GPG : diverses questions

Recherche :

Dernière réponse
Sujet : GPG : diverses questions
o'gure	S'il n'a pas de clé publique il ne peut pas vérifier la signature donc non, ça ne garantit rien. La sécurité de PGP repose sur la confiance des clés et leur signature par des personnes de confiance. En résumé le principe de PGP c'est : Alice crée sa paire, bob également. Alice et bob se connaissent, ils vont se rencontrer (ou mettre un système de confiance) et se signer mutuellement leur clé . Si charles a confiance dans la clé de bob, si Alice envoie à bob un mail signé, charles peut légitimement faire confiance à la clé d'Alice car il a confiance dans la clé de bob Si tu n'as pas de chaîne de confiance pour remonter à la clé qui dit avoir signé, tu ne peux pas dire que la "signature est ok". Tu peux voir que la signature correspond à la clé indiquée, mais tu ne sais pas si cette clé est réellement liée à personne se disant l'expéditrice. Plus la paire de clé aura été signée par différentes personnes, plus tu auras de chaine potentielle permettant de valider la clé ayant signée. C'est là que repose le principe de PGP et c'est pour cela que les "cérémonie" de signature de clé sont si importante. C'est l'un des maillon sensible de l'infrastructure. Pour la synchro des serveurs de clé il me semblent que oui, mais ce n'est pas du temps réel.

Dernière réponse

Sujet : GPG : diverses questions

o'gure

S'il n'a pas de clé publique il ne peut pas vérifier la signature donc non, ça ne garantit rien.

La sécurité de PGP repose sur la confiance des clés et leur signature par des personnes de confiance. En résumé le principe de PGP c'est :

Alice crée sa paire, bob également.
Alice et bob se connaissent, ils vont se rencontrer (ou mettre un système de confiance) et se signer mutuellement leur clé .
Si charles a confiance dans la clé de bob, si Alice envoie à bob un mail signé, charles peut légitimement faire confiance à la clé d'Alice car il a confiance dans la clé de bob

Si tu n'as pas de chaîne de confiance pour remonter à la clé qui dit avoir signé, tu ne peux pas dire que la "signature est ok". Tu peux voir que la signature correspond à la clé indiquée, mais tu ne sais pas si cette clé est réellement liée à personne se disant l'expéditrice.

Plus la paire de clé aura été signée par différentes personnes, plus tu auras de chaine potentielle permettant de valider la clé ayant signée. C'est là que repose le principe de PGP et c'est pour cela que les "cérémonie" de signature de clé sont si importante. C'est l'un des maillon sensible de l'infrastructure.

Pour la synchro des serveurs de clé il me semblent que oui, mais ce n'est pas du temps réel.

Votre réponse

Nom d'utilisateur

Pour poster, vous devez être inscrit sur ce forum .... si ce n'est pas le cas, cliquez ici !

Le ton de votre message

Votre réponse

Smilies

Liste des smilies perso
Wiki smilies
Chercher un smiley

Options

Activer votre signature
Désactiver les smilies
Activer la notification par email du sujet

Aperçu

Vous avez perdu votre mot de passe ?

Vue Rapide de la discussion

o'gure

S'il n'a pas de clé publique il ne peut pas vérifier la signature donc non, ça ne garantit rien.

La sécurité de PGP repose sur la confiance des clés et leur signature par des personnes de confiance. En résumé le principe de PGP c'est :

Alice crée sa paire, bob également.
Alice et bob se connaissent, ils vont se rencontrer (ou mettre un système de confiance) et se signer mutuellement leur clé .
Si charles a confiance dans la clé de bob, si Alice envoie à bob un mail signé, charles peut légitimement faire confiance à la clé d'Alice car il a confiance dans la clé de bob

Pour la synchro des serveurs de clé il me semblent que oui, mais ce n'est pas du temps réel.

greeeg

Hello,

J'ai quelques questions quant au fonctionnement de GPG que je vais essayer de formuler le plus clairement possible en espérant que vous me comprendrez.

Tout d'abord, supposant que j'envoie un mail à un destinataire qui ne possède pas ma clé publique, que je signe cet email. Est-ce que cette signature peut garantir quelque chose au destinataire ?

Ensuite, une clé est associée à une identité (adresse email et nom). Il est possible de créer une paire de clé pour n'importe quelle adresse email, même si celle-ci ne nous appartient pas. En supposant qu'une personne mal intentionnée créé une paire de clés à partir d'une adresse email d'une victime et qu'elle publie la clé privée sur un serveur de clés, comment le vrai propriétaire de l'adresse peut-il corriger le tir ?

Toujours à propos des serveurs de clés : sont-ils synchronisés entre-eux ? Si non, une personne qui souhaite trouver la clé publique de quelqu'un doit connaître tous les serveurs de clés au monde et effectuer une recherche sur chacun d'eux ?

Merci beaucoup pour vos réponses.
Greg.