Comment échanger des clefs pgp ?

Nikonoel · Le 07/06/2009, à 17:34

Salut,

Suite à un article sur le blog de ®OM, je me suis (enfin) décidé à créer ma clef pgp ainsi qu'à prendre la décision de chiffrer le plus de conversations possible. Voici donc une conversation que j'ai eue hier avec notre Grand_Grunt national :

[11:31:17] Nikonoel: Salut, est-ce que tu as une clef pgp ?
[11:31:32] Rémi : Ouais
[11:31:37] Rémi : T'habites où?
[11:31:42] Nikonoel: Bogotá
[11:31:50] Rémi : Ouch
[11:32:07] Rémi : Tu sais que pour signer la clef de quelqu'un, c'est mieux d'avoir vu sa carte d'identité?
[11:32:40] Nikonoel: oui c'est vrai, mais si tu vas chercher la clef sur mon serveur @home, il y a peu de risque de man in the middle
[11:32:49] Rémi : looool
[11:32:57] Rémi : Et comment je serai certain que c'est ton serveur?
[11:33:07] Rémi : Comment je sais qui tu es?
[11:33:25] Rémi : Es-tu le même Nikonoel que hier, ou bien un flic sur les serveurs de l'APINC?
[11:33:31] Nikonoel: Peu importe de savoir qui je suis, l'important c'est de savoir que je suis la même personne que tu as rencontrée sur le forum ubuntu
[11:33:51] Rémi : Prouve le
[11:33:55] Nikonoel: Or, mon serveur est ma signature sur le forum ubuntu
[11:34:05] Rémi : Et?
[11:34:20] Rémi : Ce qui compte c'est la fingerprint de ton serveur SSH
[11:34:24] Rémi : T'osais pas me proposer de la télécharger en HTTP? o-O
[11:34:29] Nikonoel: lol
[11:34:29] Nikonoel: si
[11:34:34] Rémi : ...
[11:34:44] Rémi : Pour laisser passer ta clef va savoir où?
[11:34:58] Rémi : Avec va savoir qui qui peut la récupérer et la remplacer par une autre?
[11:35:01] Nikonoel: T'as un meilleur moyen ?
[11:35:04] Rémi : Et paf, man in the middle!
[11:35:08] Rémi : Y'a pas de moyens
[11:35:24] Rémi : Si encore le forum Ubuntu était en HTTPS, tu aurais pu la poster entre deux balises [ code ]
[11:35:26] Rémi : Mais là je vois pas.

D'où mes deux questions :
- Comment échanger des clef pgp avec des gens rencontrés sur internet (notamment sur le forum ubuntu-fr) ?
- Dans le cas où l'on ne peut s'assurer de faire l'échange de manière entièrement sécurisée, ne vaut-il quand même pas mieux le faire ? En effet, au cas où quelqu'un espionne déjà nos conversations, le fait qu'il joue au man in the middle ne change pas grand chose, il continue à nous espionner. S'il n'y a pas de man in the middle, alors on gagne en sécurité.

Qu'en pensez-vous ?

Je vous laisse débattre, je reviens tard ce soir

Dernière modification par Nikonoel (Le 07/06/2009, à 17:47)

Compte0 · Le 07/06/2009, à 18:48

Si le but est d'identifier quelqu'un que tu connais pas... Pas facile. Par contre, une fois qui tu connais la personne, trouver un canal sécurisé n'est pas trop dur. Le chiffrage e2e de Gajim devrai pouvoir suffire. La question reste d'avoir un secret partagé qui permet d'authentifier la personne...

꙳♒⏅⚓ ЅаίԼίՈԶ ⚓⏅♒꙳ · Le 08/06/2009, à 00:58

le principe de vérification de gnuPG ou open PGP est simple et génial : si Pierre identifie parfaitement Paul qui lui même identifie parfaitement Jacques, alors Il sera proposé à Pierre de reconnaitre Jacques quasi parfaitement.

Il existe de plus des Keysigning parties (comme au rmll par exemple), des rencontres où un maximum de clés sont certifiées, avec le fingerprint et la vérification d'une pièce d'identité, afin d'accélérer cette reconnaissance en chaîne par signature.

Petit lien simple et intéressant sur ce sujet précis: http://openpgp.vie-privee.org/gpg-intro-5.html

Dernière modification par superpapalolo (Le 08/06/2009, à 11:15)

Nikonoel · Le 08/06/2009, à 17:56

@superpapalolo Merci pour le lien, je ne savais pas que des keysigning parties existaient
@Compte0 Est-ce qu'on ne peut pas se dire que de toutes façons on n'a rien à perdre ? OK, je ne suis pas sûr d'identifier parfaitement mon interlocuteur s'il y a déjà un man-in-the-middle. Donc quoi qu'il arrive, l'homme du milieu espionnera nos conversations, qu'il y ait échange de clefs ou pas ! Cependant, si l'homme du milieu n'est pas encore là, je m'assure de ne pas pouvoir être espionné par le futur...
Donc 2 possibilité :
- Il y a un homme au milieu qui espionne nos conversations et donne une fausse clef. Dans ce cas on reste au statut quo et il faut rester conscient de cette possibilité.
- Il n'y a pas pour l'instant d'homme au milieu, donc l'échange de clef se passe bien et personne ne pourra plus espionner nos conversations. On évite cependant de parler de terrorisme au cas où on serait encore dans la première possibilité.

Qu'en pensez-vous ? Et dans le cas précis d'un utilisateur du forum d'ubuntu, comment l'identifier (je me fous de connaitre son vrai nom je veux être sûr de posséder la clef de l'utilisateur du forum et pas de quelqu'un d'autre) ?

꙳♒⏅⚓ ЅаίԼίՈԶ ⚓⏅♒꙳ · Le 08/06/2009, à 19:50

Nikonoel a écrit :

@superpapalolo Merci pour le lien, je ne savais pas que des keysigning parties existaient
@Compte0 Est-ce qu'on ne peut pas se dire que de toutes façons on n'a rien à perdre ? OK, je ne suis pas sûr d'identifier parfaitement mon interlocuteur ...
Qu'en pensez-vous ? Et dans le cas précis d'un utilisateur du forum d'ubuntu, comment l'identifier (je me fous de connaitre son vrai nom je veux être sûr de posséder la clef de l'utilisateur du forum et pas de quelqu'un d'autre) ?

Je pense que tu as tord, car tu peux être sûr de posséder la bonne clef en faisant quelques vérifications. Imaginons que je veuille être sûr que ta clef prétendue est bien la tienne, mais comme tu habites loin au nord de Garonne et que tu ne viendras pas aux rmll à Nantes, je ne pourrai pas vérifier ton identité de visu. Hors, je travaille avec un jean-louis (clef certifiée à 100%) qui travaille avec jean de abuldeu (clef certifiée à 100% pour lui et donc pour moi) qui travaille avec Eric de Ryxeo (clef certifiée à 100% pour jean, donc pour jean-louis donc pour moi) etc... et cela arrive jusqu'à un Nikonoel que je ne connais pas, mais qui est certifié à 100% par un membre de mon cercle de sécurité. Dans un monde parfait, sans erreur humaine, il suffirait de 6 contacts pour certifier la terre entière, malheureusement, l'erreur et l'approximation sont nos faiblesses et cela fait notre charme

Donc, je ne me contente pas d'une signature pour certifier une clef trouvée sur un serveur comme sûre, mais de 3 signatures de mon cercle de sécurité pour donner un statut "pleinement confiance" (ou niveau 3/4), et je ne considère comme clefs parfaitement sûres "confiance absolue" (ou niveau 4/4) que celle qui m'ont été données physiquement.

Ensuite, pour parler de ta signature :

Mon serveur: http://serveur.nikonoel.fr
Jabber : nikonoel@jabber.fr
Clef pgp : http://serveur.nikonoel.fr/pgp.asc

L'adresse bloque au moment où je t'écris, il vaudrait mieux une adresse du type :
http://pgp.mit.edu:11371/pks/lookup?op= … 0x9178CEF8 en remplaçant 9178CEF8 par les 8 derniers caractères de ton empreinte (fingerprint) ou tout simplement les 8 derniers caractères de ton fingerprint (qu'on appelle aussi l'identité ou ID de la clef publique). Il suffirait de rechercher cette ID sur un serveur de clef pour l'importer. Auparavant, il faut bien sûr que tu envoies ta clef sur un serveur de clefs publiques :
dans thunderbird : openPGP->gestion des clefs (et un clic sur ta clef)->serveur de clefs->envoyer des clefs publiques->choisir un des serveurs (ils se synchronisent au moins une fois par jour)->OK

PS fais ctrl+A et regarde ma signature.

Nikonoel · Le 08/06/2009, à 21:22

@superpapalolo
Bonne idée, j'ai bien envie de tenter l'expérience et de tenter d'obtenir ta clef de manière plus sûre que l'http... En l'occurence j'habite très loin au sud de la garonne (voir mon premier post ), mais on va tester si tu veux bien. Je te contacte par jabber.

Vu · Le 09/06/2009, à 01:20

superpapalolo a écrit :

Hors, je travaille avec un jean-louis (clef certifiée à 100%) qui travaille avec jean de abuldeu (clef certifiée à 100% pour lui et donc pour moi) qui travaille avec Eric de Ryxeo (clef certifiée à 100% pour jean, donc pour jean-louis donc pour moi) etc... et cela arrive jusqu'à un Nikonoel que je ne connais pas, mais qui est certifié à 100% par un membre de mon cercle de sécurité. Dans un monde parfait, sans erreur humaine, il suffirait de 6 contacts pour certifier la terre entière, malheureusement, l'erreur et l'approximation sont nos faiblesses et cela fait notre charme

C'est beau le web of the Trust

꙳♒⏅⚓ ЅаίԼίՈԶ ⚓⏅♒꙳ · Le 09/06/2009, à 07:27

Vu a écrit :

C'est beau le web of the Trust

C'est en effet comme cela que Phil Zimmermann avait appelé la technique de signature des clefs publiques entre internautes de cercles de confiance : "la fiabilité du web" (ça semble pourtant un oxymore pour un non spécialiste)

La fiabilité du Web comprend les deux modèles précédents (fiabilité hiérarchique et fiabilité directe), mais ajoute également la notion selon laquelle la fiabilité dépend de l'opinion de l'utilisateur (qui a une vue réaliste) et l'idée que plus on dispose d'informations, mieux c'est. Il s'agit donc d'un modèle de fiabilité cumulatif. Un certificat peut être rendu fiable directement ou par une chaîne remontant vers un certificat par défaut à fiabilité directe (le gestionnaire en chef de la sécurité) ou par un groupe de correspondants.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 07/06/2009, à 17:34

Comment échanger des clefs pgp ?

#2 Le 07/06/2009, à 18:48

Re : Comment échanger des clefs pgp ?

#3 Le 08/06/2009, à 00:58

Re : Comment échanger des clefs pgp ?

#4 Le 08/06/2009, à 17:56

Re : Comment échanger des clefs pgp ?

#5 Le 08/06/2009, à 19:50

Re : Comment échanger des clefs pgp ?

#6 Le 08/06/2009, à 21:22

Re : Comment échanger des clefs pgp ?

#7 Le 09/06/2009, à 01:20

Re : Comment échanger des clefs pgp ?

#8 Le 09/06/2009, à 07:27

Re : Comment échanger des clefs pgp ?

Pied de page des forums