[DEBUTANT] Question entre 3 tiers
Le
Emmanuel Lecoester
Bonjour,
Soit 2 tiers identifiés :
- Un développeur qui a développé une application pour un client.
- Un client qui utilise l'application mais n'a pas connaissance des sources
(il ne les a pas acheté)
Le développeur (seul bien sur ! pas d'associé ou autre) meurt, le client
souhaite récupérer les sources pour continuer à maintenir comme convenu avec
le développeur durant son vivant (clause dans le contrat).
Maintenant la question : comment faire ?
Nous avions pensé en intégrant un 3ème tiers qui possède la deuxième "clé"
(comme pour les coffres en banque) pour ouvrir les sources. La première clé
étant en possession du client. Mais attention : les 2 clés peuvent
fonctionner même si le 1er tiers n'est pas mort :s
Auriez-vous des retours d'expériences ou des concepts déjà existants.
Merci d'avance
Soit 2 tiers identifiés :
- Un développeur qui a développé une application pour un client.
- Un client qui utilise l'application mais n'a pas connaissance des sources
(il ne les a pas acheté)
Le développeur (seul bien sur ! pas d'associé ou autre) meurt, le client
souhaite récupérer les sources pour continuer à maintenir comme convenu avec
le développeur durant son vivant (clause dans le contrat).
Maintenant la question : comment faire ?
Nous avions pensé en intégrant un 3ème tiers qui possède la deuxième "clé"
(comme pour les coffres en banque) pour ouvrir les sources. La première clé
étant en possession du client. Mais attention : les 2 clés peuvent
fonctionner même si le 1er tiers n'est pas mort :s
Auriez-vous des retours d'expériences ou des concepts déjà existants.
Merci d'avance
Poser une question
Bonjour aussi...
Comment faire quoi ? Si c'est une solution pratique que tu cherches, ça
existe depuis toujours, ça s'appelle un tiers de confiance : un notaire ou
une officine spécialisée garde les sources au chaud dans son coffre fort
jusqu'au moment où... Plusieurs sociétés proposent ce genre de services,
certaines vont même jusqu'à faire un audit chez le développeur afin de
pouvoir archiver et reconstituer le cas échéant l'environnement de
développement (compilateur, outillage, et tout et tout).
Un notaire peut aussi ouvrir le coffre à tout moment... Toute la question
est de s'entendre sur le terme "tiers de confiance"... Si les éléments
sensibles sont bien dans le coffre du notaire, seule la clé du notaire y a
accès, et c'est tout à fait suffisant.
De pas grand chose :-)
--
Johann.D
Johann a dit l'essentiel, notez que ce dépot sert généralement tout à la
fois à protéger la propriété intellectuelle de l'auteur que de garantir
les conditions d'utilisation pour le client, donc des procédures
existent depuis un bout de temps.
voir par exemple: http://app.legalis.net/article.php3?id_article
Sylvain.
Comment faire au plus simple, au plus économique et si possible sans ce
troisième tiers :). Car on a pu se faire un état des lieux des solutions
onéreuses, très onéreuse, excessivement onereuse). Dans notre cas c'est pour
un indépendant avec une 20 aines de clients. Je cherche donc à savoir si une
solution "crypto" existait déjà.
si) en ex-URSS (sans doute dans toutes les puissantes nuclaires) :
c'est la cryptographie à seuil. Il en existe au moins un schéma
formalisé en 1979 dû à Shamir (le 'S' de RSA), d'autres algorithmes
existent sans doute.
Pour empêcher qu'une personne seule puisse déclencher le tir, ce
système permet de définir un seuil minimal 'a' parmi 'b' personnes (a
Dans votre cas, il faudrait effectivement un tiers de confiance qui
accepte de ne donner sa clef personnelle de décryptage que si l'un des
deux autres protagonistes n'était plus en mesure de le faire. Ainsi 2
parmi les 3 acteurs sont nécessaires pour décrypter les données. De
plus, le tiers de confiance ne peut pas accéder à la ressource seul,
tout comme les 2 autres protagonistes.
Arnaud W.
http://awr.free.fr
"Arnaud W." news:
Il y a une technique utilisée pour la commande du feu nucléaire (si,
si) en ex-URSS (sans doute dans toutes les puissantes nuclaires) :
c'est la cryptographie à seuil. Il en existe au moins un schéma
formalisé en 1979 dû à Shamir (le 'S' de RSA), d'autres algorithmes
existent sans doute.
Pour empêcher qu'une personne seule puisse déclencher le tir, ce
système permet de définir un seuil minimal 'a' parmi 'b' personnes (a
Dans votre cas, il faudrait effectivement un tiers de confiance qui
accepte de ne donner sa clef personnelle de décryptage que si l'un des
deux autres protagonistes n'était plus en mesure de le faire. Ainsi 2
parmi les 3 acteurs sont nécessaires pour décrypter les données. De
plus, le tiers de confiance ne peut pas accéder à la ressource seul,
tout comme les 2 autres protagonistes.
Arnaud W.
http://awr.free.fr