On 2018-03-08 13:59:02 +0100, hamster wrote: > Absolument. La clef publique est publique, et peut donc etre publiée > largement. Mais comment etre sur que le fichier que l'autre recevra contiens > bien ta clef a toi ? > > Imagine qu'un petit malin arrive a pirater la connexion de ton correspondant > (au hazard, un barbouze infiltré chez son fournisseur d'accès…). Alors quand > ton correspondant téléchagera ta clef publique sur ton site, le petit malin > pourra très bien l'intercepter et la remplacer par sa clef publique a lui. > Ensuite, a chaque fois que tu enverra un document signé, il le déchiffrera > avec ta clef publique, fera les modifications qu'il voudra, le signera avec > sa clef privée et l'enverra a ton correspondant. Ton correspondant le > déchiffrera avec ce qu'il croit etre ta clef publique et aura confiance dans > le document falsifié. C'est une attaque qui s'appelle "man in the middle".
La mettre sur son propre serveur en https limite ce genre d'attaque. -- Vincent Lefèvre <[email protected]> - Web: <https://www.vinc17.net/> 100% accessible validated (X)HTML - Blog: <https://www.vinc17.net/blog/> Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)
