used, the default character set is
                 determined from the current locale.  A verbosity level of 3 shows the chosen  set.   Valid  values  for name are:

                 iso-8859-1
                           This is the Latin 1 set.

                 iso-8859-2
                           The Latin 2 set.

                 iso-8859-15
                           This is currently an alias for the Latin 1 set.

                 koi8-r    The usual Russian set (rfc1489).

                 utf-8     Bypass all translations and assume that the OS uses native UTF-8 encoding.

       --utf8-strings

       --no-utf8-strings
                 Assume  that  command  line  arguments are given as UTF8 strings.  The default (--no-utf8-strings) is to assume
                 that arguments are encoded in the character set as specified by --display-charset. These options affect all
                 following arguments.  Both options may be used multiple times.
            Comment savoir que Наташа Королева est bien "Natacha Koroleva" ?
            Il dit qu'il s'en fout et que c'est ce qu'il dit depuis le debut. Il dit qu'il prefere signer la cle de gens en qui il a confiance plutot que de se baser sur des papier d'identité et donc de signer la cle du thesard qu'il connait depuis la licence mais a qui il a jamais demander les papier et non celle d'un inconnu dans une signing parthousey

    • [^] # Re: RDV de parano

      Posté par  (site web personnel) . Évalué à 3.

      Deux questions :

      - Ta correspondance privée ne contient jamais rien de plus sérieux que des "kikoo Lol" ?

      - Quand tu écris une lettre papier à quelqu'un, ne la termines tu pas par une signature (car ici, on parle plus de signature que de chiffrement) ?

    • [^] # Re: RDV de parano

      Posté par  . Évalué à 9.

      Le jour où tu auras légitimement quelque chose à chiffrer mais qu'on te tombe dessus à bras raccourcis parce que le fait de chiffrer permet de distinguer les choses intéressantes de celles qui ne le sont pas, tu repenseras à ce post.

  • # Commentaire supprimé

    Posté par  . Évalué à 1.

    Ce commentaire a été supprimé par l’équipe de modération.

    • [^] # Re: Signature gpg HMTL

      Posté par  (site web personnel) . Évalué à 2.

      je crois que ca ne marche pas en php/inline ... mais ca devrait marcher sans problèmes avec php/mime ... par contre, je ne sais pas si des logiciels comme outlook (express) peuvent lire le mail après ca ...

  • # L'heure c'est l'heure

    Posté par  . Évalué à 3.

    C'est bien 13h, parce que vu le lieu et le jour du rendez-vous, ça va être facile de se retrouver...

    • [^] # Re: L'heure c'est l'heure

      Posté par  . Évalué à 2.

      Il vaut mieux mettre le rendez-vous vers 22h30, je pense. Fais ça, et je te promets qu'il y aura du monde au rendez-vous. Avec de la chance, ce seront des Français, sinon des Italiens :)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.