Journal GPG contre PGP

Posté par FRLinux (site web personnel) le 03 janvier 2005 à 20:20.

Étiquettes : aucune

jan.

2005

Mon beau journal, en cette nouvelle année, j'ai reçu un email me demandant d'aller valider ma clé GPG sur un serveur officiel PGP. Après avoir vérifié les en-têtes de l'email semblant indiquer que l'email était autentique, je suis donc allé sur la page de vérification qui se trouve sur ce serveur : https://keyserver-beta.pgp.com/(...)

Il m'a donc demandé de télécharger une clé en retour signant ma clé pour validation. N'ayant rien demandé à personne, je trouve cela étrange, est-ce arrivé à quelqu'un d'autre ?

Steph

# Moi

Posté par Florent Bayle (site web personnel) le 03 janvier 2005 à 20:37. Évalué à 10.

J'ai reçu aussi un mail semblable il y a quelques mois. C'est ce que font certains serveurs de clef pour s'assurer de la validité de certaines clefs (être sûr que le mail mentionné est encore valide, et que le propriétaire peut toujours signer avec cette clef).
Tu n'est en rien obligé de le faire, mais si tu ne le fait pas, tu risque d'être retiré de ce serveur.
- [^] # Re: Moi
  
  Posté par FRLinux (site web personnel) le 03 janvier 2005 à 21:23. Évalué à 4.
  
  Bien bien, je peux donc valider, je voulais juste être sur :)
  
  Steph
# Bien

Posté par Éric (site web personnel) le 03 janvier 2005 à 21:06. Évalué à 10.

Je ne connaissais pas mais c'est ..... *bien*. Parce que je fais parti de ceux qui ont sur les serveurs une clé à leur nom/email dont il n'ont ni la clé privée ni le certificat de révocation ni date d'expiration... et c'est très con.
Je ne savais pas qu'il y avait une procédure régulière pour nétoyer la base, c'est une bonne nouvelle.
# Bien, mais

Posté par Colin Leroy (site web personnel) le 04 janvier 2005 à 09:08. Évalué à 4.

je viens d'y ajouter ma clé. La vérification de mon adresse email s'est faite avec un lien avec un hash dedans envoyé par mail. Ensuite le site me propose:

To ensure that your PGP software trusts keys verified by this directory, you must download and trust this directory's Verification Key.

Download the Verification Key

After downloading, import the Verification Key into your PGP software. Then, sign the key with your key and mark it as Trusted. Please see the documentation for your PGP software for specific instructions on trusting a key.

D'après ce que je comprends il faut télécharger la clé de ce serveur, puis la signer avec sa propre clé et la marquer sûre (Trusted), de façon à ce que toutes les clés provenant de ce serveur soient marquées sûres...

C'est un peu contre le principe du web of trust à mon avis. Les seules clés que je considère sûres sont celles qui sont liées à la mienne par une chaîne de signatures, signatures qui sont censées être faites uniquement pour les gens rencontrés physiquement ou presque (fingerprint arrivant par une autre voie que la clé publique à signer, et papiers d'identité vérifiés...)

Enfin bon. C'est pas mal, déjà :)
- [^] # Re: Bien, mais
  
  Posté par Calim' Héros (site web personnel) le 04 janvier 2005 à 09:49. Évalué à 4.
  
  Je sais pas comment tu fait, mais moi je n'arrive pas a detecter un vrai d'un faut :
  - Permis de conduire
  - Passport
  - Carte d'identité
  Franchement, deja que des personnes dont c'est le metier arrive a ce tromper, alors moi :p
- [^] # Re: Bien, mais
  
  Posté par Éric (site web personnel) le 04 janvier 2005 à 10:06. Évalué à 6.
  
  Rencontrées physiquement ? mouais, j'ai toujours trouvé cette contrainte ridicule.
  
  Qu'est ce que je m'en fous que tartempion s'appelle réellement tartempion ? l'important c'est que ce soit bien la personne qui réponde habituellement sous ce nom à cet adresse email. Si c'est un pseudonyme ça ne change rien : c'est la personne que j'identifie, pas son nom réel.
  Si quelqu'un se fait courament appeler toto, qu'il a une adresse en toto, qu'est ce que ça va changer pour moi qu'il s'appelle Laurent ou Nicolas en réel ? l'important c'est que je puisse vérifer que l'email "toto" que je reçois est bien envoyé par le "toto" que je connais.
  
  Si je rencontre physiquement quelqu'un, quelle garantie ai-je que ce Nicolas Dupont est bien celui que tout le monde connait sous le nom de toto ?
  - parce qu'il me le dit en face ? mouais, c'est léger comme vérification
  - parce qu'il me l'a dit par email/irc avant ? ouais, ça revient à faire une vérification email, la rencontre physique n'a apporté aucune sécurité, le point faible reste l'email de départ
  - parce que c'est connu ? là on a une info publique, mais comme je ne saurai de toutes façons par reconnaitre un faux *tres* grossier au niveau des papiers d'identité ça ne change pas grand chose coté sécurité
  
  Franchement, le plus souvent, une verification par mail est presque plus "sûre" qu'une vérification physique pour ce à quoi sert les clés GPG (certification d'une identité électronique).
  - [^] # Re: Bien, mais
    
    Posté par 태 (site web personnel) le 04 janvier 2005 à 10:49. Évalué à 5.
    
    Il y a deux cas differents : soit tu communiques avec quelqu'un que tu ne connais que par voie electronique et effectivement, le rencontrer physiquement pour signer sa clef n'est guere interessant ; soit tu recois un mail de quelqu'un que tu as deja rencontre/que tu connais de nom, et la, il faut verifier que le correspondant electronique est le meme que la personne physique.
  - [^] # Re: Bien, mais
    
    Posté par Nicolas Boulay (site web personnel) le 04 janvier 2005 à 11:39. Évalué à 2.
    
    En fait, il suffit que toto signe avec sa clef privé ses mails. Si tu as toujours la même signature, c'est toujours le même toto. Et c"'est uniquement cela qui importe.
    "La première sécurité est la liberté"
  - [^] # Re: Bien, mais
    
    Posté par Colin Leroy (site web personnel) le 04 janvier 2005 à 15:36. Évalué à 3.
    
    Rencontrées physiquement ? mouais, j'ai toujours trouvé cette contrainte ridicule.
    Qu'est ce que je m'en fous que tartempion s'appelle réellement tartempion ?
    
    Ça me semble plutôt nécessaire pour aller vers une adoption plus massive de la signature numérique à valeur légale, et ça serait un grand pas en avant concernant par exemple les opérations possibles sur le site d'une banque (faire les opérations inhabituelles par email) ou les sites *.gouv.fr, par exemple.
    
    Sinon, concernant la distinction d'un vrai papier d'un faux, c'est sûr, je ne sais pas faire, mais c'est toujours mieux qu'une clé signée sauvagement parce que "je parle avec z0rro sur IRC depuis un an" donc je lui fais confiance.
    - [^] # Re: Bien, mais
      
      Posté par ckyl le 04 janvier 2005 à 16:13. Évalué à 2.
      
      > Ça me semble plutôt nécessaire pour aller vers une adoption plus massive de la signature numérique à valeur légale
      
      Dans ce cas on ne parle de la même chose et le web of trust doit etre remplacé par une architecture plus officielle type PKI avec autorite de certification et d'enregistrement. La confiance n'a rien a faire la dedans et le certificat doit etre fournis par l'état.
      
      Que 46 personnes indiquent tu es bien colin leroy on s'en fou. Par contre que l'état te délivre le certificat est suffisant. Tu ES ou tu n'ES PAS. En aucun cas tu ES PEUT ETRE (à divers niveaux).
      
      > mais c'est toujours mieux qu'une clé signée sauvagement parce que "je parle avec z0rro sur IRC depuis un an" donc je lui fais confiance.
      
      Non ce n'est pas mieux.
      
      Ce que tu as fait c'est signer la cle de z0rro (tu peux verifier que c'est bien avec lui que tu parlais). C'est le principe même. Voir la personne physique n'apporte rien surtout si tu ne l'as jamais vu. Tu ne fais pas confiance à quelqu'un en signant ca cle tu dis "Cette cle correspond au mec que je connais". A toi de ne pas signer une fausse association cle/personne mais ca, ca depasse largement le cadre de la recontre physique.
  - [^] # Re: Bien, mais
    
    Posté par Matthieu Moy (site web personnel) le 05 janvier 2005 à 11:27. Évalué à 2.
    
    > Qu'est ce que je m'en fous que tartempion s'appelle réellement tartempion ?
    
    Si tu remplaces tartempion par Richard Stallman ou Linus Torvalds par exemple, ça importe, oui. Si je recois un mail de quelqu'un que je connais de nom et que mon web of trust me dit qu'il est bien celui qu'il dit être, alors j'ai envie que ce soit vrai, pas que ça soit un pseudo ...
    - [^] # Re: Bien, mais
      
      Posté par Calim' Héros (site web personnel) le 05 janvier 2005 à 11:31. Évalué à 3.
      
      Et qui te dit que RMS n'est pas le plus grand imposteur du monde et que son vrai nom n'est pas John Smith?
      Ce qui t'interesse c'est pas de savoir si le gars il s'apelle bien RMS mais si c'est Le RMS à l'origine de GNU dans ce cas.
      D'ailleur ton web of trust pourrait de dire que c'est Richard Stallman mais ca pourrait etre un autre Richard Stallman qui n'a rien a voir mais qui porte le même nom. Donc oui
      Qu'est ce que je m'en fous que tartempion s'appelle réellement tartempion ?
    - [^] # Re: Bien, mais
      
      Posté par Éric (site web personnel) le 05 janvier 2005 à 11:51. Évalué à 2.
      
      Ce qui m'importe ce n'est pas d'avoir quelqu'un qui s'appelle Richard Stallman (il peut y en avoir plusieurs, ça n'est pas forcément le vrai nom du monsieur non plus) mais bien que celui qui m'envoie un mail au nom de RMS est le même que celui qui parle habituellement sous ce nom, peu importe comme il s'appelle en réalité.
      
      Le fait que quelqu'un ait vérifié son identité ne m'apporte strictement rien. Par contre si des gens discutent en permanence avec lui et peuvent me certifier que c'est bien la même personne sans pour autant l'avoir rencontré physiquement, là ça m'intéresse.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.