Franck Joncourt a écrit : > Un mail est signé avec sa clef privée ; la signature obtenue dépend de ce > que contient le mail, et cette signature est ajoutée à l'envoie du mail > comme une pièce jointe. > > Le destinataire s'assure que le mail n'a subit aucune modification, en le > vérifiant à l'aide de la clef publique. Il a obtenu la clef publique sur > un serveur de clef grâce aux 8 premiers octets du fingerprint donné > par l'auteur du mail. > > C'est ensuite que l'on doit vérifier que l'auteur est la bonne personne > en comparant les fingerprints de l'auteur et celui obtenu via la clef > publique. Il faut ici être certains de parler avec le véritable auteur. > > Donc, là j'ai un peu de mal à comprendre comment obtenir une clef > _publique_ peut-être dangereux ! > Bien sûr si tu n'as pas validé la clef publique avec son auteur, l'auteur > peut se faire passer pour n'importe qui, mais autrement non. > > Voilà, et puis il y a les réseaux de confiance et tout le bazar... Si tu veux être sûr que je suis bien qui je prétend être, il faut qu'on se rencontre et que je te montre ma carte d'identité délivré par mon gouvernement... Si tu n'as pas confiance dans ce gouvernement c'est plus compliqué... Mais si tu as confiance en lui pour délivrer des cartes d'identités, alors tu peux aussi avoir confiance en lui pour valider des clé publiques... du moment qu'on génère sois-même sa paire de clé je ne vois pas non plus où est le problème... Je reçoit à peu près autant de saloperies dans ma boite mail que de courriers sérieux malgré 2 antispams... Je vois régulièrement des gens se faire avoir par des hoax et parfois ça leur coûte chère... Ma cousine de treize ans reçoit des trucs salasses dans sa boite mail et on ne peut rien faire parce qu'on ne peut pas savoir d'où ça vient réellement... Si on pouvait simplement faire valider une signature numérique par l'état et qu'on signait tous les e-mails courants avec, hé bien il suffirait par exemple pour protéger ma cousine de configurer son MUA de sorte qu'il n'accepte que les messages signés avec un signature validé par l'état. Ainsi si elle recevait malgré tout un truc salasse, on pourrait attaquer le tordu qui l'a expédié... Bien sure il n'y aurait d'obligation pour personne... ni de signer sa correspondance, ni de lire le courrier anonyme. PS : S'il y en a que ça gène de voir les les bloques PGP dans les e-mails, un petit apt-get install enigmail devrait résoudre le problème !
Attachment:
signature.asc
Description: OpenPGP digital signature