Re: Question de confiance ...
On Thu, May 15, 2003 at 09:37:02AM +0200, Jérôme Marant wrote:
> Bonjour,
>
> J'ai récemment rencontré un développeur Debian qui vient d'arriver
> à Paris et nous avons échangé nos empreintes GPG selon la procédure
> habituelle. Ma carte de visite, sur laquelle est incrite mon
> empreinte, ne mentionne que mon adresse @debian.org.
>
> Le développeur en question a récupéré ma clé mais ne l'a signée que
> pour l'UID @debian.org alors que celle-ci contient d'autres UID, et
> ceci pour des raisons de sécurité. Je n'ai pas réussi à obtenir
> d'explications convaincantes sur les problèmes liés à la sécurité.
>
> Est-ce quelqu'un saurait expliquer les problèmes et risques ou
> pourrait me diriger vers une documentation claire ?
Supposons :
* une des UID corresponde à une adresse toto@ancien_employeur.com,
qui ne t'appartient plus (tu as changé de boulot)
* ancien_employeur a réassigné cette adresse à quelqu'un d'autre
* tu n'as pas supprimé cette adresse de ta clé.
J'imagine que c'est assez improbable (surtout le dernier point), mais
pas impossible. Il y a dans ce cas un problème de sécurité.
Une solution valable serait que ce développeur envoie un mail encrypté
avec ta clé publique individuellement à toutes les adresses de ta clé,
et que tu répondes en signant les messages. Il pourra alors vérifier que
toutes les UID correspondent bien et les signer.
--
Alexandre Fayolle
LOGILAB, Paris (France).
http://www.logilab.com http://www.logilab.fr http://www.logilab.org
Développement logiciel avancé - Intelligence Artificielle - Formations
Reply to: