Re: Question de confiance ...
On Thu, May 15, 2003 at 10:36:43PM +0200, Jérôme Marant wrote:
> Ralf Treinen <treinen@club-internet.fr> writes:
>
> > Salut,
> >
> > On Thu, May 15, 2003 at 09:37:02AM +0200, Jérôme Marant wrote:
> >
> >> Le développeur en question a récupéré ma clé mais ne l'a signée que
> >> pour l'UID @debian.org alors que celle-ci contient d'autres UID, et
> >> ceci pour des raisons de sécurité. Je n'ai pas réussi à obtenir
> >> d'explications convaincantes sur les problèmes liés à la sécurité.
> >
> > Je fais pareil, c'est-à-dire je ne signe que pour les UID pour
> > lesquelles la personne m'a dit (au moment où on s'est vu) qu'il
> > veut que je les signe. La raison est simplement que avec ma
> > signature je confirme que la personne a fait une certaine
> > assertion ( « ceci est ma clef » ). Avec ma signature je ne
> > peux pas signer plus que ça.
>
> Oui, mais si tu récupères la clé sur keyring.debian.org,
> que tu vois d'autres UID sur cette clé et que le fingerprint
> correspond, où est le doute ?
Pour moi, la doute est là où je reçois un message (même signé) qui
me demande de signer quelque chose. Le confidence n'est pas une
relation transitive.
> Oui mais là, tu ne m'expliques pas l'attaque. On reste donc
> au niveau de la paranoïa ;-)
C'est vrai que c'est la paranoïa, mais la paranoïa est un bon
principe dans le domaine des protocoles cryptographiques. Il y
avait des cas de protocoles cryptographiques qui étaient en
utilisation pendant des années avant qu'on avait trouvé une
attaque.
Peut-être la question mérite d'être évoquée sur debian-devel, la
réponse m'intéresse aussi :-)
-Ralf.
--
Reply to: