On Tue, Apr 27, 2004 at 02:08:06PM +0200, Eric Dondelinger wrote:
Yo,
[CA vs. web-of-trust]
En plus, on peut mettre un degré de confiance dans les signatures
des autres. Pour qqn que je connais comme étant un huluberlu, je
pourrai dire que je fais confiance dans sa signature, mais pas
forcément à celles que lui a signées. Je peux aussi avoir
beaucoup de confiance en qqn, et accepter 100% ce qu'il va me
dire.
Par contre, l'"autorité" n'inspire pas nécessairement confiance,
on ne sait pas vraiment ce qui s'y passe, et on sait parfaitement
bien de par certains incidents que p.ex. VeriSign n'est absolument
pas digne de confiance. D'autres aussi n'ont pas trop hésité à
refiler des certificats sans trop de vérifications des identités,
partiellement avec des résultats désastreux.
Ici encore, le concept des "key signing parties" où les gens
vérifient l'identité des gens moyennant carte d'identité et se
contresignent leurs clés est nettement supérieur, même si un
peu compliqué à l'application.
En devant faire des transactions online, il y aurait des chances
que je fasse davantage confiance à un certificat "self-signed"
qu'à un certificat issu par certaines CA.
Je rajouterai quand meme que via l'accreditation (volontaire) d'une CA il
possible de rendre plus transparent le niveau de confiance quelle donne. De plus il y
aussi certaines lois, reglements, etc. qui imposent une surveillance des CA fournissant
des certificats "qualifies" (un type tres specifique, ayant une valeur juridique
maximal, comme une signature chez le notaire !!). Voila ca c'etait Pascal (Ministre
de l'Economie) et Pascal (homme "libre") pense naturellement que le concept
web-of-trust est ethiquement comme securitairement (ca existe?) mieux ;)
Il faudrait que je rejette un coup d'oeuil à OpenSST pour revoir
comment eux gèrent l'authentification des deux parties...
Eric
--
Pascal Steichen
pascal.steichen(a)linux.lu
Lilux ASBL
www.lilux.lu
" Linux is like a woman, hard to understand
But very nice once you get under the hood. "