On Tue, Apr 27, 2004 at 10:40:01AM +0200, Thierry Coutelier wrote:
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Brent Frère wrote:
| Si PGP/GPG fonctionne sur le principe d'une communauté qui se certifie
| mutuellement, alors que CaCERT est une autorité hiérarchique de
| certification, est-il nécessaire pour quelqu'un qui reçoit un e-mail
| signé par PGP/GPG de se faire membre de cette communauté pour en
| vérifier la signature ?
|
Un peux s'échanger les signatures mais c'est plus intéressant d'exporter
sa
clef
publique vers un serveur PGP.
J'ajouterai que : la verification de la signature est toujous possible, sous
condition de trouver la cle publique. Mais ce qui est plus important c'est la
confiance ! Si tu as toi meme verifier l'identite d'une personne tu aura
probalement plus confiance que si qq (une authorite) te dit que tu peux faire confiance a
tel ou tel personne. Ce que tu appel devenir membre c'est probablement ce que nous on
appel signer un ou plusieurs cle d'autres personnes, ce qui implique entre autre
qu'il n'y a pas UNE communaute, mais il peut y avoir tout plein dissocie.
| Sur le principe de l'autorité de certification hiérarchique, il suffit
| une fois pour toutes (si ce n'est déjà fait) de cliquer sur le lien
| menant au certificat de l'autorité et de l'installer dans son client
| e-mail pour que les signatures utilisant des certificats émanant de
| cette autorité puisse être automatiquement vérifiés. Je ne vois pas
| comment ça fonctionne avec le modèle de "nuage" d'authentifiants du
| genre GPG/PGP et j'ai peur que si on signe un e-mail avec un système
| quelque peu compliqué, l'effet en soit que la signature est simplement
| ignorée et considérée comme ne fonctionnant pas...
Avec une centralisation de clef il faut faire confiance en une entité.
Avec le système de web-of-trust tu fais confiance (à un certain degré) `des
personnes
~ que tu rencontres. Tu leur faits confiance d'être à même de signer
correctement les
clefs des autres personnes qu'elles connaissent.
En exportant ta/tes clefs que tu fais signer durant des "key-signing-part"
n'importe
qui peux retrouver ta clef sur un des serveurs GPG (qui s'échangent les
clefs).
Je rajouterai a cela : La cle publique que tu trouve chez la CA (Certification authority)
est signe par la CA pour certifier sa validiter et son contenu. La confiance reside donc
pleinement au niveau du CA.
Pour PGP les cle publiques seront signer par toutes les personnes que ce gas a rencontrer
et qui tous certifie de sa validiter et de sont contenu. La confiance est donc ditrcibue
sur toutes ces personnes, et je pense que par cela la confiance est plus grande.
Neanmoins, moi je travail a la mise en palce d'un tel strucutre hierarchique de type
CA, car finalement, et la tu a pleinement raison, c'est plus facile
d'utilisation, plus flexible, notamment pourdes nos techniciens. Par contre je suis
d'avis que la strcuture du web-of-trust est d'un point de vue securite/confiance
meilleur ;)
Il y a un keyserver "luxembourgeois" managé par Alexandre:
http://pgp.lu.gnu.org
Je crois qu'il n'est plus online celui la ;(
Quelqu'un a-t-il un lien vers la présentation d'Alexandre ?
Ben je pensait sur son site (
http://www.foo.be/), mais non ? Je lui demanderai et je te
l'enverrai, si ca t'interesse, c'est sur pgp, et ca resume un peu notre
discussion.
|
| Quelqu'un peut m'éclairer à ce sujet ?
|
| Merci.
|
| _______________________________________________
| Lilux-info mailing list
| Lilux-info(a)lilux.lu
|
http://lilux.lu/mailman/listinfo/lilux-info
- --
Thierry Coutelier
No Patents on Software:
http://www.linux.lu/epatent
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.3 (GNU/Linux)
Comment: Using GnuPG with Mozilla -
http://enigmail.mozdev.org
iD8DBQFAjhxhPOfrcNNQX7oRAg8YAKCpPV4w6uF6eq8qTDxC2UmMV+FSNACfQeUt
hy5L3qeK7/80d20chZnwQpY=
=PD7i
-----END PGP SIGNATURE-----
_______________________________________________
Lilux-info mailing list
Lilux-info(a)lilux.lu
http://lilux.lu/mailman/listinfo/lilux-info
--
Pascal Steichen
pascal.steichen(a)linux.lu
Lilux ASBL
www.lilux.lu
" Linux is like a woman, hard to understand
But very nice once you get under the hood. "