• [^] # Re: Tu oublies un détail ...

    Posté par (site web personnel) . En réponse au journal Usurpation de clé GPG, c'est possible ?. Évalué à 2.

    Le problème est qu'avec les systèmes d'authentification d'utilisateurs (que ce soit par clé GPG ou par certificats X509), à un moment ou un autre, il faut se fier à une preuve physique de l'identité.

    Pour GPG, on fait généralement ça lors de keys-signing parties où chacun présente ces papiers et valident ses clés par ses fingerpints.

    Pour les certificats numériques, les fournisseurs de certificats (Thawte, Verisign) font de même avec une présentation de preuve d'identité.

    Néanmoins, il faut bien à un moment prendre cette preuve pour argent comptant.

    Personne (ni une personne physique, ni un organisme de certification) n'a la possibilité de vérifier l'authenticité de cette preuve. Seul un Etat peut vérifier l'authenticité de papier d'identité.

    Si on accepte pas ce postulat de base, autant abandonner directement la notion de "web of trust" pour les clés GPG.