• [^] # Re: Et si ?

    Posté par . En réponse à la dépêche GnuPG et échange de clefs. Évalué à 6.

    Je ne vois pas le problème. Le système de linuxfr permet d'associer une clée publique à un utilisateur authentifiée. Elle te permet de savoir qu'un mail qui te serait envoyé par un utilisateur a bien été émis par cet utilisateur. Si tu reçois un mail signé par ma clé, et tant que je ne me suis pas fait voler mon login linuxfr (ou bien voler ma session), alors tu est sûr que ce mail est bien issu de celui qui poste ici sous le pseudo "Matafan". Inversement, si tu m'envoie un mail chiffré avec la clé que tu peux trouver ici, tu est sûr (avec les mêmes réserves) à 100% que seul celui qui poste ici sous le pseudo "Matafan" pourra le lire.

    Un sytème comme linuxfr te permet, de façon assez sûre, d'associer une clé à l'utilisateur d'un site. Evidemment, rien ne te garantit que la clé appartient bien à une personne physique particulière (moi) ; mais tu elle tout de même associée de façon certaine à "l'entité" que tu côtoie sur le site.

    Un seul problème peut donc apparaître : un utilisateur X de linuxfr peut voler le pseudo d'une autre personne Y que tu connais par ailleurs sous ce même pseudo, tout en indiquant dans son profil sa vrai clé publique. Alors si tu envoie un mail à Y (ton copain) en le chiffrant avec la clé publique récupérée sur linuxfr, la personne X (l'usurpateur) pourra le déchiffrer. Mais dans ce cas, le problème vient de ce que tu mélange les rôles. Linuxfr te garentit que la clé appartient à la personne que tu cotoie sur linuxfr (donc X), pas à celle que tu connais pas ailleurs (Y).