[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: OpenPGP -> contre le spam ?



Le 13740ième jour après Epoch,
Franck Joncourt écrivait:

> On Wed, Aug 15, 2007 at 08:48:22PM +0200, François TOURDE wrote:
>> Le 13740ième jour après Epoch,
>> Hugues LARRIVE écrivait:
>> 
>> En fait, si je me crée un couple clef publique/clef privée, et que je
>> publie la clef publique sur un site web proche de ton nom, et que je
>> mets ça dans l'entête des mails, je peux envoyer un mail en ton nom,
>> et signé. C'est sûr que ce ne sera pas la même signature que toi, mais
>> pour quelqu'un qui n'a pas encore ta vraie clef publique, ça passe
>> tout seul.
>> 
>> D'où l'intérêt d'avoir un mécanisme de serveurs de clefs indépendants.
>
> Je ne comprends pas trop. Rien ne t'empêche de te faire passer pour moi
> en créant un couple clef privé/publique. Il te suffit d'envoyer un mail
> en mon nom et d'y mettre ton nouveau fingerprint en ayant aupravant
> exporté ta clef publique sur un serveur dédié. En quoi le fait, de mettre
> sa clef publique sur un serveur autre changerait il quelque chose ?
> C'est la confiance accordée à la clef publique qui est importante.

Oui, et donc cette confiance est améliorée par le fait que le
détenteur de ces clefs publiques est indépendant de quoi que ce soit.

Si je tente de me faire passer pour toi, il va falloir que je réserve
une clef usurpant ton identité. Tant que tu ne le sais pas et que tu
n'as pas de clef, je peux jouer. Mais le jour où tu es au courant, il
va y avoir souci, et donc la clef en question va perdre de sa
crédibilité. Ça va semer le doute auprès des correspondants, qui vont
pouvoir/devoir recréer cette confiance avec des mécanismes du genre :
"La bonne clef c'est celle-là car je t'ai vu", et "J'ai un ami que
j'ai vu et en qui j'ai confiance qui a vu Franck, je peux donc prendre
sa nouvelle clef"...

Imagine un jour que sur la ML, par exemple, quelqu'un dise: "Les
messages de Franck Joncourt sont signés par un usurpateur"... Dans ce
cas, et à moins d'une côterie contre toi, ce mécanisme va se mettre en
branle et éradiquer l'usurpateur.

PS: Je sais pas si j'ai été clair sur ce coup-là... Et si on allait
tous se boire une bière dans un coin, avec nos Fingerprints ? :)

Attachment: pgpJ3BU1b4pUC.pgp
Description: PGP signature


Reply to: