GPG et PGP ?
Le
ptilou
Bonjour,
Ce système de signature, peut il souffrir d'une attaque de l'homme du mil=
ieu ?
( ou autre qui m'aurai échappé, comme de l'usurpation ?)
Merci pour vos lumières !
Ptilou
Ce système de signature, peut il souffrir d'une attaque de l'homme du mil=
ieu ?
( ou autre qui m'aurai échappé, comme de l'usurpation ?)
Merci pour vos lumières !
Ptilou
L'attaque de l'home du milieu est précisément un cas d'usurpation
d'identité. Et oui, en signature comme en chiffrement, il est vulnérable
à cela tant qu'on n'a pas obtenu une preuve fiable que la clef qu'on
croit être celle de son correspondant l'est vraiment.
En utilisant correctement PGP avec son système de toile de confiance,
ces attaques ne sont plus possibles, en tout cas pas sans parvenir à
casser des clefs ou à exploiter des failles des logiciels.
--
____ Tanguy Ortolo
/_ ______________
((_) _ .--^---^^-^-'
____/ `' urn:pgp:240BBA15B694DD00E38030D8D6EFA6AC4B10D847
Le jeudi 19 septembre 2013 10:13:17 UTC+2, Tanguy Ortolo a écrit :
Mais dans ce système, n'y a t'il pas échange de clés publique, qui pe rmet une première vérification ?
Ptilou
Dans l'idée, avec PGP, on accepte :
1. les clefs des gens qui nous les ont fournies en personne ;
2. les clefs signées par une clef qu'on accepte déjà et dont le
propriétaire est digne de confiance, ou signées par cinq clefs qu'on
accepte déjà et donc les propriétaires sont partiellement dignes de
confiance, cette information de confiance étant indiquée par
l'utilisateur pour chaque clef publique présente dans son trousseau.
Les clefs qui ne rentrent dans aucune de ces deux catégories sont
identifiées comme non fiables, et le logiciel affiche un avertissement
lorsqu'on les utilise : attention, rien ne prouve que cette clef
appartient bien à son supposé propriétaire.
--
____ Tanguy Ortolo
/_ ______________
((_) _ .--^---^^-^-'
____/ `' urn:pgp:240BBA15B694DD00E38030D8D6EFA6AC4B10D847