Je suis utilisateur d'OpenPGP (standard de GPG) depuis quelques années, et j'ai effectivement entendu que des fonctions de hashage comme MD5 ou SHA-1 ne devaient plus être utilisées.
Effectivement, tomber sur une page HTTPS utilisant SHA-1 comme algo de signature du certificat fait prendre le risque que le contenu ne soit pas authentifié, le chiffrement des données transitant n'étant pas mis en question.
Je me pose dans ce cas une question à propos d'OpenPGP :
Alors qu'il est possible avec GPG de signer des contenus avec SHA-2 (ex : SHA-256, SHA-512), lors des Signing Parties, chacun a la possibilité d'étendre le réseau de confiance en signant la clef publique de son voisin. En fait il ne signe pas la clef publique, mais son empreinte SHA-1 !
Le réseau de confiance, et toute la fiabilité des clefs reçues sur serveur de clefs, n'en est-il donc pas altéré ?
[^] # Re: HTTPS réputé théoriquement fiable depuis peu?
Posté par hirymnak . En réponse à la dépêche GPG - les concepts en clair et pédagogiquement. Évalué à 1.
Bonjour,
Je suis utilisateur d'OpenPGP (standard de GPG) depuis quelques années, et j'ai effectivement entendu que des fonctions de hashage comme MD5 ou SHA-1 ne devaient plus être utilisées.
Effectivement, tomber sur une page HTTPS utilisant SHA-1 comme algo de signature du certificat fait prendre le risque que le contenu ne soit pas authentifié, le chiffrement des données transitant n'étant pas mis en question.
Je me pose dans ce cas une question à propos d'OpenPGP :
Alors qu'il est possible avec GPG de signer des contenus avec SHA-2 (ex : SHA-256, SHA-512), lors des Signing Parties, chacun a la possibilité d'étendre le réseau de confiance en signant la clef publique de son voisin. En fait il ne signe pas la clef publique, mais son empreinte SHA-1 !
Le réseau de confiance, et toute la fiabilité des clefs reçues sur serveur de clefs, n'en est-il donc pas altéré ?
Cordialement