Arnaud Vandyck a écrit : > | Est-ce quelqu'un saurait expliquer les problèmes et risques ou > | pourrait me diriger vers une documentation claire ?
Imaginons que je sois très méchant, et que j'aie réussi à trouver un accès à ta clé privée. Comment te nuire ? En dévoilant tout de suite que j'ai la main sur tes clés ? Non. Le plus discret, c'est d'ajouter un uid sur un serveur de clés, « autosigné » par l'attaquant, donc avec ta clé privée. Si quelqu'un y fait confiance (par un raisonnement quelconque), une partie de l'attaque a déjà réussi. Ensuite, en émettant des messages avec le nouvel uid, je peux monter d'autres arnaques. Tant que les gens répondent avec la fonction de réponse automatique de leur messagerie, tu ne reçois aucun message, donc tu ne te doute pas de l'arnaque qui se monte. Donc la personne qui signe tes uids ne doit le faire qu'après t'avoir regardé dans le blanc des yeux, puis demandé : c'est bien à toi, le premier uid ? C'est bien à toi le suivant ? etc. Il ne peut s'y fier que si tu le lui confirmes par un canal impossible à trafiquer. amitiés, Georges.
pgp1cPXWks0TR.pgp
Description: PGP signature