Salut > > Je vais prendre le mouvement � rebrousse poil en disant que > �a ne sert � rien: Le fait que cet e-mail, sign� Baptiste > Mathus, est garanti par la cl� publique post�e ailleurs > par Baptiste Mathus, ne veut pas dire que c'est le m�me > Baptiste Mathus qui travaille ici ou l�, ni m�me que > Baptiste Mathus existe.
Tout � fait, et c'est pour cela qu'il y a la fingerprint pour valider ou non la clef de quelqun en voyant cette personne en vrai, ainsi que les reseaux de confiance, que les tutos recommandent de faire quelques v�rifications etc.. > > L'authentification ne sert que si une personne a une > existence physique. Au mieux, il faut l'avoir rencontr�e et > re�u sa cl� publique en main propre. Pas r�element, du moins �a complique fortement dans pas mal de cas! La meilleure solution semble d'avoir r�cup�r� sa clef gpg sur le net, puis d'avoir rencontr� la personne avec sa carte d'identit�, et avoir vu son fingerprint en main propre, pour pouvoir comparer ensuite. De plus avec les reseaux de confiance (http://www.vilya.org/gpg/gpg-intro-5.html) on peut ainsi donner une certaine (certe relative) l�gitimit� � une clef. De toute facon, au niveau du don en main propre, la feuille/disquette/usbkey/etc contenant la clef peut etre fauss�e, entre le moment o� la personne l'a pr�par�e et le moment o� elle le donne, alors qu'elle peut apprendre par coeur et aisement un fingerprint... > Dans les r�ponses, la suggestion de mettre la cl� publique > sur un site web r�f�renc� dans le pied du mail touche � > l'absurde: on garanti que ce mail est �crit par soi-m�me car > il est �crit par soi-m�me (et vous voyez bien, je vous donne > aussi la cl� et elle dit bien que c'est bien moi). Pas necessairement.. Bien sur que prendre une clef dans une signature de mail, � la va vite et sans la v�rifier et sans chercher � savoir si c'est la bonne rel�ve de la b�tise, voir de l'absurde, mais cette clef publique peut/doit servir (uniquement) de base, puis faire l'objet de diverses v�rifications, telles que r�seau de confiance, reflexions sur sa provenance, v�rification(s) de fingerprint en contact "physique" etc... Probleme: la personne peut porter un masque, ou fausser ses papiers d'identit� mais l�... :) D'ailleur � ce niveau l�, un serveur bien s�curis� peut etre parfois plus fiable que l'illusion des sens de voir la personne en vrai... (Au fond, le doute hyperbolique, y'a pas que Descartes qui peut y avoir droit) Finalement et dans tous les cas, il semble que dans un but de communication num�rique, attendre qu'un interlucoteur, potentiellement � l'autre bout du monde, et occup�, ne pouvant pas necessairement se d�placer donne lui m�me, et en main propre sa longue clef publique serait quelque chose de totalement absurde, quand en cumulant r�seaux de confiance, reflexion, �ventuellement t�l�phone, webcam ou tout autre moyen, on peut finir par etre (+) s�r ce la validit� de cette clef.. -- Ruben - [gnupg key Ox8E91859]
