Hello world :) En ce qui concerne la sécurisation des échanges, les 2 méthodes reposent au plan technique sur les mêmes bases cryptographique, à savoir la cryptographie asymétrique à base de bi-clef, une publique et l'autre privée. La sécurisation a base de certificats X509 est ce que nous utilisons tous les jours lorsque nous accédons à un serveur web en SSL. Il est donc bien adapté à l'échange de flux en temps réel et à la vérification de l'identité d'un site ou correspondant sans avoir eu d'information préalable sur lui. Le PGP est principalement utilisé pour stocker des données personnelles et échanger des messages de façon asynchrone (comme un courriel).
La principale différence repose dans la conception des 2 méthodes : - X509 est un système hiérarchique, la source de la confiance est l'Autorité de Certification qui émet les certificats et vérifie l'identité du possesseur du certificat. Evidemment dans des AC gratuites comme startssl, cette vérification d'identité est très faible et l'usurpation d'identité assez aisément réalisable. Cette conception est donc bien adapté a des organisations ou une centralisation des contrôles et de la confiance est réalisable. - PGP à l'inverse est un système décentralisé, reposant sur un maillage de personnes qui se connaissent de proche en proche et échangent les informations sur l'identité des personnes qu'elles connaissent. Le système n'a donc pas besoin d'un serveur lourd à mettre en place et à opérer ni de procédures de certifications complexes. Il repose sur la responsabilisation de chacun puisque chacun détermine le niveau de confiance qu'il accorde à son correspondant. PGP reproduit au niveau informatique le fonctionnement des relations humaines dans le maillage social de la vrai vie et est donc bien adapté a des groupes de personnes se connaissant, même de façon indirecte, qui sont en relation directe régulière ou épisodique. J'insiste par contre sur le caractère asynchrone des opérations PGP : vous encryptez un message ou un fichier puis vous le transmettez pour qu'il soit lu de l'autre coté, vous n'encryptez pas un flux à la volée comme avec SSL. Voilà voilà, si vous voulez en savoir plus je donne un cours de sécurisation des accès réseau à la fac de Nice aujourd'hui et demain ainsi que le 22 et 23 :) Bonne journée à tous, Pascal Le dimanche 07 février 2010 à 10:20 +0100, Véronique Fritière a écrit : > Coucou tout le monde, > > Je ne suis pas spécialiste en sécurité mais il m'arrive d'échanger des > données (mot de passe, etc.) par courriel, avec chiffrement de signature. > > <URL:http://fr.wikipedia.org/wiki/Pretty_Good_Privacy> > > [extrait] > > Pretty Good Privacy (ou PGP) est un logiciel de chiffrement et de > signature de données utilisant la cryptographie asymétrique mais > également la cryptographie symétrique. Il fait donc partie des logiciels > de cryptographie hybride. > > [/extrait] > > En parcourant un fil de discussion sur une liste, j'ai pris connaissance > d'une forme de certification : X.509 > > http://fr.wikipedia.org/wiki/X.509 > > [extrait] > > X.509 est une norme de cryptographie de l'Union internationale des > télécommunications pour les infrastructures à clés publiques (PKI). > (...) Il repose sur un système hiérarchique d'autorités de > certification, à l'inverse des réseaux de confiance (comme PGP), où > n'importe qui peut signer (et donc valider) les certificats des autres. > > [/extrait] > > Info : certificats X509 gratuits => <URL:http://www.startssl.com/> > > J'en appelle aux experts pour savoir si l'une ou l'autre de ces méthodes > apporte des avantages indéniables, et, si oui... lesquels :-) > > Merci d'avance de vos lumières, > > Salutations ensoleillées, > Diffusez cette liste aupres de vos relations :-) Linux Azur : http://linux-azur.org Vous etes responsable de vos propos. *** Pas de message SMS, HTML ni de PJ SVP ***
