Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Tanguy Ortolo
ptilou, 2013-09-19 10:00+0200:
Ce système de signature, peut il souffrir d'une attaque de l'homme du milieu ? ( ou autre qui m'aurai échappé, comme de l'usurpation ?)
L'attaque de l'home du milieu est précisément un cas d'usurpation d'identité. Et oui, en signature comme en chiffrement, il est vulnérable à cela tant qu'on n'a pas obtenu une preuve fiable que la clef qu'on croit être celle de son correspondant l'est vraiment.
En utilisant correctement PGP avec son système de toile de confiance, ces attaques ne sont plus possibles, en tout cas pas sans parvenir à casser des clefs ou à exploiter des failles des logiciels.
Ce système de signature, peut il souffrir d'une attaque de l'homme du milieu ?
( ou autre qui m'aurai échappé, comme de l'usurpation ?)
L'attaque de l'home du milieu est précisément un cas d'usurpation
d'identité. Et oui, en signature comme en chiffrement, il est vulnérable
à cela tant qu'on n'a pas obtenu une preuve fiable que la clef qu'on
croit être celle de son correspondant l'est vraiment.
En utilisant correctement PGP avec son système de toile de confiance,
ces attaques ne sont plus possibles, en tout cas pas sans parvenir à
casser des clefs ou à exploiter des failles des logiciels.
Ce système de signature, peut il souffrir d'une attaque de l'homme du milieu ? ( ou autre qui m'aurai échappé, comme de l'usurpation ?)
L'attaque de l'home du milieu est précisément un cas d'usurpation d'identité. Et oui, en signature comme en chiffrement, il est vulnérable à cela tant qu'on n'a pas obtenu une preuve fiable que la clef qu'on croit être celle de son correspondant l'est vraiment.
En utilisant correctement PGP avec son système de toile de confiance, ces attaques ne sont plus possibles, en tout cas pas sans parvenir à casser des clefs ou à exploiter des failles des logiciels.
Le jeudi 19 septembre 2013 10:13:17 UTC+2, Tanguy Ortolo a écrit :
ptilou, 2013-09-19 10:00+0200:
> Ce système de signature, peut il souffrir d'une attaque de l'homme du milieu ?
> ( ou autre qui m'aurai échappé, comme de l'usurpation ?)
L'attaque de l'home du milieu est précisément un cas d'usurpation
d'identité. Et oui, en signature comme en chiffrement, il est vulnéra ble
à cela tant qu'on n'a pas obtenu une preuve fiable que la clef qu'on
croit être celle de son correspondant l'est vraiment.
En utilisant correctement PGP avec son système de toile de confiance,
ces attaques ne sont plus possibles, en tout cas pas sans parvenir à
casser des clefs ou à exploiter des failles des logiciels.
Mais dans ce système, n'y a t'il pas échange de clés publique, qui pe rmet une première vérification ?
Ptilou
Tanguy Ortolo
ptilou, 2013-09-19 11:06+0200:
Mais dans ce système, n'y a t'il pas échange de clés publique, qui permet une première vérification ?
Dans l'idée, avec PGP, on accepte : 1. les clefs des gens qui nous les ont fournies en personne ; 2. les clefs signées par une clef qu'on accepte déjà et dont le propriétaire est digne de confiance, ou signées par cinq clefs qu'on accepte déjà et donc les propriétaires sont partiellement dignes de confiance, cette information de confiance étant indiquée par l'utilisateur pour chaque clef publique présente dans son trousseau.
Les clefs qui ne rentrent dans aucune de ces deux catégories sont identifiées comme non fiables, et le logiciel affiche un avertissement lorsqu'on les utilise : attention, rien ne prouve que cette clef appartient bien à son supposé propriétaire.
Mais dans ce système, n'y a t'il pas échange de clés publique, qui permet une première vérification ?
Dans l'idée, avec PGP, on accepte :
1. les clefs des gens qui nous les ont fournies en personne ;
2. les clefs signées par une clef qu'on accepte déjà et dont le
propriétaire est digne de confiance, ou signées par cinq clefs qu'on
accepte déjà et donc les propriétaires sont partiellement dignes de
confiance, cette information de confiance étant indiquée par
l'utilisateur pour chaque clef publique présente dans son trousseau.
Les clefs qui ne rentrent dans aucune de ces deux catégories sont
identifiées comme non fiables, et le logiciel affiche un avertissement
lorsqu'on les utilise : attention, rien ne prouve que cette clef
appartient bien à son supposé propriétaire.
Mais dans ce système, n'y a t'il pas échange de clés publique, qui permet une première vérification ?
Dans l'idée, avec PGP, on accepte : 1. les clefs des gens qui nous les ont fournies en personne ; 2. les clefs signées par une clef qu'on accepte déjà et dont le propriétaire est digne de confiance, ou signées par cinq clefs qu'on accepte déjà et donc les propriétaires sont partiellement dignes de confiance, cette information de confiance étant indiquée par l'utilisateur pour chaque clef publique présente dans son trousseau.
Les clefs qui ne rentrent dans aucune de ces deux catégories sont identifiées comme non fiables, et le logiciel affiche un avertissement lorsqu'on les utilise : attention, rien ne prouve que cette clef appartient bien à son supposé propriétaire.
