• # PGP : peut mieux faire

    Posté par . En réponse au journal À propos de GPG et de son avenir. Évalué à 2.

    Hello, à la lecture de certains commentaires, je suis étonné qu'on puisse prétendre que l'utilisation de PGP n'est pas si compliquée… Je connais pas mal de madame Michu et je peux vous dire que PGP est horriblement compliqué. Les commentaires montrent clairement que des utilisateurs avancés trouvent ça ardu alors madame Michu…

    Coder un "Hello world" en C n'est pas bien compliqué, pourtant la plupart des gens feront une drôle de tête si vous essayez de leur expliquer.
    Je n'utilise pas PGP simplement parce que la quasi totalité des gens avec qui je communique ne l'utilisent pas et seraient hermétiques à une tentative d'explication. Pourtant, ces mêmes personnes utilisent du https pour se connecter par exemple à leur banque. Évidemment des problèmes peuvent se poser mais c'est tout de même mieux que rien.

    Au final, je pense que la sécurité informatique pour Mme Michu est une affaire de compromis. Une sécurité optimale suppose de comprendre le fonctionnement de PGP mais si quelques sacrifices permettaient de populariser son utilisation çà serait toujours ça de pris. Pour moi, il y a un chaînon manquant entre "j’envoie tout en clair parce que j'y comprend rien a leur truc d'extra terrestre" et "je suis un dieux de la sécurité des communications".

    Je suis pas du tout un spécialiste des ces questions mais l'autre jour, je me demandais par exemple si il ne serait pas possible de faciliter la distribution d'une clé publique.

    Par exemple, Mme Michu m'envoie un mail, son thunderbird interroge mon server mail pour savoir si une clé publique existe. Si oui, mon server mail lui fournit cette clé, et il chiffre le message avant de l'envoyer. Ceci est transparent pour Mme Michu et améliorerait considérablement la confidentialité de son mail.

    Là où ça se complique, c'est pour envoyer un mail chiffré à Mmme Michu. Déjà, la probabilité que Mme perde sa clé privée tend vers 1 avec le temps (Mme Michu et les sauvegardes…). Je vois pas trop comment faire sans passer par un tiers… une idée ?