Vérif fichier avec sig

cymago wrote:

J'utilise MD5Summer pour vérifier les fichiers téléchargés lorsque le MD5
est disponible.

Est-ce qu'il existe un petit programme équivalent pour les signatures .sig
?

Je n'ai rien trouvé avec Google ou dans les forums, sauf bien sur :
- GnuPG [...]

"Malheureusement" il y a bien plus qu'un simple calcul genre MD5
derriere un .sig. N'esperez donc pas pouvoir verifier cette *signature*
sans cryptographie symetrique, asymetrique, fonctions de hachage et
infrastructure de gestion de trousseau de clef. Ca a l'air complique
comme ca, mais si vous installez effectivement GnuPG (ou WinPT ou PGP),
ca ira tout seul :-)

Cordialement,
--
clem

Merci, j'installe WinPT

Bonjour,

cymago wrote:

Merci, j'installe WinPT

Et GnuPG! WinPT n'est qu'un frontal... Et GPGshell est beaucoup plus
convivial que WinPT.

Nota: dans la distributuion de GnuPG, il suffit d'utiliser "gpgv.exe" si
l'on veut seulement vérifier une signature...


--
Michel Nallino aka WinTerMiNator
http://www.winterminator.fr.st (Internet et sécurité)
http://www.gnupgwin.fr.st (GnuPG pour Windows)
Adresse e-mail invalide; pour me contacter:
http://www.cerbermail.com/?vdU5HHs5WG

il NE suffit PAS d'utiliser "gpgv.exe"

j'ai installé Gnupg_fr_wr.zip (merci, Michel pour cette version)

puis initialisé TrueCrypt Foundation PGP Public Key

C:Gnupg>gpg --import *.asc
gpg: C:/GnuPG/Keyringstrustdb.gpg: base de confiance créée
gpg: clé F0D6B1E0: clé publique "TrueCrypt Foundation
<info@truecrypt-foundation.org>" importée
gpg: Quantité totale traitée: 1
gpg: importée: 1

1ère vérif

D:Data SecurityOTFE encrypted disksTrueCrypt>c:gnupggpgv
truecrypt-3.0a.zip.sig
gpgv: keyblock resource `C:GnuPGKeyringstrustedkeys.gpg': erreur générale
gpgv: Signature faite 11/12/2004 20:07:22 Paris, Madrid avec la clé DSA ID
F0D6B1E0
gpgv: Impossible de vérifier la signature: clé publique non trouvée

2ème vérif

D:Data SecurityOTFE encrypted disksTrueCrypt>c:gnupggpg --verify
truecrypt-3.0a.zip.sig
gpg: Signature faite 11/12/2004 20:07:22 Paris, Madrid avec la clé DSA ID
F0D6B1E0
gpg: Bonne signature de "TrueCrypt Foundation
<info@truecrypt-foundation.org>"
gpg: vérifier la base de confiance
gpg: aucune clé de confiance ultime n'a été trouvée
gpg: ATTENTION: Cette clé n'est pas certifiée avec une signature de
confiance !
gpg: Rien ne dit que la signature appartient à son propriétaire.
Empreinte de clé principale: C5F4 BAC4 A7B2 2DB8 B8F8 5538 E3BA 73CA F0D6
B1E0

pas d'une simplicité biblique tout ça. PGP se mérite ! Je sais j'ai pas lu
la doc ...

pour info (fait avec MD5Summer, et là simplicité biblique)
3e65386542cb881dc7eb70bb2aff075e *truecrypt-3.0a-source-code.zip
8ed546a1b047f25923929f1f1d6eb790 *truecrypt-3.0a.zip
merci de me confirmer ces valeurs.

cymago wrote:

pour info (fait avec MD5Summer, et là simplicité biblique)
3e65386542cb881dc7eb70bb2aff075e *truecrypt-3.0a-source-code.zip
8ed546a1b047f25923929f1f1d6eb790 *truecrypt-3.0a.zip
merci de me confirmer ces valeurs.

je confirme pour truecrypt-3.0a.zip

cymago wrote:

il NE suffit PAS d'utiliser "gpgv.exe"

Ben oui, "gpgv.exe" permet de vérifier des signatures, il ne sert même qu'à
ça!

j'ai installé Gnupg_fr_wr.zip (merci, Michel pour cette version)

puis initialisé TrueCrypt Foundation PGP Public Key

C:Gnupg>gpg --import *.asc
gpg: C:/GnuPG/Keyringstrustdb.gpg: base de confiance créée
gpg: clé F0D6B1E0: clé publique "TrueCrypt Foundation
<info@truecrypt-foundation.org>" importée
gpg: Quantité totale traitée: 1
gpg: importée: 1

1ère vérif

D:Data SecurityOTFE encrypted disksTrueCrypt>c:gnupggpgv
truecrypt-3.0a.zip.sig
gpgv: keyblock resource `C:GnuPGKeyringstrustedkeys.gpg': erreur
générale gpgv: Signature faite 11/12/2004 20:07:22 Paris, Madrid avec
la clé DSA ID F0D6B1E0
gpgv: Impossible de vérifier la signature: clé publique non trouvée

Ben oui, faut d'abord télécharger la clé publique TrueCrypt foundation et
l'importer dans son trousseau de clés!

2ème vérif

D:Data SecurityOTFE encrypted disksTrueCrypt>c:gnupggpg --verify
truecrypt-3.0a.zip.sig
gpg: Signature faite 11/12/2004 20:07:22 Paris, Madrid avec la clé
DSA ID F0D6B1E0
gpg: Bonne signature de "TrueCrypt Foundation
<info@truecrypt-foundation.org>"
gpg: vérifier la base de confiance
gpg: aucune clé de confiance ultime n'a été trouvée
gpg: ATTENTION: Cette clé n'est pas certifiée avec une signature de
confiance !
gpg: Rien ne dit que la signature appartient à son
propriétaire. Empreinte de clé principale: C5F4 BAC4 A7B2 2DB8 B8F8 5538
E3BA 73CA F0D6 B1E0

Bon, donc vous avez importé la clé publique, c'est bien! Mais cette clé
n'est pas signée par la votre (probable que vous n'en avez pas généré). Donc
GnuPG dit:
- OK la signature est bonne,
- mais je n'ai pas d'info sur le propriétaire de la clé qui a signé, donc
attention, doit-on lui faire confiance?

Et vous vous savez bien que oui, puisque vous avez téléchargé la clé sur le
site de TrueCrypt! --> Y a pas de blême.

pas d'une simplicité biblique tout ça. PGP se mérite ! Je sais j'ai
pas lu la doc ...

D'autant plus que, entre celle téléchargée avec ma distribution et les
liens, y a de quoi faire... et la réponse s'y trouve!

pour info (fait avec MD5Summer, et là simplicité biblique)
3e65386542cb881dc7eb70bb2aff075e *truecrypt-3.0a-source-code.zip
8ed546a1b047f25923929f1f1d6eb790 *truecrypt-3.0a.zip
merci de me confirmer ces valeurs.

Le résultat n'est pas le même: la vérification du md5 garantit l'intégrité
du fichier, mais pas son authenticité; imaginons que quelqu'un de mal
intentionné sur SourceForge ait changé le fichier de la distribution et son
md5 sur la page de TrueCrypt... ;-)


--
Michel Nallino aka WinTerMiNator
http://www.winterminator.fr.st (Internet et sécurité)
http://www.gnupgwin.fr.st (GnuPG pour Windows)
Adresse e-mail invalide; pour me contacter:
http://www.cerbermail.com/?vdU5HHs5WG

WinTerMiNator wrote:

Et GnuPG! WinPT n'est qu'un frontal... Et GPGshell est beaucoup plus
convivial que WinPT.

Bah, la convivialité est aussi une affaire de gouts, WinPT n'étant pas
spécialement difficile à prendre en main.

Par contre (je sais je me répète! :) ) si GPGshell n'est toujours pas en
open-source il y a un problème potentiel que je trouve assez gênant (on
choisi GnuPG pour son côté open-source, sur, etc... avec un front-end
qui peut faire un peu ce qu'il veut dans mon dos[1] ).

Le fait que tu semble connaitre l'auteur et lui faire confiance ne
change rien. (les chaines de confiances sont souvent à l'origine de pas
mal de problèmes).

A mon avis c'est un des points noir de ton site, par ailleurs très bien
fait, que d'argumenter sur le fait que ce n'est pas grave, de toute
façon on passe par des dll windows closed source :
http://www.chez.com/winterminator/gnupg.html
'Un seul regret, ce freeware n'est toujours pas OpenSource (mais sous
Windows, le "full OpenSource" est de toute manière illusoire, le système
étant strictement fermé; et même GnuPG appelle, pour s'exécuter, les
dlls de Windows).'

<provoc>Dans ce cas pourquoi chercher du open-source sous windows</provoc>
Blague à part, à partir du moment ou tu utilise (par choix ou
obligation) un OS que tu considère à peu près sain autant choisir de
l'open source[2] s'il existe deux logiciels qui font ce que tu veux, non?

Eric

[1] et celui qui est apte à examiner ce qui se passe réellement est
probablement aussi apte à gérer la ligne de commande ou n'importe quel
frontal, alors autant le prendre open-source, non?

[2] même à la rigueur si aucun des deux soft n'est libre au sens fsf.

vu que c'est plus de la sécu que de la crypto dont il s'agit, copie sur
fcs et fu2.

--
L'invulnérable :
Je ne pense pas etre piratable, infectable par un trojen oui!
Vu sur fcs un jour de mars 2004.

J'ai executé gpgv après l'import de la clé :

gpgv a un pb ou ne marche qu'avec une clé certifiée, alors que gpg --verify
trouve bien la clé (non signée)

Bonsoir,
Eric Razny wrote:
[...]

A mon avis c'est un des points noir de ton site, par ailleurs très
bien fait, que d'argumenter sur le fait que ce n'est pas grave, de
toute façon on passe par des dll windows closed source :
http://www.chez.com/winterminator/gnupg.html
'Un seul regret, ce freeware n'est toujours pas OpenSource (mais sous
Windows, le "full OpenSource" est de toute manière illusoire, le
système étant strictement fermé; et même GnuPG appelle, pour
s'exécuter, les dlls de Windows).'

<provoc>Dans ce cas pourquoi chercher du open-source sous
windows</provoc> Blague à part, à partir du moment ou tu utilise (par
choix ou obligation) un OS que tu considère à peu près sain autant choisir
de
l'open source[2] s'il existe deux logiciels qui font ce que tu veux,
non?
Un peu d'explication de texte:

1) Windows est un OS intrinsèquement non sûr:
- pseudo gestion des droits d'accès au boot et aux fichiers (se contourne
avec une disquette "ad-hoc"),
- traces d'utilisation dans tous les coins (fichiers temporaires, mémoire
virtuelle), pas d'autre recours que d'effacer après coup,
- système "closed source", nombreux espions systèmes identifiés, combien de
backdoors à découvrir?

Ce n'est pas a priori un OS fait pour de la crypto! Rien de comparable, par
exemple, à une Knoppix MIB (Open Source, système inaltérable sur CD-ROM
s'exécutant en Ramdisk, fichiers temporaires en mémoire, home chiffré
protégé par un mot de passe d'au moins 20 caractères, swap chiffré, intègre
GnuPG...).

2) Une fois ce constat fait, la grande majorité des utilisateurs se servent
de Windows et non pas de Linux. C'est a priori plus facile de les amener à
la crypto sous Windows que de leur demander d'abord de changer d'OS! D'où
mon site...

GnuPG compilé sous Windows pour windows appelle les dlls suivantes:
kernel32.dll
advapi32.dll
msvcrt.dll
user32.dll
wsock32.dll

Même s'il est considéré comme "OpenSource", son fonctionnement dépend de 5
dlls système de Windows (et qui en appellent bien d'autres), dont les
sources ne sont pas connues.
--> l'exécution de "gpg.exe" ne mérite pas l'appellation "OpenSource"!
Et donc le fonctionnement de GnuPG sous Windows est loin d'être aussi sûr
que sous Linux...

Regardons le cas des interfaces graphiques (WinPT, GPGshell, Enigmail...).
De ce point de vue, ces applications utilisent aussi des dlls Windows. Elles
ne sont pas plus sûres ni moins sûres que GnuPG.

Le choix entre ces frontaux doit intégrer le but recherché: la diffusion de
l'utilisation de la crypto. Plusieurs études ont montré que le frontal
graphique est indispensable à la plupart des utilisateurs, et qu'il peut les
induire en erreur ou les empêcher d'utiliser un soft de crypto s'il est mal
fait.

De ce point de vue, GPGshell est beaucoup plus convivial que WinPT; et si
j'ai souvent vu, dans ce forum ou d'autres, des utilisateurs poser des
questions sur l'utilisation de WinPT / GnuPG ou signaler des bugs avec
WinPT, je l'ai rarement vu avec Enigmail et jamais avec GPGshell.

Par exemple, son affichage avec points "rouges / gris / verts" pour préciser
si la signature est bonne ou le fichier déchiffré est intègre est absolument
clair et attire l'attention de l'utilisateur en cas de fichier corrompu.

Reste donc le fait que GPGshell n'est pas OpenSource. Quels sont les risques
encourus?
- L'utilisation de GPGshell montre que GPGshell "ne fait pas de la crypto";
toute la crypto, y compris la saisie des mots de passe, se fait dans des
fenêtres générées par GnuPG.
- GPGshell fait peu recours aux fichiers temporaires (petite taille,
localisés); je les ai examinés et ils ne révèlent rien de particulier.
- Avec un utilitaire comme PGPdump (inclus dans ma distribution) on peut
s'assurer que GPGshell a bien ordonné à GnuPG d'exécuter ce qu'on attendait:
* un fichier signé l'est avec la clé demandée,
* un fichier chiffré pour plusieurs clés l'est pour celles-ci et pas pour
d'autres...
- Avec mon parefeu je n'ai jamais détecté aucune tentative de connexion à
internet d'un des modules de GPGshell: pas de troyen.
- Les inscriptions dans la base de registre sont limitées, et GPGshell, en
particulier, ne lance aucun programme au démarrage.

Bref, quand je mets en balance les avantages liés à l'emploi de GPGshell et
le faible niveau des risques encourus, je préfère recommander l'emploi de
GPGshell que celui de GnuPG.

Reste que je signale sur mon site que GPGshell n'est pas OpenSource.
L'utilisateur a le choix entre un interface graphique évolué de type "closed
source" ou un interface plus rudimentaire (je pèse mes mots...) mais
OpenSource. Il peut aussi utiliser le mode "ligne de commande"! (Pour ma
part, j'ai trouvé que le travail sur console en mode ligne de commande a
représenté un progrès notable par rapport à la carte perforée, mais je
comprends que ceux qui ont commencé par Windows aient du mal à se
débrouiller dans une fenêtre "ligne de commandes").

Voilà, excusez-moi, c'était un peu long, mais cette mise au point
s'imposait.

--
Michel Nallino aka WinTerMiNator
http://www.winterminator.fr.st (Internet et sécurité)
http://www.gnupgwin.fr.st (GnuPG pour Windows)
Adresse e-mail invalide; pour me contacter:
http://www.cerbermail.com/?vdU5HHs5WG

PS: Neric, quel temps fait-il à Dniepropretrovsk? ;-)

WinTerMiNator wrote:

Bonsoir,
Eric Razny wrote:
[...]

A mon avis c'est un des points noir de ton site, par ailleurs très
bien fait, que d'argumenter sur le fait que ce n'est pas grave, de
toute façon on passe par des dll windows closed source :
http://www.chez.com/winterminator/gnupg.html
'Un seul regret, ce freeware n'est toujours pas OpenSource (mais sous
Windows, le "full OpenSource" est de toute manière illusoire, le
système étant strictement fermé; et même GnuPG appelle, pour
s'exécuter, les dlls de Windows).'

<provoc>Dans ce cas pourquoi chercher du open-source sous
windows</provoc> Blague à part, à partir du moment ou tu utilise (par
choix ou obligation) un OS que tu considère à peu près sain autant choisir
de
l'open source[2] s'il existe deux logiciels qui font ce que tu veux,
non?

Un peu d'explication de texte:

Ok, je me permet les commentaires de tes explications :)

1) Windows est un OS intrinsèquement non sûr:
- pseudo gestion des droits d'accès au boot et aux fichiers (se contourne
avec une disquette "ad-hoc"),

Si une partition (système de fichier, fichier) est chiffrée correctement
sous XP ça ne se contourne pas si facilement.

Un quoi un nunux est plus sur contre une disquette de boot (clef usb
etc) si le gus n'a pas fait se qu'il fallait sur les périphériques
bootable au niveau du bios (et de toute façon quand on a un accès
physique...)? Je suis très loin d'être un adepte MS mais il ne faut
quand même pas exagérer dans les critiques.

- traces d'utilisation dans tous les coins (fichiers temporaires, mémoire
virtuelle),

La mémoire virtuelle est un problème (essentiellement je me suis écarté
de la prog windows et je ne saurais te répondre si on utilisateur non
privilégié peut avoir accès à de la mémoire non swappable -ce problème
peut exister aussi sous xBSD, Linux etc- ). A ma connaissance les
fichiers tempo c'est quand même l'appli qui choisi de les créer, non? Ce
n'est pas parce qu'une appli pourrave utilise sous windows les fichier
tempo comme une merde qu'il faut généraliser. Si tu lis bugtraq ce ne
sont pas les race conditions et autre fichiers tempos non sur qui
manquent sous les OS libre!

pas d'autre recours que d'effacer après coup,

A part le swap (un vrai problème) les fichiers tempo et leur gestion
sont du ressort de l'appli (même si le unlink sur un fichier ouvert est
bien agréable sous linux par exemple).

- système "closed source", nombreux espions systèmes identifiés, combien de
backdoors à découvrir?

Tu n'as pas à me convaincre sur MS :)

Ce n'est pas a priori un OS fait pour de la crypto!

C'est l'OS le plus utilisé (comme tu en conviens plus bas), même si ça
ne plait pas il faut faire avec.
Et, amha, à partir du moment ou on doit utiliser de la crypto la dessus
autant que la plus grande partie de la chaine soit open-source.

Rien de comparable, par
exemple, à une Knoppix MIB (Open Source, système inaltérable sur CD-ROM
s'exécutant en Ramdisk, fichiers temporaires en mémoire, home chiffré
protégé par un mot de passe d'au moins 20 caractères, swap chiffré, intègre
GnuPG...).

On peut aussi lancer un grand ramdisk et faire de windows dedans. C'est
certes difficile à faire et chiant au possible mais c'est réalisable.
Une fois de plus ça ne répond absolument pas à ma remarque.

2) Une fois ce constat fait, la grande majorité des utilisateurs se servent
de Windows et non pas de Linux. C'est a priori plus facile de les amener à
la crypto sous Windows que de leur demander d'abord de changer d'OS! D'où
mon site...

Très bien fait, j'en ai déjà fait la remarque.
Je trouvais simplement dommage que la dessus il y ait entre autre le
petit point que je signale. Notes que je ne me pose pas sur le plan
crypto (le frontend *semble* appeler directement gpg) mais sur le plan
sécurité (d'ou le fu2).

GnuPG compilé sous Windows pour windows appelle les dlls suivantes:
kernel32.dll
advapi32.dll
msvcrt.dll
user32.dll
wsock32.dll

Soit les dll basiques du système.

C'est l'occasion de faire un lien vers le site de J.C. Bellamy :
http://www.bellamyjc.org/fr/scanbin.html

Même s'il est considéré comme "OpenSource", son fonctionnement dépend de 5
dlls système de Windows (et qui en appellent bien d'autres), dont les
sources ne sont pas connues.
--> l'exécution de "gpg.exe" ne mérite pas l'appellation "OpenSource"!

Outre que je trouve l'argument spécieux, pour éviter le gros troll bien
lourd je précise que j'ai bien noté ta "finesse" entre un soft
opensource et son exécution qui ne l'est pas. C'est exact, mais ma prise
ne position en se situe pas à ce niveau. Je répête donc ma condition
initiale :
"à partir du moment où tu utilise (par choix ou obligation) un OS que tu
considère à peu près sain... ".

Et la je persiste et signe :) :
vive le logiciel libre (bon je m'étais limité à opensource et c'est déjà
ça) et je trouve, soyons soft, "bizarre" de vouloir perdre par un
frontend tel que tu peux le proposer les avantages du soft de base.

Et donc le fonctionnement de GnuPG sous Windows est loin d'être aussi sûr
que sous Linux...

Pas d'accord : on ne peut pas montrer[3] qu'il est aussi sur. Puisque tu
viens donner une leçon de logique autant rester rigoureux :)

Regardons le cas des interfaces graphiques (WinPT, GPGshell, Enigmail...).
De ce point de vue, ces applications utilisent aussi des dlls Windows. Elles
ne sont pas plus sûres ni moins sûres que GnuPG.

Cette fois c'est franchement du n'importe quoi.
Pour WinPT je peux regarder les sources (on va supposer que je fais
partie des gens aptes à voir si elles cachent quelque chose ou pas si tu
veux bien). Une fois que j'ai vérifié[2] ça WinPT est au moins aussi sur
que l'OS sur lequel il s'appuie.

Pour GPGshell, comme je ne peux examiner le source je n'ai aucune des
certitudes que je peux avoir avec WinPT[3]. Pire l'examen des dll et
appels systèmes peut se révéler trompeur au niveau de la sécu : qui me
dit que ce n'est pas dans certains cas bien précis (triggers) que le
comportement de l'application change?

Parano, peut être (surement :)), mais ceci est un *fait* il y a une
incertitude sur le comportement de GPGshell que je n'ai pas avec WinPT[1]

Le choix entre ces frontaux doit intégrer le but recherché: la diffusion de
l'utilisation de la crypto. Plusieurs études ont montré que le frontal
graphique est indispensable à la plupart des utilisateurs, et qu'il peut les
induire en erreur ou les empêcher d'utiliser un soft de crypto s'il est mal
fait.

Entièrement d'accord.

De ce point de vue, GPGshell est beaucoup plus convivial que WinPT; et si
j'ai souvent vu, dans ce forum ou d'autres, des utilisateurs poser des
questions sur l'utilisation de WinPT / GnuPG ou signaler des bugs avec
WinPT, je l'ai rarement vu avec Enigmail et jamais avec GPGshell.

Encore faudrait-il connaitre le nombre de personne qui utilisent tel ou
tel machin. Il n'y a pas de pointeur sur GPGshell à partir du site de
gpg ; si il y a (caricaturons!) 100 utilisateurs de GPGshell pour 10000
de WinPT il est normal de voir plus de question sur WinPT.

Pour ma part j'ai basculé, quand je suis sous windows, vers winpt
justement à cause du côté closed sources de GPGShell.

Par exemple, son affichage avec points "rouges / gris / verts" pour préciser
si la signature est bonne ou le fichier déchiffré est intègre est absolument
clair et attire l'attention de l'utilisateur en cas de fichier corrompu.

Admettons que GPGShell soit super par rapport à WinPT, mon propos n'est
pas que ça me gêne que tu le conseille sur ton site (ça ne me gêne
d'ailleurs pas spécialement). Ce qui me gêne c'est l'argumentaire qu'il
y a derrière (de toute façon sous windows...). Autant rester sous PGP
"tout court" alors. Au niveau de l'ergonomie le gus n'a pas a se taper
l'install de GnuPG suivie de celle du frontend!

Reste donc le fait que GPGshell n'est pas OpenSource. Quels sont les risques
encourus?
- L'utilisation de GPGshell montre que GPGshell "ne fait pas de la crypto";
toute la crypto, y compris la saisie des mots de passe, se fait dans des
fenêtres générées par GnuPG.

Désolé, moi je ne fais pas la confusion entre ce qui est affiché et ce
qu'il se passe réellement dessous!
Même si tu as raison sur ce point -je suis persuadé que tu as réellement
vérifié- (mais par une observation à l'aide d'outils de monitoring du
système) ça ne change pas, au contraire, ma remarque sur les triggers.

- GPGshell fait peu recours aux fichiers temporaires (petite taille,
localisés); je les ai examinés et ils ne révèlent rien de particulier.

Tu les as examiné avec quoi?
<provoc-quoique>Comment sais tu qu'il n'y a pas un bit de fuite d'info
de ci de la? </provoc-quoique>

- Avec un utilitaire comme PGPdump (inclus dans ma distribution) on peut
s'assurer que GPGshell a bien ordonné à GnuPG d'exécuter ce qu'on attendait:
* un fichier signé l'est avec la clé demandée,
* un fichier chiffré pour plusieurs clés l'est pour celles-ci et pas pour
d'autres...

Il y a des éléments parfois incorporés au cryptage signature (timestamp
par exemple) qui peuvent être utiliser pour faire fuir de l'info.

- Avec mon parefeu je n'ai jamais détecté aucune tentative de connexion à
internet d'un des modules de GPGshell: pas de troyen.

<provoc-grossiere-leitmotiv>sauf trigger ou date
buttoir<provoc-grossiere-leitmotiv>

- Les inscriptions dans la base de registre sont limitées, et GPGshell, en
particulier, ne lance aucun programme au démarrage.

Bref, quand je mets en balance les avantages liés à l'emploi de GPGshell et
le faible niveau des risques encourus, je préfère recommander l'emploi de
GPGshell que celui de GnuPG.

Une fois de plus ce qui me gêne n'est absolument pas ta préférence ou
ton conseil pour GPGshell. Ce qui me gêne est l'argumentaire pour
justifier d'une équivalence de sécurité qui n'est pas.

Reste que je signale sur mon site que GPGshell n'est pas OpenSource.

J'ai eu l'honnêteté (c'est la moindre des choses) que de faire un lien
vers la page qui me pose problème avant de la citer (pour permettre au
lecteur de vérifier que le contexte restreint présenté n'est pas biaisé)

L'utilisateur a le choix entre un interface graphique évolué de type "closed
source" ou un interface plus rudimentaire (je pèse mes mots...) mais
OpenSource. Il peut aussi utiliser le mode "ligne de commande"!

Le seul truc un peu chiant avec WinPT c'est pour déchiffer les pièces
jointes, mais pour ce que je me souviens de GPGShell ce dernier avait
l'avantage au niveau ergonomie.

(Pour ma
part, j'ai trouvé que le travail sur console en mode ligne de commande a
représenté un progrès notable par rapport à la carte perforée, mais je
comprends que ceux qui ont commencé par Windows aient du mal à se
débrouiller dans une fenêtre "ligne de commandes").

J'ai l'age de me souvenir de l'apple II et du LISA, alors :)
Ceci dit je suis toujours plus partisan de la ligne de commande pour pas
mal de chose qu'on ne peut pas faire si rapidement au clickodrome
(contre lequel je n'ai rien).

Voilà, excusez-moi, c'était un peu long, mais cette mise au point
s'imposait.

Il semble surtout qu'on se soit mal compris (me suis-je mal exprimé?).

Eric

PS : en relisant (rapidement, en ne corrigeant que certaines fautes,
alors avant relecture je laisse imaginer!) je souhaite préciser que je
ne promet absolument pas WinPT. Je l'utilise et il me suffit, point.

[1] Afin d'éviter les délires, il y a probablement quelques bug dans
WinPT, mais au moins ils sont examinables...
[2] Je ne l'ai pas fait
[3] A moins de decompiler GPGShell et examiner à la loupe le résultat
certainement chiant à lire (c'est bien quand même, un source commenté!)



--
L'invulnérable :
Je ne pense pas etre piratable, infectable par un trojen oui!
Vu sur fcs un jour de mars 2004.