Re: Question de confiance ...

Thu, 15 May 2003 04:16:03 -0500 

Salut,

Le jeudi 15 mai 2003 à 10:26 +0200, Alexandre Fayolle a écrit :
> On Thu, May 15, 2003 at 09:37:02AM +0200, Jérôme Marant wrote:
> > Bonjour,
> > 
> >   J'ai récemment rencontré un développeur Debian qui vient d'arriver
> >   à Paris et nous avons échangé nos empreintes GPG selon la procédure
> >   habituelle. Ma carte de visite, sur laquelle est incrite mon
> >   empreinte, ne mentionne que mon adresse @debian.org.
> > 
> >   Le développeur en question a récupéré ma clé mais ne l'a signée que
> >   pour l'UID @debian.org alors que celle-ci contient d'autres UID, et
> >   ceci pour des raisons de sécurité. Je n'ai pas réussi à obtenir
> >   d'explications convaincantes sur les problèmes liés à la sécurité.
> > 
> >   Est-ce quelqu'un saurait expliquer les problèmes et risques ou
> >   pourrait me diriger vers une documentation claire ?
> 
> 
> Supposons : 
> 
>  * une des UID corresponde à une adresse [EMAIL PROTECTED], 
>    qui ne t'appartient plus (tu as changé de boulot)
>  * ancien_employeur a réassigné cette adresse à quelqu'un d'autre
>  * tu n'as pas supprimé cette adresse de ta clé. 
> 
> J'imagine que c'est assez  improbable (surtout le dernier point), mais 
> pas impossible. Il y a dans ce cas un problème de sécurité.
> 
> Une solution valable serait que ce développeur envoie un mail encrypté
> avec ta clé publique individuellement à toutes les adresses de ta clé,
> et que tu répondes en signant les messages. Il pourra alors vérifier que
> toutes les UID correspondent bien et les signer.

Note qu'en reprenant les arguments que tu as cité, si le mec se fait
virer après que la personne qui veut signer la clé ait sondé l'adresse
email, le problème est le meme :-)

deluid fonctionne bien, autant l'utiliser :p

Donc pour répondre à Jérôme, il n'y a pas de bonnes raisons pour qu'il
ne signe pas tous tes UID :-p

a+
-- 
                                Pierre Machard
<[EMAIL PROTECTED]>                                  TuxFamily.org
<[EMAIL PROTECTED]>                                     techmag.info
+33(0)668 178 365                    http://migus.tuxfamily.org/gpg.txt
GPG: 1024D/23706F87 : B906 A53F 84E0 49B6 6CF7 82C2 B3A0 2D66 2370 6F87

Attachment: pgpzX0tWBoXkj.pgp
Description: PGP signature

Reply via email to