Re: Messages signés avecPGP rejetés par le Ministère de la c…

Page principale

Répondre à ce message
Auteur: Laurent Fousse
Date:  
À: guilde
Anciens-sujets: Re: Messages signés avec PGP rejetéspar le Ministère de la culture
Nouveaux-sujets: Re: Messages signés avec PGP rejetéspar le Ministère de la culture
Sujet: Re: Messages signés avecPGP rejetés par le Ministère de la culture
Bonjour,

* Olivier Allard-Jacquin [Fri, Dec 30, 2011 at 11:38:22AM +0100]:
> - interdiction des mails signés:
> - Je pense que les utilisateurs ne savent pas que la signature ne
> suffit pas à garantir l'authenticité de l'origine du message. Il faut
> pour cela que le message soit chiffré avec une clé validée par un
> intermédiaire de confiance. Aussi, et afin d'éviter une situation ou un
> utilisateur croit de bonne fois que l'identité de l'expéditeur est
> garantie (par une mécanisme de chiffrement non fiable, ie: auto-signé),
> les mails signés sont rejetés.


Il y a confusion entre chiffrement, signature et certification dans
ton paragraphe :

    - la signature est produite par un utilisateur à l'aide d'une clef
      et garantit le lien entre le contenu du message signé et cette
      clef ;
    - une certification est un type particulier de signature
      garantissant le lien entre une clef et une identité. Pour
      garantir le lien entre une identité et un message produit, les
      deux sont donc nécessaires ;
    - il n'y a rien d'invalide à utiliser une clef auto-signée, cela
      signifie simplement qu'il y a confusion entre l'autorité de
      certification et l'utilisateur signant le message. Ce n'est pas
      a priori moins fiable qu'une certification émise par une
      autorité classique dont certaines sont, on le voit tous les
      jours, pour le moins bancales. Cela a l'avantage (ou
      l'inconvénient) de mettre l'utilisateur recevant le message
      signé devant ses responsabilités, il doit prendre la décision de
      faire confiance à cette clef auto-signée en connaissance de
      cause et non pas déléguer sa décision à son navigateur (ou
      logiciel de courriel) et son « magasin de certificats ».
    - le chiffrement aussure la confidentialité du message chiffré, il
      s'agit d'une problématique orthogonale à celle de la signature.


Laurent.