Re: Certification d'un horodatage

To: debian-user-french@lists.debian.org
Subject: Re: Certification d'un horodatage
From: "Jean-Yves F. Barbier" <12ukwn@gmail.com>
Date: Fri, 21 Jan 2011 19:17:16 +0100
Message-id: <[🔎] 20110121191716.14b2a5f7@anubis.defcon1>
In-reply-to: <[🔎] 201101211846.01228.alain@vaugham.com>
References: <[🔎] 201101211136.25926.alain@vaugham.com> <[🔎] 20110121175855.5f37f0f1@anubis.defcon1> <[🔎] 201101211846.01228.alain@vaugham.com>

On Fri, 21 Jan 2011 18:46:01 +0100, Alain Vaugham <alain@vaugham.com> wrote:

... 
> Alors oui, c'est important (CQFD). 
> Oui, c'est très important d'avoir une chaîne de traitement du courrier avec
> du TLS comme tu le soulignes et c'est déjà fait en interne jusqu'au Postfix. 
> Reste un problème de port 25 à résoudre chez le FAI pour que le Postfix 
> relaie directement.

S'il ne coopère pas, change de port (en Gal 443 reste ouvert.)

> On est passé en mode HS là.

Non, enfin IMHO: tu cherches une solution pointue, donc je me renseigne afin
de savoir si toute la chaîne est du même niveau, étant donné qu'une chaîne ne
peut tenir que par son maillon le plus faible.

> Dans le cadre de ma recherche, demander à des partenaires commerciaux 
> d'utiliser GPG pour des emails n'est pas concevable.

Tout dépend si tu vends des paniers moules, auquel cas pas de PB, ou de la
haute technologie, auquel cas GROS PB.

> Pour exemple, j'ai affaire à certains qui sont prêts à envoyer **tous** les 
> détails de leur carte bancaire sur une carte postale sans enveloppe : c'est
> à dire par email. No comments.

Wai, y'en a des comme ça ;)

> J'ai affaire à d'autres qui n'ont aucune intention d'apporter une quelconque 
> modif dans leur organisation. C'est la majorité et c'est leur liberté.
> De plus, le flux le plus volumineux est celui des fax.
> C'est peut-être parceque ces clients-là sont justement sensibilisés au 
> problème des emails.
> Hylafax fonctionne lui en mode connecté.
> Les fichiers TIFF/pdf sont passés à Postfix et Procmail y met sa griffe : 
> c'est le champX que j'ai mentionné précédemment.
> 
> Je ne cherche pas une solution qui impose un changement de méthode pour 
> certains, mais une solution qui permet un consensus avec un minimum
> d'efforts pour moi.

Je dirais qu'en l'état actuel des choses, soit tu sécurises *toute* la chaîne,
avec logs signés, SMTP 'amis' only, etc; soit tu reste au même niveau, et dans
ce cas, un logging de 'ntptrace' suffit largement puisqu'il te donne l'écart
avec le svr ntp externe.
Il existe aussi la poss. d'accèder à certains svrs ntp d'une façon sécurisée
(chiffrage assym.): le package 'ntp-doc' est ton pote sur ce coup là; mais je
persiste en disant que c'est disproportionné par rapport à la sécurité
aléatoire du reste de la chaîne: pratiquement n'importe qui peut spoofer le
SMTP d'en face, modifier l'email, puis le forwarder sans laisser de traces.

-- 
<Diziet> Fuck, I can't compile the damn thing and I wrote it !

Reply to:

Follow-Ups:
- Re: Certification d'un horodatage
  - From: Alain Vaugham <alain@vaugham.com>

References:
- Certification d'un horodatage
  - From: Alain Vaugham <alain@vaugham.com>
- Re: Certification d'un horodatage
  - From: "Jean-Yves F. Barbier" <12ukwn@gmail.com>
- Re: Certification d'un horodatage
  - From: Alain Vaugham <alain@vaugham.com>

Prev by Date: Re: Certification d'un horodatage
Next by Date: Re: Certification d'un horodatage
Previous by thread: Re: Certification d'un horodatage
Next by thread: Re: Certification d'un horodatage
Index(es):
- Date
- Thread