Le lundi 21 mai au soir, à Paris, se tiendra une conférence organisée par Parinux, expliquant les principes de base de la cryptographie et leur application dans les systèmes SSL et PGP. Cette conférence sera suivie par une signing-party PGP et CAcert.
- Contenu : explications sur la cryptographie, SSL et PGP puis signing-party
- Lieu : EPN la Bourdonnais, 105 avenue de la Bourdonnais, 75007 Paris
- Date : 2012-05-21 18:45+02:00
- Durée : 02:15
Pour le déroulement de la signing-party, il est demandé de :
- générer un paire de clefs si vous n'en avez pas déjà une ;
- envoyer votre clef publique et vous inscrire ;
- imprimer quelques exemplaires de votre empreinte de clef ;
- imprimer la liste des participants qui vous sera envoyée ;
- venir munis de tout cela ainsi qu'un stylo et d'une (ou plusieurs) pièce d'identité.
Conférence
Cette conférence commencera à 18:45. Elle aura pour but de comprendre les principes et les enjeux des systèmes cryptographiques utilisés aujourd'hui grâce à :
- une brève description de l'histoire de la cryptographie ;
- une petite explication des principes mathématiques des cryptosystèmes asymétriques ;
- une explication des systèmes de certification ;
- une présentation pratique du système OpenPGP avec son implémentation libre GnuPG.
Signing-party
À l'issue de la conférence, vers 20:30, nous procéderons à une signing-party. Il s'agira pour les participants de vérifier mutuellement leur identité afin de certifier leurs clefs PGP.
Cette signing-party sera également l'occasion, pour les utilisateurs de l'autorité de certification SSL CAcert, de certifier leur identité dans le cadre de cette organisation.
Détails pratiques
Il vous est demandé de vous inscrire afin d'évaluer le nombre de participants.
Si vous n'utilisez pas encore PGP, vous pouvez générer une paire de clefs avec la commande suivante (ou en cliquant dans un outil graphique) :
$ gpg --gen-key
Pour faciliter le déroulement de cette signing-party, veuillez envoyer votre clef publique. Vous pouvez exporter votre clef dans un fichier avec la commande suivante (indiquez votre adresse à la place de celle de Tintin…) :
$ gpg --armor --export tintin@example.com
Pour permettre aux participants tardifs de participer, il sera également utile de vous munir de morceaux de papier indiquant votre empreinte de clef ; vous pouvez en générer avec l'outil gpg-key2ps
du paquet Debian signing-party, ou copier plusieurs fois la sortie de la commande :
$ gpg --fingerprint tintin@example.com
Le jour venu, vous aurez besoin à cette signing-party d'un exemplaire imprimé par vos soins de la liste des participants qui vous sera envoyée au préalable, ainsi que d'un stylo.
Pour les utilisateurs de CAcert, veuillez venir avec une bonne liasse de formulaires d'accréditation pré-remplis à votre nom (en tant que demandeur et en tant qu'accréditeur pour ceux qui ont assez de points pour cela).
Aller plus loin
- Page de l'événement (115 clics)
- Inscription (40 clics)
# Conférence filmée?
Posté par Sclarckone . Évalué à 1.
J'aurais bien aimé y assister mais je ne pourrai pas…est-il prévu de filmer la conférence?
[^] # Re: Conférence filmée?
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 2.
Ça m'étonnerait franchement, mais je publierai un document écrit après.
[^] # Re: Conférence filmée?
Posté par pizaninja . Évalué à -3.
Assurément, je lirai ce document!
# Pièce d'identité
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 3.
… et d'une (ou mieux plusieurs) pièce d'identité, évidemment ! Désolé pour cet oubli.
[^] # Re: Pièce d'identité
Posté par Benoît Sibaud (site web personnel) . Évalué à 2.
Ajouté dans la dépêche.
[^] # Re: Pièce d'identité
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 2.
Merci bien !
# Partager son empreinte via QR Code ?
Posté par Mathieu . Évalué à 1.
Simple curiosité :
Comme je n'ai jamais participé à de signing-party, je me demandais s'il était d'usage de présenter son empreinte de clé publique via un QR Code ?
[^] # Re: Partager son empreinte via QR Code ?
Posté par Larry Cow . Évalué à 2.
Ça ne me paraît pas très pertinent, puisque le but de l'empreinte est justement de vérifier visuellement la concordance entre celle du serveur de clé et celle annoncée comme "bonne" par son propriétaire. C'est plus facile de comparer des chaînes de caractères que des pixmaps, non?
[^] # Re: Partager son empreinte via QR Code ?
Posté par Mathieu . Évalué à 1.
Tout à fait mais je pensais pas du tout à la comparaison des images entre elles.
J'imaginais plutôt l'utilisation d'un QR-Code pour l'échange d'empreintes afin de remplacer le papier ou les stylos :
:-)
[^] # Re: Partager son empreinte via QR Code ?
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 3.
Le code matriciel ne sert ici que de mode de transport, il sera décodé en chaîne hexadécimale avant d'être utilisé sur l'ordinateur pour télécharger la clef.
D'ailleurs, il est inutile de vérifier que l'empreinte notée correspond à celle de la clef téléchargée lorsqu'on a récupéré celle-ci par son empreinte plutôt que par son identifiant court : elles correspondent forcément, puisqu'on a demandé au serveur « donne-moi la clef qui a telle empreinte » ! Quoique, pour être vraiment sûr, il faudrait vérifier que GnuPG gueule si le serveur lui fournit une clef différente de celle demandée.
[^] # Re: Partager son empreinte via QR Code ?
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 4.
C'est pertinent dans le cadre d'une signing-party ad-hoc (artisanale, si vous voulez) où les gens se rencontrent librement. En effet, dans ce type de séance, on échange ses cartes de visite PGP : le signataire vérifie alors que le demandeur lui fournit bien volontairement sa clef, peu importe alors dans quel du moment qu'il suffit à l'identifier sans ambiguïté.
Pour voir ça à la première personne : en tant que demandeur, tu demandes au signataire de signer cette clef après avoir vérifié que ton identité civile correspond bien au nom mentionné dedans. Peu importe le format auquel tu lui fournis cette clef du moment que ça ne lui permet pas de se tromper.
En revanche, dans le cadre d'une signing-party organisée comme celle-ci, ça n'est pas vraiment pertinent, puisque je préparerai une liste des participants, avec les empreintes de clefs de chacun, que vous pourrez vérifier au préalable. Cela ne servira que pour les participants de dernière minute, pour qui cela sera une signing-party ad-hoc.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.