Re: enigmail

To: SmartList <debian-user-french@lists.debian.org>
Subject: Re: enigmail
From: Ruben Massy -lists- <ruben-ml@aliero.org>
Date: Tue, 27 Apr 2004 00:36:04 +0200
Message-id: <[🔎] 20040426223604.GA13926@mail.aliero.org>
Mail-followup-to: Ruben Massy -lists- <ruben-ml@aliero.org>, SmartList <debian-user-french@lists.debian.org>
In-reply-to: <[🔎] 20040426211814.GA14050@naryves.com>
References: <[🔎] 408D535D.6050909@free.fr> <[🔎] 20040426211814.GA14050@naryves.com>

Salut
> 
> Je vais prendre le mouvement à rebrousse poil en disant que
> ça ne sert à rien: Le fait que cet e-mail, signé Baptiste
> Mathus, est garanti par la clé publique postée ailleurs
> par Baptiste Mathus, ne veut pas dire que c'est le même
> Baptiste Mathus qui travaille ici ou là, ni même que
> Baptiste Mathus existe.

Tout à fait, et c'est pour cela qu'il y a la fingerprint pour valider ou
non la clef de quelqun en voyant cette personne en vrai, ainsi que les
reseaux de confiance, que les tutos recommandent de faire quelques
vérifications etc..
> 
> L'authentification ne sert que si une personne a une
> existence physique. Au mieux, il faut l'avoir rencontrée et
> reçu sa clé publique en main propre.

Pas réelement, du moins ça complique fortement dans pas mal de cas!
La meilleure solution semble d'avoir récupéré sa clef gpg sur le net,
puis d'avoir rencontré la personne avec sa carte d'identité, et avoir vu son fingerprint en main
propre, pour pouvoir comparer ensuite.

De plus avec les reseaux de confiance
(http://www.vilya.org/gpg/gpg-intro-5.html) on peut ainsi donner une
certaine (certe relative) légitimité à une clef.

De toute facon, au niveau du don en main propre, la feuille/disquette/usbkey/etc contenant la clef peut etre faussée, entre le moment où la personne l'a préparée et le moment où elle le donne, alors qu'elle peut apprendre par coeur et aisement un fingerprint...

> Dans les réponses, la suggestion de mettre la clé publique
> sur un site web référencé dans le pied du mail touche à
> l'absurde: on garanti que ce mail est écrit par soi-même car
> il est écrit par soi-même (et vous voyez bien, je vous donne
> aussi la clé et elle dit bien que c'est bien moi).

Pas necessairement..
Bien sur que prendre une clef dans une signature de mail, à la va vite et sans la vérifier
et sans chercher à savoir si c'est la bonne relève de la bétise, voir de
l'absurde, mais cette clef publique peut/doit servir (uniquement) de base, puis faire l'objet de
diverses vérifications, telles que réseau de confiance, reflexions sur sa provenance, vérification(s) de fingerprint en contact "physique" etc...

Probleme: la personne peut porter un masque, ou fausser ses papiers
d'identité mais là... :)

D'ailleur à ce niveau là, un serveur bien sécurisé peut etre parfois
plus fiable que l'illusion des sens de voir la personne en vrai... (Au fond, le doute hyperbolique, y'a pas que Descartes qui peut y avoir
droit) 

Finalement et dans tous les cas, il semble que dans un but de communication numérique, attendre qu'un
interlucoteur, potentiellement à l'autre bout du monde, et occupé, ne
pouvant pas necessairement se déplacer donne
lui même, et en main propre sa longue clef publique serait quelque chose
de totalement absurde, quand en cumulant réseaux de confiance,
reflexion, éventuellement téléphone, webcam ou tout autre moyen, on peut
finir par etre (+) sûr ce la validité de cette clef..



-- 
Ruben - [gnupg key Ox8E91859]

Reply to:

References:
- enigmail
  - From: Baptiste Mathus <bmathus@free.fr>
- Re: enigmail
  - From: Yves Rutschle <debian.anti-spam@rutschle.net>

Prev by Date: Re: Gestionnaire de copie?
Next by Date: [Gros disques]
Previous by thread: Re: enigmail
Next by thread: Re: enigmail
Index(es):
- Date
- Thread