Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1267 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  Divers

  GPG : diverses questions

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

GPG : diverses questions

n°1297185
greeeg
Posté le 23-11-2011 à 23:49:42  profilanswer
 

Hello,
 
J'ai quelques questions quant au fonctionnement de GPG que je vais essayer de formuler le plus clairement possible en espérant que vous me comprendrez.  
 
Tout d'abord, supposant que j'envoie un mail à un destinataire qui ne possède pas ma clé publique, que je signe cet email. Est-ce que cette signature peut garantir quelque chose au destinataire ?
 
Ensuite, une clé est associée à une identité (adresse email et nom). Il est possible de créer une paire de clé pour n'importe quelle adresse email, même si celle-ci ne nous appartient pas. En supposant qu'une personne mal intentionnée créé une paire de clés à partir d'une adresse email d'une victime et qu'elle publie la clé privée sur un serveur de clés, comment le vrai propriétaire de l'adresse peut-il corriger le tir ?  
 
Toujours à propos des serveurs de clés : sont-ils synchronisés entre-eux ? Si non, une personne qui souhaite trouver la clé publique de quelqu'un doit connaître tous les serveurs de clés au monde et effectuer une recherche sur chacun d'eux ?
 
Merci beaucoup pour vos réponses.  
Greg.


---------------
Un être en tant qu'être ne pourrait-il pas être autre qu'il n'est s'il n'explique pas lui-même son être ?
mood
Publicité
Posté le 23-11-2011 à 23:49:42  profilanswer
 

n°1297192
o'gure
Modérateur
Multi grognon de B_L
Posté le 24-11-2011 à 08:13:18  profilanswer
 

S'il n'a pas de clé publique il ne peut pas vérifier la signature donc non, ça ne garantit rien.

 

La sécurité de PGP repose sur la confiance des clés et leur signature par des personnes de confiance. En résumé le principe de PGP c'est :

  • Alice crée sa paire, bob également.
  • Alice et bob se connaissent, ils vont se rencontrer (ou mettre un système de confiance) et se signer mutuellement leur clé .
  • Si charles a confiance dans la clé de bob, si Alice envoie à bob un mail signé, charles peut légitimement faire confiance à la clé d'Alice car il a confiance dans la clé de bob


Si tu n'as pas de chaîne de confiance pour remonter à la clé qui dit avoir signé, tu ne peux pas dire que la "signature est ok". Tu peux voir que la signature correspond à la clé indiquée, mais tu ne sais pas si cette clé est réellement liée à personne se disant l'expéditrice.

 

Plus la paire de clé aura été signée par différentes personnes, plus tu auras de chaine potentielle permettant de valider la clé ayant signée. C'est là que repose le principe de PGP et c'est pour cela que les "cérémonie" de signature de clé sont si importante. C'est l'un des maillon sensible de l'infrastructure.

 

Pour la synchro des serveurs de clé il me semblent que oui, mais ce n'est pas du temps réel.


Message édité par o'gure le 24-11-2011 à 08:14:27

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  Divers

  GPG : diverses questions

 

Sujets relatifs
Plein de questions sur l'installation de Linux ...Sauvegarde cryptées avec GPG et clé privée
[Débat] Formulation des questions et accès à la documentation sous GNU/LinuxUtiliser un user Win 7 sous Samba?
Migration OpenSuSE 10.3 -> 11.1 et questionsXubuntu 9.10, j'ai 2 questions
[Debian] Questions diverses (USB, Shockvoice, VSftpd)[Bind9] Quelques questions...
Plus de sujets relatifs à : GPG : diverses questions


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR