Je ne suis pas non plus convaincu du grand intérêt de cette affaire, soyons clair. Je voulais juste trouver une solution pour automatiser la récupération. Rien de plus. Cette question s'est présentée aujourd'hui parce que je me suis simplement décidé aujourd'hui à signer de nouveau mes mails. Et comme sur la liste "debian-user-french" il y a pas mal d'utilisateurs qui signent leurs mails, je me suis dit qu'il devait être possible de récupérer les clés automatiquement. Voilà pour la petite histoire. E. Prom a dit dans un souffle :
On Wednesday, 25 August 2010, 17:04:32 +0300, Christophe Gallaire <zamasp@gmail.com> wrote:Jean-Sébastien Kroll-Rabotin a dit dans un souffle : >Le Wed, 25 Aug 2010 13:51:48 +0300, >Christophe Gallaire <zamasp@gmail.com> a écrit : > >>Oui oui c'est bien là tout le problème : j'aimerais automatiser la >>récupération des clés depuis Mutt...Je l'avais essayé au niveau de procmail : :0c | /usr/bin/gpg --batch --keyserver-options auto-key-retrieve >/dev/null 2>/dev/null Tu dois pouvoir le faire dans mutt avec une macro qui ferait <pipe-message>/usr/bin/gpg... Ou bien mieux, modifier la commande qu'emploie mutt pour vérifier les signatures. Chez moi : set pgp_verify_command="gpg --status-fd=2 --no-verbose --quiet --output - --verify %s %f" En rajoutant "--keyserver-options auto-key-retrieve" ça pourrait fonctionner.
Cette solution est plus élégante mais elle ne marche pas...
>C’est bien tout le problème, il existe des serveurs/annuaires [1] de >clefs aui te permettraient d’automatiser le processus, mais du coup, tu >n’as aucune garantie que la clef que tu récupère a bien été partagée >par la personne que tu crois. Je me joins à Erwan David pour t’inviter >à te renseigner sur la notion de “Web of Trust”.Je suis absolument d'accord. Si je veux me faire passer pour quelqu'un d'autre à tes yeux, je peux créer une clé à son nom. Ton système téléchargera ma fausse clé, vérifiera la signature (qui sera bonne) et tu seras trompé, à moins que tu n'ai signé la vraie clé ou que tu ne t'aies appris par coeur les ids (et je peux encore générer une clé avec un id qui ressemble à celui de l'autre, à quelques caractères près).
Parfaitement d'accord.
Si tu télécharges manuellement (ou avec un raccourci clavier dans mutt) les clés des personnes que tu juges intéressantes, tu verras tout de suite une telle tentative : au lieu d'avoir "bonne signature mais la clé n'est pas signée", tu auras "clé publique non trouvée".
Oui oui.
Cela étant dit, l'usurpation avec un clé sur la liste Debian ne doit pas être si fréquente... @+
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-REQUEST@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org Archive: [🔎] 20100825163053.GA7311@pc">http://lists.debian.org/[🔎] 20100825163053.GA7311@pc
-- Christophe Gallaire Attention ! Suppression des mails entrants dont la taille est supérieure à 2Mo !N'envoyez, s'il vous plaît, que des pièces jointes en formats ouverts. ---------------
Nouveau carnet de route : http://www.road2mayotte.org/blook --------------- Linux On The Root : http://ubunteros.tuxfamily.org/ --------------- Clé de chiffrement : 34AA23BB
Attachment:
signature.asc
Description: Digital signature