• [^] # Re: Annuaire clés publiques

    Posté par . En réponse au journal Try To Listen Me, nouveau site Open Source de communication chiffrée. Évalué à 2.

    ton projet est une bonne initiative même si je pense que la création d'un nouveau canal de discussion (il y en a tellement) pose problème. À l'heure actuelle et à ma connaissance, seul TextSecure (https://whispersystems.org/) permet une discussion asynchrone, chffrée, avec garantie de PFS. WhatsApp a déclaré qu'ils s'en étaient inspirés, mais sérieusement, quel utilisateur de WhatsApp croit au respect de sa vie privée?

    Effectivement je ne crois pas au respect de la vie privée de ces applications, c'est aussi cela qui me pousse à développer une autre alternative.

    Je ne suis pas utilisateur de messagerie instantanée, car soit les garanties en termes de sécurité sont absentes, soit (comme pour XMPP), cela demande aux deux parties d'être connectées. Et cela est un souci. Je n'utilise pas non plus TextSecure car, pour l'instant, il repose encore sur le framework GCM de Google pour le Push de messages. En attendant l'implem à base de Websockets, je n'utilise rien d'autre

    En fait je dis "chat" et "discussion" mais ce n'est pas réellement de l'instantané, si tu cliques sur un amis et que tu lui envoies des chats alors qu'il n'est pas connecté, il les recevra lorsqu'il cliquera à nouveau sur toi. par contre il seront supprimés dés qu'il les aura reçus.
    Du coup pas la peine que les deux soient connectés en même temps.
    Tu peux laisser des messages à ta douce sans qu'il me soit possible de les lire.

    D'où ma question, connaissez vous des recherches ou des papiers parlant du problème de la distribution des clés publiques via un annuaire (comme une sorte de DNS de la crypto), de façon sécurisée? De sorte que si l'annuaire tombe entre les mains du vilain, les utilisateurs le voit. Et le tout, sans contrainte de connexion des deux parties simultanément (Diffie-Hellman).

    C'est une bonne question, je n'ai pas d'exemple à te donner, par contre on peux aussi ajouter un facteur humain, un message qui doit être envoyé lors de l'envoie d'un nouvelle clé, et les amis prennent la décision du message et son contenu dans un lieu en dehors de ce canal, par exemple "lorsque je change de clés je te dis : tiens il poule aujourd'hui ? et tu dois me répondre "oui effectivement mais j'aime le chocolat" etc... ?
    mais pour cela il va falloir éduquer les peuples, le but de cette application est justement de déployer des alternatives.

    ton projet est une bonne initiative même si je pense que la création d'un nouveau canal de discussion (il y en a tellement) pose problème.

    Oui je me suis aussi posé la question d'utiliser XMPP mais cela est beaucoup trop lourd à mettre en place pour tout un chacun. et pour l'adoption dans d'autres solutions.
    La au moins, avec un navigateur, et un peu de temps, tout le monde peut l'utiliser.

    Avec une API JSON/REST on peut interfacer des applications et d'autre sites web pour créer un chat chiffré sur d'autre devices.

    Oui tu as raison, je ne veux pas non plus d'une plateforme propriétaire ni trop dur à faire évoluer ni d'ailleurs refermée sur elle même.