Re: Certification d'un horodatage

To: debian-user-french@lists.debian.org
Subject: Re: Certification d'un horodatage
From: Alain Vaugham <alain@vaugham.com>
Date: Fri, 21 Jan 2011 13:29:17 +0100
Message-id: <[🔎] 201101211329.18167.alain@vaugham.com>
Reply-to: alain@vaugham.com
In-reply-to: <[🔎] 20110121113634.GB6876@jones.jfs.dt>
References: <[🔎] 201101211136.25926.alain@vaugham.com> <[🔎] 201101211225.37149.alain@vaugham.com> <[🔎] 20110121113634.GB6876@jones.jfs.dt>

Le Friday 21 January 2011 12:36:34 JF Straeten, vous avez écrit :
> Re,
>
> On Fri, Jan 21, 2011 at 12:25:36PM +0100, Alain Vaugham wrote:
> > > @Alain : c'est pas facile, mais en utilisant une signature PGP, ça ne
> > > te fournirait aucune piste ? Elle est toujours faite à une heure
> > > déterminée.
> >
> > Cette heure est déterminée par la machine sur laquelle la signature PGP a
> > été réalisée.
> > Ce serait à moi - sur ma machine - de créer ces signatures car les emails
> > entrant ne sont pas signés.
> > Comment alors prouver que l'heure de la signature est identique à celle
> > du serveur ntp?
>
> Yep, à chaque nouvelle piste, on déplace les problèmes ; c'est
> classique...
>
J'essaie d'avoir été le plus précis justement pour éviter de déplacer le 
problème.

> Les relations dans lesquelles s'inscrivent le besoin d'horodatage, tu
> peux nous en dire plus ? 
Oui, j'aurai dû le préciser pour mieux cadrer ma recherche.
Mais comme c'est long j'ai résumé.
C'est fait en bas de ce courrier.
Désolé si j'ai fait long pour être précis.

>Les litiges potentiels, c'est purement
> interne à une boîte déterminée 
Oui c'est interne à une boîte mais les litiges potentiels proviendraient de 
l'extérieur.

>ou bien ça implique des tiers ? 
Oui forcément : ça concerne ceux qui déposent des emails ou des fichiers.
Eux, ce sont des tiers au sens comptabilité et au sens commercial.

> je suppose qu'il pourrait être question d'un litige en justice ?
En théorie oui. Mais non en pratique car en cas de litige les enjeux sont 
négociables commercialement.
D'où la tolérance d'une imprécision du serveur ntp.
Il s'agit d'éviter la naissance de soupçons et de préserver une image de 
qualité.

Le cadre :
Les emails reçus, les fichiers déposés ainsi que les fax (Hylafax) ce sont des 
commandes clients.
Notre horodatage marque le point de départ d'un processus.
Actuellement, seuls fonctionnent les emails et les faxes.
Les dépôts par ftp sont prévus.

J'ai besoin de rassurer "nos tiers" sur notre temps de traitement de leurs 
ordres, donc d'assurer qu'il n'y a pas eu bidouille interne sur notre 
horodatage.
De même, je veux pouvoir affirmer qu'on aurait éventuellmenet chercher à me 
tromper sur une entrée.

Dans les emails, les différentes dates sont n'importe quoi.
J'ai donc ajouté un champX provenant d'une recette Procmail. Ce champ est 
notre horodatage d'entrée de l'email à sa sortie de notre Postfix.
Pour moi c'est suffisant. Mais comment je peux prouver que cette heure est la 
même que celle du serveur ntp sur lequel j'affirme qu'on est reliés?
Pour l'instant c'est ma parole contre la tienne... Qui peut le certifier?

-- 
Alain Vaugham
Clef GPG : 0xD26D18BC

Reply to:

Follow-Ups:
- Re: Certification d'un horodatage
  - From: fra-duf-no-spam@tourde.org (François TOURDE)

References:
- Certification d'un horodatage
  - From: Alain Vaugham <alain@vaugham.com>
- Re: Certification d'un horodatage
  - From: Alain Vaugham <alain@vaugham.com>
- Re: Certification d'un horodatage
  - From: "JF Straeten" <jfstraeten@scarlet.be>

Prev by Date: Re: Certification d'un horodatage
Next by Date: Re: Certification d'un horodatage
Previous by thread: Re: Certification d'un horodatage
Next by thread: Re: Certification d'un horodatage
Index(es):
- Date
- Thread