[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Question de confiance ...

Ralf Treinen <treinen@club-internet.fr> writes:

> Salut,
>
> On Thu, May 15, 2003 at 09:37:02AM +0200, Jérôme Marant wrote:
>
>>   Le développeur en question a récupéré ma clé mais ne l'a signée que
>>   pour l'UID @debian.org alors que celle-ci contient d'autres UID, et
>>   ceci pour des raisons de sécurité. Je n'ai pas réussi à obtenir
>>   d'explications convaincantes sur les problèmes liés à la sécurité.
>
> Je fais pareil, c'est-à-dire je ne signe que pour les UID pour
> lesquelles la personne m'a dit (au moment où on s'est vu) qu'il
> veut que je les signe. La raison est simplement que avec ma
> signature je confirme que la personne a fait une certaine 
> assertion ( « ceci est ma clef » ). Avec ma signature je ne
> peux pas signer plus que ça.

Oui, mais si tu récupères la clé sur keyring.debian.org,
que tu vois d'autres UID sur cette clé et que le fingerprint
correspond, où est le doute ?

>>   Est-ce quelqu'un saurait expliquer les problèmes et risques ou
>>   pourrait me diriger vers une documentation claire ?
>
> Je ne peux pas te desiner concrètement une attacke. À mon avis le
> dout est suffisant pour ne pas le faire, et je felicite la
> personne en question d'avoir insisté sur son doute et pas
> avoir signé tes autres UID.

Oui mais là, tu ne m'expliques pas l'attaque. On reste donc
au niveau de la paranoïa ;-)

-- 
Jérôme Marant

http://marant.org
Reply to: