On Friday 16 January 2015 16:18:39 Wallace - wall...@morkitu.org wrote: > Le 16/01/2015 16:14, Wallace a écrit : > > Le 16/01/2015 16:02, David Ponzone a écrit : > >> Le certificat personnel, j’y croirai quand il sera stocké sur un truc > >> fiable qu’on a toujours sur soi (CNI, CB, …) et transmis au PC en NFC ou > >> autre.> > > Ce jour là j'arrêterais les certificats alors. > > Un objet fiable qu'on a sur soit oui mais où j'ai totalement le contrôle > > sinon non. > > Ma CB ou CNI c'est juste noway. > > Je précise car on va forcément poser la question. > > Si c'est un tiers qui fait ce token alors je n'ai pas confiance car rien > ne me dit qu'il ne garde pas une copie des clefs générées avant de les > stocker. > Qu'on ne me parle pas de tiers de confiance (état, entreprise à > certificat, association oeuvrant pour notre bonheur), non je n'ai pas > confiance. > C'est comme faire des clefs chez le serrurier et qu'il en fasse une > copie pour lui tout en ayant votre adresse. Après tout personne ne > génère de clef GPG ou SSH par des tiers alors pourquoi dans ce cas là > passer par quelqu'un d'autre?
L'analogie du serrurier malhonnête est mal choisie car elle se transpose mal au monde du numérique. D'abord parce que personne ne pense qu'une serrure ne protège contre le carreau pété qui permets de passer par la fenêtre et ensuite parce qu'avec un double de clé on peut entrer sans effraction mais la disparition de l'écran plat 120cm du salon se remarque rapidement. Tandis que dans le monde numérique et de la sécurité, d'une part la clé c'est aussi bien la serrure, que la porte, que les murs, que les carreaux, c'est toute la maison et d'autre part avec une copie de la clé il est possible de dupliquer tout le contenu de la maison sans que ça saute aux yeux. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
