Re: Question de confiance ...
Jérôme Marant a écrit :
> Donc ça veut dire que :
> 1) on m'a volé ma clé
> 2) on m'a volé mon mot de passe de protection de clé
>
> Si 1) est possible, 2) l'est beaucoup moins en revanche car c'est
> quand même nécessaire pour signer.
> Donc quand bien même le voleur aurait réussi à ajouter un UID,
> sera t-il en mesure de signer à ma place ?
Oui parfaitement, toute personne qui possède ta clé privée et ton passe
peut signer, mais ce n'est pas discret de signer à partir de ton
uid habituel, parce que la réponse va revenir vers toi et qu'il est plus
facile de forger une adresse de départ que d'intercepter une réponse
vers cette adresse.
Il est préférable de créer un uid neuf (tout le monde ne
se méfiera pas, certains le confirmeront), puis faire partir les
courriers de cet uid. Si par exemple pendant un mois tu ne recharges pas
ta clé depuis un serveur, tu ne te rends pas compte qu'un nouvel uid
existe. (Ça remonte à quand, la dernière fois que tu as rechargé ta clé
depuis un serveur ?)
> > Donc la personne qui signe tes uids ne doit le faire qu'après t'avoir
> > regardé dans le blanc des yeux, puis demandé : c'est bien à toi, le
> > premier uid ? C'est bien à toi le suivant ? etc. Il ne peut s'y fier que
> > si tu le lui confirmes par un canal impossible à trafiquer.
>
> Et si je tombe sur un homonyme ou que l'on me présente une carte
> d'identité étrangère dont je ne doute pas de la validité ?
Ça c'est assez difficile à réussir (pas impossible bien sûr), et ça
concerne la totalité des informations attachées à un clé. Pas juste
un uid supplémentaire.
Conclusion : si tu reçois un courriel de quelqu'un que tu connais,
provenant d'une adresse nouvelle, et qui te demande une signature
supplémentaire, tu lui proposes aussitôt d'aller boire une bière
ensemble.
amitiés, Georges.
Reply to: