[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: OpenPGP -> contre le spam ?

Le 13740ième jour après Epoch,
Hugues LARRIVE écrivait:

> François TOURDE a écrit :
>>> Par contre il est extrèmement difficile de falsifier une signature,
>>>     
>> [...]
>>
>> Disons que dans ton cas, c'est plus simple, étant donné que tu fournis
>> dans ton en-tête l'endroit où est la clef. Dans ce cas, je peux
>> fabriquer une fausse clef, avec ton email, et faire pointer ce fameux
>> en-tête ailleurs. :)
>>   
> La c'est la clé que tu falsifies, pas la signature.
> C'est à ça que je pensais quand j'ai écris le PS....

En fait, si je me crée un couple clef publique/clef privée, et que je
publie la clef publique sur un site web proche de ton nom, et que je
mets ça dans l'entête des mails, je peux envoyer un mail en ton nom,
et signé. C'est sûr que ce ne sera pas la même signature que toi, mais
pour quelqu'un qui n'a pas encore ta vraie clef publique, ça passe
tout seul.

D'où l'intérêt d'avoir un mécanisme de serveurs de clefs indépendants.

> D'où l'utilité d'un endroit sûr où stocker les clés publiques.
> Un serveur de clés où l'on soit obligé de prouver son identité pour
> déposer sa clé.

Non, tu fais un amalgame entre stockage et vérifications. GPG (et PGP)
permettent un niveau de confiance, ce qui permet de dire par exemple
qu'on peut faire totalement confiance en quelqu'un qu'on a
physiquement rencontré, qu'on peut accorder une confiance un peu
moindre à un contact indirect, etc...

> Quoi de mieux que le service publique pour ça ?

Une ONG de confiance par exemple? Franchement, le service public dans
certains pays (y compris la france) ne m'inspire pas tant que ça ...

Du coup, une confiance répartie (comme c'est le cas en ce moment avec
les serveurs de clefs) empêche de facilement 'pirater' les clefs.
Reply to: