On Wed, Aug 15, 2007 at 07:43:21PM +0200, Hugues LARRIVE wrote: > François TOURDE a écrit : > >> Par contre il est extrèmement difficile de falsifier une signature, > >> > > [...] > > > > Disons que dans ton cas, c'est plus simple, étant donné que tu fournis > > dans ton en-tête l'endroit où est la clef. Dans ce cas, je peux > > fabriquer une fausse clef, avec ton email, et faire pointer ce fameux > > en-tête ailleurs. :) > > > La c'est la clé que tu falsifies, pas la signature. > C'est à ça que je pensais quand j'ai écris le PS.... > > D'où l'utilité d'un endroit sûr où stocker les clés publiques. > Un serveur de clés où l'on soit obligé de prouver son identité pour > déposer sa clé. > Ainsi toutes les clés sur ce serveur prouveraient réellement l'identité > de leur propriétaire. > Quoi de mieux que le service publique pour ça ? > Un mail est signé avec sa clef privée ; la signature obtenue dépend de ce que contient le mail, et cette signature est ajoutée à l'envoie du mail comme une pièce jointe. Le destinataire s'assure que le mail n'a subit aucune modification, en le vérifiant à l'aide de la clef publique. Il a obtenu la clef publique sur un serveur de clef grâce aux 8 premiers octets du fingerprint donné par l'auteur du mail. C'est ensuite que l'on doit vérifier que l'auteur est la bonne personne en comparant les fingerprints de l'auteur et celui obtenu via la clef publique. Il faut ici être certains de parler avec le véritable auteur. Donc, là j'ai un peu de mal à comprendre comment obtenir une clef _publique_ peut-être dangereux ! Bien sûr si tu n'as pas validé la clef publique avec son auteur, l'auteur peut se faire passer pour n'importe qui, mais autrement non. -- Franck Joncourt http://www.debian.org - http://smhteam.info/wiki/ GPG server : pgpkeys.mit.edu Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE
Attachment:
signature.asc
Description: Digital signature