On Thu, May 15, 2003 at 09:37:02AM +0200, Jérôme Marant wrote: > Bonjour, > > J'ai récemment rencontré un développeur Debian qui vient d'arriver > à Paris et nous avons échangé nos empreintes GPG selon la procédure > habituelle. Ma carte de visite, sur laquelle est incrite mon > empreinte, ne mentionne que mon adresse @debian.org. > > Le développeur en question a récupéré ma clé mais ne l'a signée que > pour l'UID @debian.org alors que celle-ci contient d'autres UID, et > ceci pour des raisons de sécurité. Je n'ai pas réussi à obtenir > d'explications convaincantes sur les problèmes liés à la sécurité. > > Est-ce quelqu'un saurait expliquer les problèmes et risques ou > pourrait me diriger vers une documentation claire ?
Supposons : * une des UID corresponde à une adresse [EMAIL PROTECTED], qui ne t'appartient plus (tu as changé de boulot) * ancien_employeur a réassigné cette adresse à quelqu'un d'autre * tu n'as pas supprimé cette adresse de ta clé. J'imagine que c'est assez improbable (surtout le dernier point), mais pas impossible. Il y a dans ce cas un problème de sécurité. Une solution valable serait que ce développeur envoie un mail encrypté avec ta clé publique individuellement à toutes les adresses de ta clé, et que tu répondes en signant les messages. Il pourra alors vérifier que toutes les UID correspondent bien et les signer. -- Alexandre Fayolle LOGILAB, Paris (France). http://www.logilab.com http://www.logilab.fr http://www.logilab.org Développement logiciel avancé - Intelligence Artificielle - Formations
