GPG : diverses questions
GPG : diverses questions - Divers - Linux et OS Alternatifs
Marsh Posté le 24-11-2011 à 08:13:18
S'il n'a pas de clé publique il ne peut pas vérifier la signature donc non, ça ne garantit rien.
La sécurité de PGP repose sur la confiance des clés et leur signature par des personnes de confiance. En résumé le principe de PGP c'est :
- Alice crée sa paire, bob également.
- Alice et bob se connaissent, ils vont se rencontrer (ou mettre un système de confiance) et se signer mutuellement leur clé .
- Si charles a confiance dans la clé de bob, si Alice envoie à bob un mail signé, charles peut légitimement faire confiance à la clé d'Alice car il a confiance dans la clé de bob
Si tu n'as pas de chaîne de confiance pour remonter à la clé qui dit avoir signé, tu ne peux pas dire que la "signature est ok". Tu peux voir que la signature correspond à la clé indiquée, mais tu ne sais pas si cette clé est réellement liée à personne se disant l'expéditrice.
Plus la paire de clé aura été signée par différentes personnes, plus tu auras de chaine potentielle permettant de valider la clé ayant signée. C'est là que repose le principe de PGP et c'est pour cela que les "cérémonie" de signature de clé sont si importante. C'est l'un des maillon sensible de l'infrastructure.
Pour la synchro des serveurs de clé il me semblent que oui, mais ce n'est pas du temps réel.
Message édité par o'gure le 24-11-2011 à 08:14:27
Sujets relatifs:
- Plein de questions sur l'installation de Linux ...
- Sauvegarde cryptées avec GPG et clé privée
- [Débat] Formulation des questions et accès à la documentation sous GNU/Linux
- Utiliser un user Win 7 sous Samba?
- Migration OpenSuSE 10.3 -> 11.1 et questions
- Xubuntu 9.10, j'ai 2 questions
- [Debian] Questions diverses (USB, Shockvoice, VSftpd)
- [Bind9] Quelques questions...
Marsh Posté le 23-11-2011 à 23:49:42
Hello,
J'ai quelques questions quant au fonctionnement de GPG que je vais essayer de formuler le plus clairement possible en espérant que vous me comprendrez.
Tout d'abord, supposant que j'envoie un mail à un destinataire qui ne possède pas ma clé publique, que je signe cet email. Est-ce que cette signature peut garantir quelque chose au destinataire ?
Ensuite, une clé est associée à une identité (adresse email et nom). Il est possible de créer une paire de clé pour n'importe quelle adresse email, même si celle-ci ne nous appartient pas. En supposant qu'une personne mal intentionnée créé une paire de clés à partir d'une adresse email d'une victime et qu'elle publie la clé privée sur un serveur de clés, comment le vrai propriétaire de l'adresse peut-il corriger le tir ?
Toujours à propos des serveurs de clés : sont-ils synchronisés entre-eux ? Si non, une personne qui souhaite trouver la clé publique de quelqu'un doit connaître tous les serveurs de clés au monde et effectuer une recherche sur chacun d'eux ?
Merci beaucoup pour vos réponses.
Greg.
---------------
Un être en tant qu'être ne pourrait-il pas être autre qu'il n'est s'il n'explique pas lui-même son être ?