En réponse à Alexandre Fayolle <[EMAIL PROTECTED]>:
> Supposons :
>
> * une des UID corresponde à une adresse [EMAIL PROTECTED],
> qui ne t'appartient plus (tu as changé de boulot)
> * ancien_employeur a réassigné cette adresse à quelqu'un d'autre
> * tu n'as pas supprimé cette adresse de ta clé.
>
> J'imagine que c'est assez improbable (surtout le dernier point), mais
>
> pas impossible. Il y a dans ce cas un problème de sécurité.
Jusqu'ici ça va. Mais tu ne m'expliques pas ce qui risque de ce produire.
Même si cet id appartient à une autre personne, je ne vois pas
comment cette personne peut signer un mail avec ma clé et donc se
faire passer pour moi. Pour cela il lui faut non seulement ma
clé mais aussi le mot de passe de ma clé.
> Une solution valable serait que ce développeur envoie un mail encrypté
> avec ta clé publique individuellement à toutes les adresses de ta clé,
> et que tu répondes en signant les messages. Il pourra alors vérifier
> que
> toutes les UID correspondent bien et les signer.
Je ne comprends toujours pas ce que ça apporte.
Merci.
--
Jérôme Marant <[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
http://marant.org
