[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [gulliver] signatures de clés vendredi


From Samy Persehaie <samy dot p at free dot fr>
Subject Re: [gulliver] signatures de clés vendredi
Date Fri, 12 Dec 2003 08:22:24 +0100

On Thu, Dec 11, 2003 at 08:08:02PM +0100, Frédéric Guyomarc'h wrote:
> Je ne serai pas là... mais voici pour la clef que j'utilise
> 
> User ID     : Frédéric Guyomarc'h <Frederic dot Guyomarch at irisa dot fr>
> Clé ID      : 05D3E787
> Fingerprint : D0D3 BACE 6D19 A61D A2DF A8C5 6E39 C948 05D3 E787
Si le canal utilisé pour donner le fingerprint n'est pas sûr, ça ne sert
pas à grand chose de le donner.

Par exemple j'aurais pu créer une clé gpg ou je dis être "Frédéric
Guyomarc'h <Frederic dot Guyomarch at irisa dot fr>" et j'envoie un message à
gulliver en disant "voici mon fingerprint", le tout signé avec ma fausse
clé.

Donc pour les "signataires" de clés, ne pas signer si vous n'avez pas la clé
ou son fingerprint par un canal sûr (de la main à main, par téléphone si
on connaît la voix du propriétaire de la clé) mais jamais par email,
jabber, la_tribune, ssh, on n'est jamais trop prudent.

</pas raneau>
-- 
Samy Persehaie - GNU/Linux user - mailto:samy dot p at free dot fr
"En France, on n'a pas de pétrole, mais on a des idées...
En Bretagne, on a les deux !"