GPG et PGP ?

Le
ptilou
Bonjour,

Ce système de signature, peut il souffrir d'une attaque de l'homme du mil=
ieu ?
( ou autre qui m'aurai échappé, comme de l'usurpation ?)

Merci pour vos lumières !

Ptilou
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Tanguy Ortolo
Le #25671492
ptilou, 2013-09-19 10:00+0200:
Ce système de signature, peut il souffrir d'une attaque de l'homme du milieu ?
( ou autre qui m'aurai échappé, comme de l'usurpation ?)



L'attaque de l'home du milieu est précisément un cas d'usurpation
d'identité. Et oui, en signature comme en chiffrement, il est vulnérable
à cela tant qu'on n'a pas obtenu une preuve fiable que la clef qu'on
croit être celle de son correspondant l'est vraiment.

En utilisant correctement PGP avec son système de toile de confiance,
ces attaques ne sont plus possibles, en tout cas pas sans parvenir à
casser des clefs ou à exploiter des failles des logiciels.

--
  ____   Tanguy Ortolo
 /_   ______________
((_)   _ .--^---^^-^-'
 ____/ `' urn:pgp:240BBA15B694DD00E38030D8D6EFA6AC4B10D847
ptilou
Le #25671672
Re,

Le jeudi 19 septembre 2013 10:13:17 UTC+2, Tanguy Ortolo a écrit :
ptilou, 2013-09-19 10:00+0200:

> Ce système de signature, peut il souffrir d'une attaque de l'homme du milieu ?

> ( ou autre qui m'aurai échappé, comme de l'usurpation ?)



L'attaque de l'home du milieu est précisément un cas d'usurpation

d'identité. Et oui, en signature comme en chiffrement, il est vulnéra ble

à cela tant qu'on n'a pas obtenu une preuve fiable que la clef qu'on

croit être celle de son correspondant l'est vraiment.



En utilisant correctement PGP avec son système de toile de confiance,

ces attaques ne sont plus possibles, en tout cas pas sans parvenir à

casser des clefs ou à exploiter des failles des logiciels.




Mais dans ce système, n'y a t'il pas échange de clés publique, qui pe rmet une première vérification ?

Ptilou
Tanguy Ortolo
Le #25672092
ptilou, 2013-09-19 11:06+0200:
Mais dans ce système, n'y a t'il pas échange de clés publique, qui permet une première vérification ?



Dans l'idée, avec PGP, on accepte :
1. les clefs des gens qui nous les ont fournies en personne ;
2. les clefs signées par une clef qu'on accepte déjà et dont le
propriétaire est digne de confiance, ou signées par cinq clefs qu'on
accepte déjà et donc les propriétaires sont partiellement dignes de
confiance, cette information de confiance étant indiquée par
l'utilisateur pour chaque clef publique présente dans son trousseau.

Les clefs qui ne rentrent dans aucune de ces deux catégories sont
identifiées comme non fiables, et le logiciel affiche un avertissement
lorsqu'on les utilise : attention, rien ne prouve que cette clef
appartient bien à son supposé propriétaire.

--
  ____   Tanguy Ortolo
 /_   ______________
((_)   _ .--^---^^-^-'
 ____/ `' urn:pgp:240BBA15B694DD00E38030D8D6EFA6AC4B10D847
Publicité
Poster une réponse
Anonyme