Re: La signature PGP n'a PAS pu être vérifiée (Mutt)
On Wednesday, 25 August 2010, 17:04:32 +0300,
Christophe Gallaire <zamasp@gmail.com> wrote:
> Jean-Sébastien Kroll-Rabotin a dit dans un souffle :
> >Le Wed, 25 Aug 2010 13:51:48 +0300,
> >Christophe Gallaire <zamasp@gmail.com> a écrit :
> >
> >>Oui oui c'est bien là tout le problème : j'aimerais automatiser la
> >>récupération des clés depuis Mutt...
Je l'avais essayé au niveau de procmail :
:0c
| /usr/bin/gpg --batch --keyserver-options auto-key-retrieve >/dev/null 2>/dev/null
Tu dois pouvoir le faire dans mutt avec une macro qui ferait
<pipe-message>/usr/bin/gpg...
Ou bien mieux, modifier la commande qu'emploie mutt pour vérifier les
signatures. Chez moi :
set pgp_verify_command="gpg --status-fd=2 --no-verbose --quiet --output - --verify %s %f"
En rajoutant "--keyserver-options auto-key-retrieve" ça pourrait
fonctionner.
> >C’est bien tout le problème, il existe des serveurs/annuaires [1] de
> >clefs aui te permettraient d’automatiser le processus, mais du coup, tu
> >n’as aucune garantie que la clef que tu récupère a bien été partagée
> >par la personne que tu crois. Je me joins à Erwan David pour t’inviter
> >à te renseigner sur la notion de “Web of Trust”.
Je suis absolument d'accord.
Si je veux me faire passer pour quelqu'un d'autre à tes yeux, je peux
créer une clé à son nom. Ton système téléchargera ma fausse clé,
vérifiera la signature (qui sera bonne) et tu seras trompé, à moins que
tu n'ai signé la vraie clé ou que tu ne t'aies appris par coeur les ids
(et je peux encore générer une clé avec un id qui ressemble à celui de
l'autre, à quelques caractères près).
Si tu télécharges manuellement (ou avec un raccourci clavier dans mutt)
les clés des personnes que tu juges intéressantes, tu verras tout de
suite une telle tentative : au lieu d'avoir "bonne signature mais la clé
n'est pas signée", tu auras "clé publique non trouvée".
Reply to: