Journal Quelqu'un est en train de spammer les serveurs SKS

• # Vaguement

  Posté par _kaos_ le 06 juillet 2019 à 10:19. Évalué à -4.

  

  Salut :)

  Disclaimer: Toute tentative d'humour serait fortuite !

  Merci pour cette old news qui est déjà remontée depuis quelques jours dans les cercles privés de gens autorisés à penser (donc pas moi).

  Sinon, comme le dit le second lien, il ne s'agit pas de spam, mais de poisoning.

  Par ailleurs, PGP n'est pas libre, c'est commercial. Mais c'est un détail.

  Enfin, ce sont (en partie) les implémentations qui sont cassées.

  Donc repartir d'une page blanche pour corriger un défaut ? Ça me semble précipité.

  Matricule 23415

  • [^] # Re: Vaguement

    Posté par GuieA_7 (site web personnel) le 06 juillet 2019 à 11:10. Évalué à 10.

    

    Par ailleurs, PGP n'est pas libre, c'est commercial.

    Attention à ne pas laisser sous-entendre que libre et commercial sont incompatibles ; le contraire de "libre" c'est "propriétaire".

    • [^] # Re: Vaguement

      Posté par _kaos_ le 06 juillet 2019 à 11:25. Évalué à -10.

      

      Salut :)

      Attention à ne pas laisser sous-entendre que libre et commercial sont incompatibles ; le contraire de "libre" c'est "propriétaire".

      Alors, d'abord, on est bien d'accord sur ces deux points :

      • je n'ai pas dit « propriétaire », juste « commercial »,
      • je n'ai pas dit que « libre » était « gratuit ».

      Donc jusque là, je ne sais pas ce qui est sous-entendu. :)

      Matricule 23415

      • [^] # Re: Vaguement

        Posté par raphj le 06 juillet 2019 à 15:05. Évalué à 6. Dernière modification le 06 juillet 2019 à 15:10.

        

        Ta formulation donne l’impression que tu opposes libre et commercial à plusieurs personnes, au moins à la personne qui a répondu à ton message et à moi.

        jusque là, je ne sais pas ce qui est sous-entendu

        Exactement ce que la personne t’a dit. Si ce n’était pas ton intention, il te suffit de clarifier. Effectivement, en lisant ton message de façon très littérale on ne devrait pas faire le lien qui donne l’impression du sous-entendu évoqué, mais ce n’est pas comme ça que la communication entre les gens fonctionne.

        Et sinon, Nextcloud c’est libre et commercial par exemple (du service est vendu autour du logiciel par les développeurs principaux). Du coup, le logiciel lui-même peut être considéré comme gratuit et commercial selon l’interprétation. Et PGP est propriétaire, mais parfois, quand on évoque PGP, on parle du standard, pas du logiciel lui-même, et en l’occurrence on est dans ce cas, donc tu mélanges vraiment tout.

        Entre parenthèses et complètement hors sujet : je trouve ton habitude de préfixer tous tes messages par "Salut :)" assez agaçante, surtout quand tu réponds aux mêmes personnes le même jour dans une même conversation.

        • [^] # Re: Vaguement

          Posté par raphj le 06 juillet 2019 à 15:31. Évalué à 4.

          

          quand on évoque PGP, on parle du standard, pas du logiciel lui-même, et en l’occurrence on est dans ce cas, donc tu mélanges vraiment tout

          Après, effectivement, ça n’aide pas que l’auteur du journal ait parlé du « logiciel de cryptage PGP » (on dit chiffrage ;-)), mais il n’a pas non plus affirmé que c’était libre et non commercial.

          • [^] # Re: Vaguement

            Posté par Régis le 06 juillet 2019 à 15:43. Évalué à 1. Dernière modification le 06 juillet 2019 à 15:43.

            

            J'ai voulu ne pas faire un copier-coller en anglais donc j'ai fait l'effort de traduire.

            Et tu a complétement raison l'erreur provient de ma traduction et non de l'article original :

            Unknown attackers are spamming a core component of the ecosystem of the well-known encryption software PGP, breaking users' PGP installations and clients. What’s worse, there may be no way to stop them.

            • [^] # Re: Vaguement

              Posté par raphj le 06 juillet 2019 à 16:37. Évalué à 3. Dernière modification le 06 juillet 2019 à 16:38.

              

              À ta décharge, l’article original aurait pu parler de l’écosystème PGP sans parler du logiciel PGP :-)

          • [^] # Re: Vaguement

            Posté par flan (site web personnel) le 06 juillet 2019 à 16:19. Évalué à 8.

            

            chiffrement est encore mieux ;) chiffrage est plutôt la mesure d'un coût.

            • [^] # Re: Vaguement

              Posté par raphj le 06 juillet 2019 à 16:22. Évalué à 3.

              

              Ah ah, oui, exactement. Ça m’apprendra à reprendre les gens sur le langage.

        • [^] # Re: Vaguement

          Posté par _kaos_ le 06 juillet 2019 à 16:14. Évalué à 0.

          

          Pour le sujet :

          Ta formulation donne l’impression que tu opposes libre et commercial à plusieurs personnes, au moins à la personne qui a répondu à ton message et à moi.

          Il n'y a aucun problème là dessus.

          Si ce n’était pas ton intention, il te suffit de clarifier.

          J'ai tenté de le faire, peut-être sans être adroit. Mais ta réponse ne m'aide en rien pour continuer.

          Je veux bien qu'on essaye de penser à ma place, mais les sous-entendus ça commence à devenir compliqué.

          D'autant plus que tu semble "me" lire :

          je trouve ton habitude[…]

          Donc tu connais très bien ma position là dessus.

          Pour le HS :

          je trouve ton habitude de préfixer tous tes messages par "Salut :)" assez agaçante

          Ah mince, alors après la loi « haine » il va falloir une loi « trop de courtoisie » ?

          Je n'attend pas de la personne à qui je répond d'être devant son écran 7/7 h24. Donc je lui dis juste un mot que j'espère gentil, introductif à la conversation entre gens « civilisés ».

          Si ça te brouille l'écoute, filtre tous les messages commençant par "[sS]alut :)", et pof tout le monde ira bien sans gros soucis majeur.

          Matricule 23415

          • [^] # Re: Vaguement

            Posté par raphj le 06 juillet 2019 à 16:34. Évalué à 3. Dernière modification le 06 juillet 2019 à 16:39.

            

            J'ai tenté de le faire, peut-être sans être adroit. Mais ta réponse ne m'aide en rien pour continuer.

            Je veux bien qu'on essaye de penser à ma place, mais les sous-entendus ça commence à devenir compliqué.

            Force est de constater qu’il y a eu une incompréhension qui a touché plusieurs personnes. Tu peux reprocher à plusieurs personnes qui ont compris ton message de travers de la même manière, mais ce n’est probablement pas la chose la plus judicieuse à faire.

            D'autant plus que tu semble "me" lire :

            je trouve ton habitude[…]

            Donc tu connais très bien ma position là dessus.

            Très honnêtement, non (mais j’aurais pu, en effet).

            je trouve ton habitude de préfixer tous tes messages par "Salut :)" assez agaçante

            Ah mince, alors après la loi « haine » il va falloir une loi « trop de courtoisie » ?

            Je n'attend pas de la personne à qui je répond d'être devant son écran 7/7 h24. Donc je lui dis juste un mot que j'espère gentil, introductif à la conversation entre gens « civilisés ».

            Si ça te brouille l'écoute, filtre tous les messages commençant par "[sS]alut :)", et pof tout le monde ira bien sans gros soucis majeur.

            Je te fais part de mon ressenti en espérant que ça serve à quelque chose, après tu en fais ce que tu veux, je note tes intentions (que j'avais devinées), et on est resté civil dans cet échange. Je ne voudrais pas d’une loi ou d’une règle sur ce sujet. Tout va bien ;-)

            Si ça te brouille l'écoute

            Elles vont bien :-)

            • [^] # Re: Vaguement

              Posté par _kaos_ le 06 juillet 2019 à 17:09. Évalué à -5.

              

              Total HS

              Force est de constater qu’il y a eu une incompréhension[…]

              Bon, ok, tu n'explique rien. Pas faute de demander.

              Donc tu connais très bien ma position là dessus.
              Très honnêtement, non

              Bon, tant pis, le filtre du salut a dû fonctionner. :)

              Je te fais part de mon ressenti en espérant que ça serve à quelque chose[…], on est resté civil dans cet échange.

              Je ne sais plus quand ni pourquoi j'ai commencé à avoir cette habitude et aucune envie de creuser.

              Si maintenant, ici, la règle c'est de ne plus dire "Salut !", ok, pas de problème.

              Elles vont bien :-)

              Attention : Il ne faut pas que le linge en séchant mouille les cordes.

              Matricule 23415

              • [^] # Re: Vaguement

                Posté par raphj le 06 juillet 2019 à 17:57. Évalué à 3.

                

                Bon, ok, tu n'explique rien. Pas faute de demander.

                Qu'est-ce que tu n'as pas compris ? Que les gens ont compris ton message de travers ?
                La partie de ton message « Ce n'est pas libre, c'est commercial » a été compris comme « Ce n'est pas libre puisque c'est commercial », parce que les gens ont cherché et créé un lien qui n'était pas donné par la virgule, mais qui avait l'air d'exister par le fait que les deux affirmations étaient mises l'une à côté de l'autre dans la même phrase.

                Si maintenant, ici, la règle c'est de ne plus dire "Salut !", ok, pas de problème.

                Je ne souhaite pas ça. Et puis, je ne suis pas dictateur, ici. Désolé de t'avoir ennuyé sur ce sujet, honnêtement c'est relativement mineur comme problème.

                Il ne faut pas que le linge en séchant mouille les cordes.

                En séchant le linge avant, peut-être que ça a plus de chance bien se passer.

                • [^] # Re: Vaguement

                  Posté par _kaos_ le 06 juillet 2019 à 19:05. Évalué à -5.

                  

                  Alors, salut :)

                  Je disais dans mon message initial :

                  Par ailleurs, PGP n'est pas libre, c'est commercial. Mais c'est un détail.

                  Effectivement, j'ai été négligent, je n'ai pas dit c'est propriétaire, alors que ça l'est.

                  En fait, pour aller plus loin, je pensais même dire dans mon message initial que c'était un coup d'un état. Puis je me suis ravisé, malgré le disclaimer, en me disant que certains allaient prendre ça au premier degré.

                  Donc en fait plus personne ne lit en moins de 180 caractères ? Ou en mettant des virgules à la place des points ?

                  Tu ne m'en dis toujours pas plus :

                  parce que les gens ont cherché et créé un lien qui n'était pas donné par la virgule, mais qui avait l'air d'exister par le fait que les deux affirmations étaient mises l'une à côté de l'autre dans la même phrase.

                  Je ne pense pas à la place des gens. Les gens me lisent, ou pas, il se formalisent, ou pas, ils utilisent 'moinsser"/"plusser" ou en confondant "d'accord"/"pas d'accord" à la facebook. C'est leur droit.

                  Il n'y a aucun problème là dessus.

                  Si tu regarde attentivement, la réponse 2 a habilement tronqué cette partie : Mais c'est un détail.

                  Alors peut-être, je ne suis pas virulent contre le propriétaire. Peut-être je survis avec beaucoup de logiciels libres. Tout ça, je le sais bien. Et si je peux, et en ai l'occasion, je répète à tour de bras que le libre n'est pas gratuit.

                  Alors, puisque tu semble dans la tête des gens, encore une fois : quel est ce lien ?

                  Matricule 23415

                  • [^] # Re: Vaguement

                    Posté par GuieA_7 (site web personnel) le 06 juillet 2019 à 20:38. Évalué à 5. Dernière modification le 06 juillet 2019 à 20:38.

                    

                    Si tu regarde attentivement, la réponse 2 a habilement tronqué cette partie : Mais c'est un détail.

                    Je n'ai pas tronqué "habilement" cette partie afin d'en changer le sens ; cette partie ne change absolument pas le sous-entendu de ta phrase.

                    Exemple:

                    "Par ailleurs, XXX n'est pas performant, c'est écrit en Python. Mais c'est un détail."

                    Bon et ben ça sous-entend clairement que le logiciel XXX est lent, et que c'est la faute (au moins en partie) de Python. Le "Mais c'est un détail" s'applique à l'ensemble le la première phrase, et n'enlève pas le sous-entendu de la première phrase.

                    En gros tes 2 phrases se comprennent (pour plein de gens) telle que:

                    "Par ailleurs, PGP n'est pas libre car c'est commercial. Mais c'est un détail."

                    (et donc commercial implique non-libre/propriétaire, ce qui est faux)

                    Et pas:

                    "Par ailleurs, PGP n'est pas libre, et en plus, et ceci n'a rien à voir avec le début de la phrase, c'est commercial. Mais c'est un détail."

                    C'est plus clair ?

                    • [^] # Re: Vaguement

                      Posté par _kaos_ le 06 juillet 2019 à 22:09. Évalué à -8.

                      

                      Salut :)

                      Je n'ai pas tronqué "habilement" cette partie afin d'en changer le sens

                      Bah si. Que tu le souhaite ou non, c'est tronqué.

                      Que tu le comprenne ou non n'est pas important. Enfin, pour moi.

                      Pour le reste écrit à propos de python et des lenteurs, comment dire. Tu as un soucis avec Python ?

                      Et si ma dernière phrase du premier commentaire faisait moins jaser ?

                      Une RAZ ? A cause d'un "bug" ?

                      Va falloir faire un post-mortem, et le toutim, chiant…

                      Matricule 23415

• # Closerfr.org...

  Posté par LaBienPensanceMaTuer le 07 juillet 2019 à 10:31. Évalué à 1.

  

  brisant ainsi les installations et les clients PGP des utilisateurs.

  Pouah!! RIEN QUE ÇA!
  Mais c'est graaave ma bonne dame.

  Plus sérieusement, c'est bien de relayer l'info mais qd tu le fais d'un site généraliste/poubelle (nextimpact… vice…) vers un site d'experts, la moindre des choses est de censurer le sensationnel clickbait à 2 sous.

  Non, les installations des gens ne sont pas compromises.
  Notre serveur privé SKS au boulot va bien.
  Mon trousseau de clef trustées aussi.
  SKS est un élément optionnel et, de toutes façons, les best practices recommandent de vérifier les signatures des clefs importées via un autre moyen (SMS ou dans la vraie vie) ….

  • [^] # Re: Closerfr.org...

    Posté par ekyo le 07 juillet 2019 à 12:34. Évalué à 5.

    

    Si je suis d'accord globalement avec ton commentaire, je le suis moins sur le fait que tu définisses linuxfr comme un site d'experts : ce site est fréquenté par des experts dans différents domaines d'ailleurs (dev, sys, reseau, chimie, physique, que sais-je), avec linux comme dénominateur commun c'est vrai, mais également par des non-experts qui veulent s'informer sur l'actualité autour de "linux", et ce même s'ils sont moins visibles.

    • [^] # Re: Closerfr.org...

      Posté par LaBienPensanceMaTuer le 07 juillet 2019 à 12:58. Évalué à 8.

      

      Remplacer experts par "population non friante de sensationnalisme" t'irait?

      • [^] # Re: Closerfr.org...

        Posté par passant·e le 08 juillet 2019 à 23:51. Évalué à -2.

        

        "population non friante de sensationnalisme pratiquant régulièrement le sexisme ordinaire"?

        Je trolle dès quand ça parle business, sécurité et sciences sociales

        • [^] # Re: Closerfr.org...

          Posté par LaBienPensanceMaTuer le 09 juillet 2019 à 00:01. Évalué à 2.

          

          Pourquoi sexisme ?

  • [^] # Re: Closerfr.org...

    Posté par goeb le 08 juillet 2019 à 09:02. Évalué à 5.

    

    Non, les installations des gens ne sont pas compromises.

    J'avais compris que c'était le serveur sks-keyservers.net qui était touché, et que si on rafraichissait ses clés GPG depuis celui-là, on risquait de se retrouver avec une base GPG énorme (certaines clés sont signées par 150000 autres) à tel point que les opérations locales GPG étaient ralenties au point d'être inutilisables.

    Donc il n'y a pas compromission, mais poste local possiblement inutilisable.

    Source :
    https://gist.github.com/rjhansen/67ab921ffb4084c865b3618d6955275f

    • [^] # Re: Closerfr.org...

      Posté par LaBienPensanceMaTuer le 09 juillet 2019 à 00:03. Évalué à 2.

      

      Quelle idée de rafraichir les clefs depuis un serveur aussi ! ;-)
      Plus sérieusement, ça va pourrir les recherches de nouvelles clefs, mais pour l'existant, je ne vois pas de menace.
      De base, lors de l'importation depuis un serveur, les clefs sont considérées non-trustées.

      • [^] # Re: Closerfr.org...

        Posté par Anonyme le 09 juillet 2019 à 15:30. Évalué à 5.

        

        De base, lors de l'importation depuis un serveur, les clefs sont considérées non-trustées.

        Le problème n’est pas la confiance. Le problème c’est que si une des clés dans ton trousseau de clés publique est empoisonné, alors dès que tu feras un gpg --refresh-keys, ton installation deviendra inutilisable.

        Ensuite, lorsque tu récupères des clés (depuis un serveur de clés ou non), GPG va lui assigner automatiquement un certain niveau de confiance basé sur les clés et signatures que tu connais déjà. C’est bien expliqué dans cette réponse sur StackExchange (notamment dans la partie Valid Keys).

• # Chaleur

  Posté par ekyo le 07 juillet 2019 à 12:25. Évalué à 6.

  

  Est-ce la température qui échauffe les esprits ? Ou le manque de congés ?
  Détendez-vous…

• # Tout un écosystème à reconstruire ?

  Posté par cmal (site web personnel) le 09 juillet 2019 à 19:31. Évalué à 5.

  

  Sequoia PGP est une réimplémentation de PGP en Rust. Au départ conçu pour tester leurs bibliothèques, Hagrid est un serveur de clés plus résilient que ses ancêtres de l'écosystème SKS.

  L'équipe a publié un article (en anglais) à propos de ce flooding.

  Oui, l'outillage a besoin d'amélioration. Mais nous ne pensons nécessaire de remplacer OpenPGP par des outils centralisés et non-standards. Et oui, nous avons confiance dans notre capacité à construire des outils de chiffrement résilients et fédérés basés sur OpenPGP.

  (…)

  L'écosystème OpenPGP traverse depuis plusieurs années une crise d'outillage. Le projet Sequoia essaye d'améliorer l'écosystème. Et nous pensons que la crise actuelle donne raison à notre approche : ni Sequoia ni Hagrid ne sont mis à mal par le flooding de certificats. (…)

  Si des personnes se sentent, le projet Sequoia mériterait vraiment sa propre dépêche !

  • [^] # Re: Tout un écosystème à reconstruire ?

    Posté par cmal (site web personnel) le 09 juillet 2019 à 19:48. Évalué à 5.

    

    D'ailleurs, j'oubliais de préciser : openpgp.org a adopté Hagrid pour son serveur de clés le mois dernier. Du coup, comme l'explique bluetouff :

    Robert J. hansen avertit qu'il faut cesser d'utiliser le réseau de serveur de clés SKS pour le moment et la solution palliative proposée est d'éditer son fichier gpg.conf pour retirer toutes les lignes contenant un keyserver puis d'éditer le dirmngr.conf et ajouter une ligne correspondant à un nouveau serveur de clé expérimental résistant à cette attaque et hors du réseau de serveurs de clés :

    keyserver hkps://keys.openpgp.org

• # Un vrai problème

  Posté par Cyril Brulebois (site web personnel) le 10 juillet 2019 à 23:38. Évalué à 3.

  

  TL;DR: Je ne suis pas du tout convaincu par un certain nombre de commentaires dont le résumé pourrait être « aucun problème, tout va bien ».

  Je vais rester concis et éviter les digressions quant à GnuPG v1 vs. GnuPG v2, les formats différents, etc., et me concentrer sur un exemple.

  Pour la dernière version de Tails, j'étais en charge de l'import de Tor Browser. D'où vérification de signature GPG sur le build importé. D'où besoin de récupérer la clé en question. D'où --search-keys et boum :

  gpg: error writing keyring '/home/kibi/.gnupg/pubring.kbx': Provided object is too large
  

  Et effectivement, des centaines de milliers de clés, ça n'était pas trop prévu.

  Contournement : utiliser gnupg1 (heureusement qu'on a toujours ce paquet dans Debian…), importer la clé par ce biais, puis la ré-exporter en mode minimal (sans les signatures) pour la réimporter via gnupg2. Pour fixer les idées :

  gpg: key 4E2C6E8793298290: 121241 signatures not checked due to missing keys
  

  Quant à la vérification de la clé, l'empreinte est publiée et vérifiable par un autre canal, donc pas de problème de ce côté-là.

  Si on creuse un peu, on se rend compte qu'upstream s'est mis en tête de publier une version 2.2.17 en catastrophe pour essayer de limiter la casse. Et ça n'est pas forcément brillant, si j'en crois l'analyse de mon « collègue Debian » Daniel Lange (cf. la partie « Update » au 09.07.2019).

  [Depuis, j'ai découvert que le projet Tor publie également les clés sur un site dédié, ce qui m'évitera les contorsions mentionnées ci-dessus.]

  Debian Consultant @ DEBAMAX

  • [^] # Re: Un vrai problème

    Posté par Anonyme le 11 juillet 2019 à 17:31. Évalué à 2.

    

    Je vais rester concis et éviter les digressions quant à GnuPG v1 vs. GnuPG v2, les formats différents, etc., et me concentrer sur un exemple.

    Sur les formats, tu as un début d’explication dans ce fil de @lambdafu sur Twitter.

    si j'en crois l'analyse de mon « collègue Debian » Daniel Lange

    Je comprends pas les gens qui trouve l’UI de GPG si mauvaise. OpenPGP et le Web of Trust ne sont pas des choses facile à appréhender et on peut vite faire des « erreurs » si on ne sait pas ce qu’on fait.

    [Depuis, j'ai découvert que le projet Tor publie également les clés sur un site dédié, ce qui m'évitera les contorsions mentionnées ci-dessus.]

    Tu peux aussi utiliser keys.openpgp.org qui t’évitera d’aller chercher des clefs dans des endroits différents pour chaque logiciel.

    • [^] # Re: Un vrai problème

      Posté par Cyril Brulebois (site web personnel) le 11 juillet 2019 à 19:08. Évalué à 1.

      

      Alors, non, keys.openpgp.org ne m'aide pas du tout :

      kibi@anchorage:~$ gpg --keyserver keys.openpgp.org --search-keys torbrowser@torproject.org
      gpg: error searching keyserver: No data
      gpg: keyserver search failed: No data
      
      kibi@anchorage:~$ gpg --keyserver keys.openpgp.org --search-keys 0xD1483FA6C3C07136
      gpg: data source: http://keys.openpgp.org:11371
      (1)   4096 bit RSA key 4E2C6E8793298290
      Keys 1-1 of 1 for "0xD1483FA6C3C07136".  Enter number(s), N)ext, or Q)uit > 1
      gpg: key 4E2C6E8793298290: no user ID
      gpg: Total number processed: 1
      

      Debian Consultant @ DEBAMAX

      • [^] # Re: Un vrai problème

        Posté par Anonyme le 11 juillet 2019 à 19:55. Évalué à 2. Dernière modification le 11 juillet 2019 à 20:00.

        

        Bah si, tu as pu récupérer ta clef non ?

        EDIT: Ok, autant pour moi. GPG rejette la clé, mais c’est pas super clair.

        • [^] # Re: Un vrai problème

          Posté par Cyril Brulebois (site web personnel) le 11 juillet 2019 à 20:27. Évalué à 1.

          

          UI irréprochable, non ? :o)

          Après t'avoir répondu, je me suis demandé si keys.openpgp.org était le remède miracle apparu <théorie-du-complot>comme par hasard</théorie-du-complot> au moment où les floods SKS se sont intensifiés. Je suis tombé sur cette analyse d'un développeur Gentoo : SKS poisoning, keys.openpgp.org / Hagrid and other non-solutions. Des points un peu différents de ceux soulevés par Daniel Lange (qui intervient d'ailleurs en commentaires) mais globalement le même constat : la situation est loin d'être idéale et les « solutions » n'en sont pas vraiment.

          Debian Consultant @ DEBAMAX

          • [^] # Re: Un vrai problème

            Posté par cmal (site web personnel) le 12 juillet 2019 à 12:04. Évalué à 3.

            

            Cet article sur le blog de mgorny est excellent.

            En gros, l'auteur explique que le serveur Hagrid de keys.openpgp.org ne résoud pas tout à fait le problème puisque son approche consiste à ne pas supporter les signatures tierces (pour le moment), mettant à mal la toile de confiance (Web of Trust).

            Effectivement, ce sont des problèmes qu'il faudra adresser dans le développement de Hagrid, qui est loin d'être complet en terme de fonctionnalités (il s'agit à la base d'un simple proof-of-concept).

            La RFC "Abuse-resistant OpenPGP Keystores" propose dans son chapitre 6 ("Attestation par le serveur de signatures tierces") que le serveur de clés devrait authentifier les tiers signant une clé.

            Daniel Lange, lui, propose en commentaire une solution potentiellement plus simple (et à mon sens radicalement plus efficace) :

            [Ce problème] est mieux résolu en requérant une réciprocité de signature de clés.

            En gros, traiter le processus de signature de clé comme un processus bidirectionnel et non comme une attestation (unidirectionnelle) établie par une tierce personne.

            Avec une telle implémentation, il faudrait l'accord explicite d'une personne pour pouvoir signer sa clé (ou en tout cas publier la signature sur un serveur de clés). Si ça n'est pas possible/souhaitable dans 100% des cas de figure, cela correspond à l'usage que font les humainEs de OpenPGP. Qu'en pensez-vous ?

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.