Le 15/05/2003 à 10h26, Alexandre Fayolle a écrit : > Bonjour, > Supposons : > > * une des UID corresponde à une adresse toto@ancien_employeur.com, > qui ne t'appartient plus (tu as changé de boulot) > * ancien_employeur a réassigné cette adresse à quelqu'un d'autre > * tu n'as pas supprimé cette adresse de ta clé. > > J'imagine que c'est assez improbable (surtout le dernier point), mais > pas impossible. Il y a dans ce cas un problème de sécurité. > > Une solution valable serait que ce développeur envoie un mail encrypté > avec ta clé publique individuellement à toutes les adresses de ta clé, > et que tu répondes en signant les messages. Il pourra alors vérifier que > toutes les UID correspondent bien et les signer. Euh non, en fait le problème se situe ailleurs. Il faut faire la distinction entre : - la confiance en une clef (appartient-elle vraiment à cet utilisateur ?) - la confiance en une identité (correspond-elle vraiment à l'utilisateur ?) - la confiance en un utilisateur (quel crédit accorde-t'on aux signatures faites avec sa clef) Le lien clef <-> utilisateur repose sur la passphrase, le lien clef -> identité repose sur la signature, la confiance en l'utilisateur correspond au paramètre « trust ». C'est là que se pose le problème et c'est un détail subtil. Avec GPG ce sont les identités qu'on signe. Quand tu signes une identité, tu dois certifier deux choses : - que la clef appartient bien à cet utilisateur - que l'identité (et l'adresse mail qui va avec) appartient bien à cet utilisateur. Si tu as confiance en la personne, tu supposes qu'elle te fournie des informations correctes et tu signes toutes ses identités. Seulement, en pratique GPG court-circuite un peu les choses : quand il évalue le degré de confiance d'une clef, il ne fait plus la distinction entre la confiance en une clef et la confiance en une identité. Il se sert des identités pour certifier la clef, et c'est un point un peu litigieux. Imaginons que je veuille me faire passer pour un développeur debian : je me crée une identité ...@debian.org. Si ma clef est suffisamment signée par l'intermédaire des autres identités, alors chez mon destinataire GPG affichera « bonne signature de ...@debian.org » sans mettre en doute sa validité. Donc pour résumer : dans l'absolu il n'est pas insensé de ne pas signer toutes les identités. Par contre à l'usage ça revient au même (ou alors tu vérifies à la main : gpg -v --list-key id) En espérant ne pas trop vous embrouiller... :) -- Anthony
Attachment:
pgp2U_8cxDW9w.pgp
Description: PGP signature