27 Apr
2004
27 Apr
'04
6:32 a.m.
Si PGP/GPG fonctionne sur le principe d'une communauté qui se certifie
mutuellement, alors que CaCERT est une autorité hiérarchique de
certification, est-il nécessaire pour quelqu'un qui reçoit un e-mail
signé par PGP/GPG de se faire membre de cette communauté pour en
vérifier la signature ?
Sur le principe de l'autorité de certification hiérarchique, il suffit
une fois pour toutes (si ce n'est déjà fait) de cliquer sur le lien
menant au certificat de l'autorité et de l'installer dans son client
e-mail pour que les signatures utilisant des certificats émanant de
cette autorité puisse être automatiquement vérifiés. Je ne vois pas
comment ça fonctionne avec le modèle de "nuage" d'authentifiants du
genre GPG/PGP et j'ai peur que si on signe un e-mail avec un système
quelque peu compliqué, l'effet en soit que la signature est simplement
ignorée et considérée comme ne fonctionnant pas...
Quelqu'un peut m'éclairer à ce sujet ?
Merci.
--
Brent Frère
Private e-mail: Brent(a)BFrere.net
Postal address: 5, rue de Mamer
L-8280 Kehlen
Grand-Duchy of Luxembourg
European Union
Mobile: +352-021/29.05.98
Fax: +352-26.30.05.96
Home: +352-307.341
URL: http://BFrere.net
27 Apr
27 Apr
8:40 a.m.
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Brent Frère wrote:
| Si PGP/GPG fonctionne sur le principe d'une communauté qui se certifie
| mutuellement, alors que CaCERT est une autorité hiérarchique de
| certification, est-il nécessaire pour quelqu'un qui reçoit un e-mail
| signé par PGP/GPG de se faire membre de cette communauté pour en
| vérifier la signature ?
|
Un peux s'échanger les signatures mais c'est plus intéressant d'exporter sa
clef
publique vers un serveur PGP.
| Sur le principe de l'autorité de certification hiérarchique, il suffit
| une fois pour toutes (si ce n'est déjà fait) de cliquer sur le lien
| menant au certificat de l'autorité et de l'installer dans son client
| e-mail pour que les signatures utilisant des certificats émanant de
| cette autorité puisse être automatiquement vérifiés. Je ne vois pas
| comment ça fonctionne avec le modèle de "nuage" d'authentifiants du
| genre GPG/PGP et j'ai peur que si on signe un e-mail avec un système
| quelque peu compliqué, l'effet en soit que la signature est simplement
| ignorée et considérée comme ne fonctionnant pas...
Avec une centralisation de clef il faut faire confiance en une entité.
Avec le système de web-of-trust tu fais confiance (à un certain degré) `des personnes
~ que tu rencontres. Tu leur faits confiance d'être à même de signer correctement
les
clefs des autres personnes qu'elles connaissent.
En exportant ta/tes clefs que tu fais signer durant des "key-signing-part"
n'importe
qui peux retrouver ta clef sur un des serveurs GPG (qui s'échangent les clefs).
Il y a un keyserver "luxembourgeois" managé par Alexandre:
http://pgp.lu.gnu.org
Quelqu'un a-t-il un lien vers la présentation d'Alexandre ?
|
| Quelqu'un peut m'éclairer à ce sujet ?
|
| Merci.
|
| _______________________________________________
| Lilux-info mailing list
| Lilux-info(a)lilux.lu
| http://lilux.lu/mailman/listinfo/lilux-info
- --
Thierry Coutelier
No Patents on Software: http://www.linux.lu/epatent
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.3 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
iD8DBQFAjhxhPOfrcNNQX7oRAg8YAKCpPV4w6uF6eq8qTDxC2UmMV+FSNACfQeUt
hy5L3qeK7/80d20chZnwQpY=
=PD7i
-----END PGP SIGNATURE-----
8:55 a.m.
Salut,
Il y a un keyserver "luxembourgeois" managé
par Alexandre:
http://pgp.lu.gnu.org
Qui actuellement semble avoir des problèmes.
Quelqu'un a-t-il un lien vers la présentation
d'Alexandre ?
J'ai fini par le retrouver:
http://www.foo.be/gnupg/
Greets Eric
10:11 a.m.
On Tue, Apr 27, 2004 at 10:55:40AM +0200, Eric Dondelinger wrote:
Salut,
Ah fallait y pense ;) je n'ai pas trouver ;(
Il y a un keyserver "luxembourgeois"
managé par Alexandre:
http://pgp.lu.gnu.org
Qui actuellement semble avoir des problèmes.
Quelqu'un a-t-il un lien vers la
présentation d'Alexandre ?
J'ai fini par le retrouver:
http://www.foo.be/gnupg/
Greets Eric
_______________________________________________
Lilux-info mailing list
Lilux-info(a)lilux.lu
http://lilux.lu/mailman/listinfo/lilux-info
--
Pascal Steichen
pascal.steichen(a)linux.lu
Lilux ASBL
www.lilux.lu
" Linux is like a woman, hard to understand
But very nice once you get under the hood. "
10:11 a.m.
On Tue, Apr 27, 2004 at 10:40:01AM +0200, Thierry Coutelier wrote:
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Brent Frère wrote:
| Si PGP/GPG fonctionne sur le principe d'une communauté qui se certifie
| mutuellement, alors que CaCERT est une autorité hiérarchique de
| certification, est-il nécessaire pour quelqu'un qui reçoit un e-mail
| signé par PGP/GPG de se faire membre de cette communauté pour en
| vérifier la signature ?
|
Un peux s'échanger les signatures mais c'est plus intéressant d'exporter
sa
clef
publique vers un serveur PGP.
J'ajouterai que : la verification de la signature est toujous possible, sous
condition de trouver la cle publique. Mais ce qui est plus important c'est la
confiance ! Si tu as toi meme verifier l'identite d'une personne tu aura
probalement plus confiance que si qq (une authorite) te dit que tu peux faire confiance a
tel ou tel personne. Ce que tu appel devenir membre c'est probablement ce que nous on
appel signer un ou plusieurs cle d'autres personnes, ce qui implique entre autre
qu'il n'y a pas UNE communaute, mais il peut y avoir tout plein dissocie.
| Sur le principe de l'autorité de certification hiérarchique, il suffit
| une fois pour toutes (si ce n'est déjà fait) de cliquer sur le lien
| menant au certificat de l'autorité et de l'installer dans son client
| e-mail pour que les signatures utilisant des certificats émanant de
| cette autorité puisse être automatiquement vérifiés. Je ne vois pas
| comment ça fonctionne avec le modèle de "nuage" d'authentifiants du
| genre GPG/PGP et j'ai peur que si on signe un e-mail avec un système
| quelque peu compliqué, l'effet en soit que la signature est simplement
| ignorée et considérée comme ne fonctionnant pas...
Avec une centralisation de clef il faut faire confiance en une entité.
Avec le système de web-of-trust tu fais confiance (à un certain degré) `des
personnes
~ que tu rencontres. Tu leur faits confiance d'être à même de signer
correctement les
clefs des autres personnes qu'elles connaissent.
En exportant ta/tes clefs que tu fais signer durant des "key-signing-part"
n'importe
qui peux retrouver ta clef sur un des serveurs GPG (qui s'échangent les
clefs).
Je rajouterai a cela : La cle publique que tu trouve chez la CA (Certification authority)
est signe par la CA pour certifier sa validiter et son contenu. La confiance reside donc
pleinement au niveau du CA.
Pour PGP les cle publiques seront signer par toutes les personnes que ce gas a rencontrer
et qui tous certifie de sa validiter et de sont contenu. La confiance est donc ditrcibue
sur toutes ces personnes, et je pense que par cela la confiance est plus grande.
Neanmoins, moi je travail a la mise en palce d'un tel strucutre hierarchique de type
CA, car finalement, et la tu a pleinement raison, c'est plus facile
d'utilisation, plus flexible, notamment pourdes nos techniciens. Par contre je suis
d'avis que la strcuture du web-of-trust est d'un point de vue securite/confiance
meilleur ;)
Il y a un keyserver "luxembourgeois" managé par Alexandre:
http://pgp.lu.gnu.org
Je crois qu'il n'est plus online celui la ;(
Quelqu'un a-t-il un lien vers la présentation d'Alexandre ?
Ben je pensait sur son site (http://www.foo.be/), mais non ? Je lui demanderai et je te
l'enverrai, si ca t'interesse, c'est sur pgp, et ca resume un peu notre
discussion.
|
| Quelqu'un peut m'éclairer à ce sujet ?
|
| Merci.
|
| _______________________________________________
| Lilux-info mailing list
| Lilux-info(a)lilux.lu
| http://lilux.lu/mailman/listinfo/lilux-info
- --
Thierry Coutelier
No Patents on Software: http://www.linux.lu/epatent
--
Pascal Steichen
pascal.steichen(a)linux.lu
Lilux ASBL
www.lilux.lu
" Linux is like a woman, hard to understand
But very nice once you get under the hood. "
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.3 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
iD8DBQFAjhxhPOfrcNNQX7oRAg8YAKCpPV4w6uF6eq8qTDxC2UmMV+FSNACfQeUt
hy5L3qeK7/80d20chZnwQpY=
=PD7i
-----END PGP SIGNATURE-----
_______________________________________________
Lilux-info mailing list
Lilux-info(a)lilux.lu
http://lilux.lu/mailman/listinfo/lilux-info
12:08 p.m.
Yo,
[CA vs. web-of-trust]
En plus, on peut mettre un degré de confiance dans les signatures
des autres. Pour qqn que je connais comme étant un huluberlu, je
pourrai dire que je fais confiance dans sa signature, mais pas
forcément à celles que lui a signées. Je peux aussi avoir
beaucoup de confiance en qqn, et accepter 100% ce qu'il va me
dire.
Par contre, l'"autorité" n'inspire pas nécessairement confiance,
on ne sait pas vraiment ce qui s'y passe, et on sait parfaitement
bien de par certains incidents que p.ex. VeriSign n'est absolument
pas digne de confiance. D'autres aussi n'ont pas trop hésité à
refiler des certificats sans trop de vérifications des identités,
partiellement avec des résultats désastreux.
Ici encore, le concept des "key signing parties" où les gens
vérifient l'identité des gens moyennant carte d'identité et se
contresignent leurs clés est nettement supérieur, même si un
peu compliqué à l'application.
En devant faire des transactions online, il y aurait des chances
que je fasse davantage confiance à un certificat "self-signed"
qu'à un certificat issu par certaines CA.
Il faudrait que je rejette un coup d'oeuil à OpenSST pour revoir
comment eux gèrent l'authentification des deux parties...
Eric
2:36 p.m.
On Tue, Apr 27, 2004 at 02:08:06PM +0200, Eric Dondelinger wrote:
Yo,
[CA vs. web-of-trust]
En plus, on peut mettre un degré de confiance dans les signatures
des autres. Pour qqn que je connais comme étant un huluberlu, je
pourrai dire que je fais confiance dans sa signature, mais pas
forcément à celles que lui a signées. Je peux aussi avoir
beaucoup de confiance en qqn, et accepter 100% ce qu'il va me
dire.
Par contre, l'"autorité" n'inspire pas nécessairement confiance,
on ne sait pas vraiment ce qui s'y passe, et on sait parfaitement
bien de par certains incidents que p.ex. VeriSign n'est absolument
pas digne de confiance. D'autres aussi n'ont pas trop hésité à
refiler des certificats sans trop de vérifications des identités,
partiellement avec des résultats désastreux.
Ici encore, le concept des "key signing parties" où les gens
vérifient l'identité des gens moyennant carte d'identité et se
contresignent leurs clés est nettement supérieur, même si un
peu compliqué à l'application.
En devant faire des transactions online, il y aurait des chances
que je fasse davantage confiance à un certificat "self-signed"
qu'à un certificat issu par certaines CA.
Je rajouterai quand meme que via l'accreditation (volontaire) d'une CA il
possible de rendre plus transparent le niveau de confiance quelle donne. De plus il y
aussi certaines lois, reglements, etc. qui imposent une surveillance des CA fournissant
des certificats "qualifies" (un type tres specifique, ayant une valeur juridique
maximal, comme une signature chez le notaire !!). Voila ca c'etait Pascal (Ministre
de l'Economie) et Pascal (homme "libre") pense naturellement que le concept
web-of-trust est ethiquement comme securitairement (ca existe?) mieux ;)
Il faudrait que je rejette un coup d'oeuil à OpenSST pour revoir
comment eux gèrent l'authentification des deux parties...
Eric
--
Pascal Steichen
pascal.steichen(a)linux.lu
Lilux ASBL
www.lilux.lu
" Linux is like a woman, hard to understand
But very nice once you get under the hood. "
6:41 p.m.
Thierry Coutelier a écrit :
Avec une centralisation de clef il faut faire
confiance en une entité.
Avec le système de web-of-trust tu fais confiance (à un certain degré)
`des personnes
~ que tu rencontres. Tu leur faits confiance d'être à même de signer
correctement les
clefs des autres personnes qu'elles connaissent.
En exportant ta/tes clefs que tu fais signer durant des
"key-signing-part" n'importe
qui peux retrouver ta clef sur un des serveurs GPG (qui s'échangent
les clefs).
Il y a un keyserver "luxembourgeois" managé par Alexandre:
http://pgp.lu.gnu.org
Quelqu'un a-t-il un lien vers la présentation d'Alexandre ?
Très intéressant. Y a-t-il des clients e-mails qui vérifient
automatiquement de telles signatures par exemple en allant chercher les
informations automatiquement sur les serveurs PGP ?
Y a-t-il quelque-chose de correspondant pour authentifier les serveurs
web ? Dans ce cas, quels clients http sont-ils capables de vérifier de
tels certificats ?
Merci.
--
Brent Frère
Private e-mail: Brent(a)BFrere.net
Postal address: 5, rue de Mamer
L-8280 Kehlen
Grand-Duchy of Luxembourg
European Union
Mobile: +352-021/29.05.98
Fax: +352-26.30.05.96
Home: +352-307.341
URL: http://BFrere.net
28 Apr
28 Apr
7:58 a.m.
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Brent Frère wrote:
| Thierry Coutelier a écrit :
|
|> Avec une centralisation de clef il faut faire confiance en une entité.
|> Avec le système de web-of-trust tu fais confiance (à un certain degré)
|> `des personnes
|> ~ que tu rencontres. Tu leur faits confiance d'être à même de signer
|> correctement les
|> clefs des autres personnes qu'elles connaissent.
|>
|> En exportant ta/tes clefs que tu fais signer durant des
|> "key-signing-part" n'importe
|> qui peux retrouver ta clef sur un des serveurs GPG (qui s'échangent
|> les clefs).
|>
|> Il y a un keyserver "luxembourgeois" managé par Alexandre:
|> http://pgp.lu.gnu.org
|>
|> Quelqu'un a-t-il un lien vers la présentation d'Alexandre ?
|
|
| Très intéressant. Y a-t-il des clients e-mails qui vérifient
| automatiquement de telles signatures par exemple en allant chercher les
| informations automatiquement sur les serveurs PGP ?
|
Mozilla avec Enigmail. Il utilise gnupg. Tu peux utiliser kgpg pour "manager"
tes signatures et il utilise également gnupg. Les majorité des mailers sous linux
peuvent utiliser gnupg.
| Y a-t-il quelque-chose de correspondant pour authentifier les serveurs
| web ? Dans ce cas, quels clients http sont-ils capables de vérifier de
| tels certificats ?
Je ne pense pas que ca existe.
|
| Merci.
|
- --
Thierry Coutelier
No Patents on Software: http://www.linux.lu/epatent
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.3 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
iD8DBQFAj2QaPOfrcNNQX7oRAjHvAKC7vRhdzCoTi9MageiHUyEvCZBmvwCgs6di
rpIxdbUpdC94Xl0lX1OLsPM=
=D3Y9
-----END PGP SIGNATURE-----
8:09 a.m.
On Wed, Apr 28, 2004 at 09:58:18AM +0200, Thierry Coutelier wrote:
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Brent Frère wrote:
| Thierry Coutelier a écrit :
|
|> Avec une centralisation de clef il faut faire confiance en une entité.
|> Avec le système de web-of-trust tu fais confiance (à un certain degré)
|> `des personnes
|> ~ que tu rencontres. Tu leur faits confiance d'être à même de signer
|> correctement les
|> clefs des autres personnes qu'elles connaissent.
|>
|> En exportant ta/tes clefs que tu fais signer durant des
|> "key-signing-part" n'importe
|> qui peux retrouver ta clef sur un des serveurs GPG (qui s'échangent
|> les clefs).
|>
|> Il y a un keyserver "luxembourgeois" managé par Alexandre:
|> http://pgp.lu.gnu.org
|>
|> Quelqu'un a-t-il un lien vers la présentation d'Alexandre ?
|
|
| Très intéressant. Y a-t-il des clients e-mails qui vérifient
| automatiquement de telles signatures par exemple en allant chercher les
| informations automatiquement sur les serveurs PGP ?
|
Mozilla avec Enigmail. Il utilise gnupg. Tu peux utiliser kgpg pour
"manager"
tes signatures et il utilise également gnupg. Les majorité des mailers sous
linux
peuvent utiliser gnupg.
| Y a-t-il quelque-chose de correspondant pour authentifier les serveurs
| web ? Dans ce cas, quels clients http sont-ils capables de vérifier de
| tels certificats ?
Je ne pense pas que ca existe.
Sauf s'il y en a qui permette de fair du https, ce qui devrait etre possible, mais la
je ne sais pas.
|
| Merci.
|
- --
Thierry Coutelier
No Patents on Software: http://www.linux.lu/epatent
--
Pascal Steichen
pascal.steichen(a)linux.lu
Lilux ASBL
www.lilux.lu
" Linux is like a woman, hard to understand
But very nice once you get under the hood. "
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.3 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
iD8DBQFAj2QaPOfrcNNQX7oRAjHvAKC7vRhdzCoTi9MageiHUyEvCZBmvwCgs6di
rpIxdbUpdC94Xl0lX1OLsPM=
=D3Y9
-----END PGP SIGNATURE-----
_______________________________________________
Lilux-info mailing list
Lilux-info(a)lilux.lu
http://lilux.lu/mailman/listinfo/lilux-info 
4:09 p.m.
On Wed, 2004-04-28 at 09:58, Thierry Coutelier wrote:
Brent Frère wrote:
|
| Très intéressant. Y a-t-il des clients e-mails qui vérifient
| automatiquement de telles signatures par exemple en allant chercher les
| informations automatiquement sur les serveurs PGP ?
|
Mozilla avec Enigmail. Il utilise gnupg. Tu peux utiliser kgpg pour "manager"
tes signatures et il utilise également gnupg. Les majorité des mailers sous linux
peuvent utiliser gnupg.
Ximian Evolution (et Kmail) m'indiquent que le message est "signé
digitalement" (ou crypté) et me proposent de cliquer sur une icone (en
forme de cadenas, évidemment) pour vérifier la signature.
Ceci ne marche que si la signature est "reconnue" -- je ne l'ai
expérimenté qu'avec des signatures/clefs gpg ou pgp, et il donne,
logiquement, un message quand la clef n'est pas présente (i.e. je n'ai
pas encore reçu, ou authentifié) la clef publique de la personne.
Serge
--
----------------------------------------------------------------------
Serge Marelli, Luxembourg
E-mail : serge.marelli(a)linux.lu
----------------------------------------------------------------------
LiLux, Luxembourg LUG : http://www.linux.lu/
Defending Innovation against Patent Inflation http://swpat.ffii.org/
7326
days inactive
7327
days old
10 comments
5 participants
participants (5)
-
Brent Frère -
Eric Dondelinger -
Pascal Steichen -
Serge Marelli -
Thierry Coutelier