On Wed, Aug 15, 2007 at 08:48:22PM +0200, François TOURDE wrote: > Le 13740ième jour après Epoch, > Hugues LARRIVE écrivait: > > En fait, si je me crée un couple clef publique/clef privée, et que je > publie la clef publique sur un site web proche de ton nom, et que je > mets ça dans l'entête des mails, je peux envoyer un mail en ton nom, > et signé. C'est sûr que ce ne sera pas la même signature que toi, mais > pour quelqu'un qui n'a pas encore ta vraie clef publique, ça passe > tout seul. > > D'où l'intérêt d'avoir un mécanisme de serveurs de clefs indépendants. Je ne comprends pas trop. Rien ne t'empêche de te faire passer pour moi en créant un couple clef privé/publique. Il te suffit d'envoyer un mail en mon nom et d'y mettre ton nouveau fingerprint en ayant aupravant exporté ta clef publique sur un serveur dédié. En quoi le fait, de mettre sa clef publique sur un serveur autre changerait il quelque chose ? C'est la confiance accordée à la clef publique qui est importante. > > D'où l'utilité d'un endroit sûr où stocker les clés publiques. > > Un serveur de clés où l'on soit obligé de prouver son identité pour > > déposer sa clé. > > Non, tu fais un amalgame entre stockage et vérifications. GPG (et PGP) > permettent un niveau de confiance, ce qui permet de dire par exemple > qu'on peut faire totalement confiance en quelqu'un qu'on a > physiquement rencontré, qu'on peut accorder une confiance un peu > moindre à un contact indirect, etc... La je suis d'accord, c'est ce que je voulais souligné dans mon premier mail, mais pour le premier paragraphe je crois que j'ai pas tout compris :p! -- Franck Joncourt http://www.debian.org - http://smhteam.info/wiki/ GPG server : pgpkeys.mit.edu Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE
Attachment:
signature.asc
Description: Digital signature