Au risque de me retrouver une fois de plus seul au monde, voici mon avis sur le sujet :

Avec un mail traditionnel, quelqu'un de raisonnable se méfie de son destinataire. avec cette clé plus personne ne s'en méfiera. Je part du principe que depuis les débuts de l'informatique aucune protection ne s'est avérée inviolable, le jour ou celle-ci sera cassée, celui qui recevra un mail crypté par une personne mal intensionnée ne s'en méfiera pas. Ce système est donc pour moi bien plus dangereux que de ne pas l'utiliser.

Je reste donc septique quand à l'utilisation de cette soit-disans protection.

Pour ma part, j'ai créé cette clé, mais ne l'utiliserais pas, et ce pour que l'on se méfie toujours des messages provenant de ma boite mail, ou du moins, avec mon adresse en emeteur...

T'as le droit d'être parano...

n'empeche, entre une signature controlable (meme violable) et pas de signature, je pense que la signature apporte un gain : on est plus (pas complétement) sur de la provenance.

Mais comme tu le fais remarquer, rien n'est sans doute inviolable.

sauf qu'avec les plus gros supercalculateur du moment, il faut des centaines d'années pour casser une clé de ce type. Alors bien sur, dans 20 ans, on en sait rien, mais dans ce cas, il faudra utiliser des algorithmes de cryptage plus longs...

Cette protection ne remplace en rien la méfiance je pense, pourquoi donc perdre du temp avec si au final la méfience est toujours de mise?

Maston28, tu résonnes en fonction de la méthode de cassage que tu connais, mais rien ne prouve qu'il en existe aucune autre plus efficace... L'auteur de cet algorythme ne pourrais rien y faire, lui?

documente toi, l'algorithme est connu de tous, il est meme au programme de terminale S au lycée en france, donc...
il s'agit de factorisation de nombres premiers entre eux et tres grands

...si j'envoie un message ayant pour origine ton adresse email et que j'y joint ta clé publique... qui peut dire que le message ne viens pas de toi?

signer un message, ce n'est pas joindre sa clé publique, mais créer, à partir de sa clé privée un code correspondant au message, et déchiffrable avec la clé publique. ainsi, si le message ne correspond pas à la signature, la vérification dira que la signature est non-valide.

...pour passer du temp à créer une clé à chaque message que l'on envoi... fort pratique...

essaie au lieu de dire ca :)
signer un message de plusieurs mégas se fait en moins de 0.1 secondes chez moi

Je signe tous mes emails depuis prés de 2 ans.
Je ne me rends meme plus compte que je le fais tellement c'est rapide.

En fait, j'ai l'impression que zarbi27 ne comprend pas vraiment le principe de fonctionnement des signatures gpg (et des signatures electronique en particulier).

Elles servent a une seule chose : autentifier la provenance d'un message.
La signature se fait avec la clé privé et la vérification avec la clé publique disponible, par exemple sur pgp.mit.edu
On ne peut signer un message avec ma signature que si ma clé privée est compromise (par exemple si un malin est devenu propriétaire de mon compte sur ma machine perso).

Le chiffrage lui utilise un cheminement inverse, on chiffre un message pour quelqu'un en utilisant sa clé publique et seule (sauf algorithme révolutionnaire de factorisation de nombre premier ... improbable) la clé privé peut déchiffrer le message.

Bien sur, on peut imaginer casser la clé (mais je crois que c'est difficile: pas ou sens ou je ne sais pas le faire, mais au sens que "personne" ne sait le faire sans factoriser le nombre produit de deux trés grands nombres premier 'aléatoires'). Il ne faut bien sur pas croire que c'est un algorithme "sur", mais c'est certainement l'un des plus sur que l'on connaisse.

...de passer par une console à chaque fois que l'on anvoie un message?

Ne citez pas les compatibilité avec les clients mail : j'utilise un webMail qui a le gros avantage de conserver les messages sur internet, deisponibles de n'importe quel poste, et je ne dois pas être le seul (je vous rassure ce n'est pas du yahoo ou je ne sais quoi mais un hébergement privé).

Dans ce cas de figure, passer par une console pour signer un message ou pour confirmer l'origine d'un autre me parait trop contraignant.

Autre chose :

Si aujourd'hui je créé une clé en entrant les informations de Maston28 (nom, prénom, email, pseudo)... La clé obtenue ne serais pas parfaitement identique mais me permetterais de signer des messages comme provenant de lui, puisque la vérification de la clé renverrais ses informations...

D'ou l'interet de faire signer sa clé (celle de maston) par moi en personne : de cette façon je suis sur que c'est bien la bonne clé; ou de la faire signer par une personne de confiance.

Pour ce qui est du webmail c'est effectivement un probléme : mais pas insoluble on peut imaginer une applet java qui fasse le travail, mais ça reste à développer.

java ou même perl (ca serait libre). Je pense que c'est faisable, le problème étant que la clé privée devrait être sur le serveur du webmail ==> pas cool. Il se poserait aussi le problème de la confidentialité. Solution, établir une connection ssl (aujourd'hui, utiliser un webmail sans https/ssl me semble plus ou moins idiot), et que le message à crypter vienne sur le poste client, soit crypté, puis reparte ensuite vers le serveur. Ainsi, en aucun cas la clé ne transite sur le net, et la confidentialité est ainsi assurée. Reste le temps de transfert. Mais sur un message de quelques kos, le tout se fait en moins de 10 secondes en RTC, et dans un temps très faible en adsl ou autre connection haut début.
Je vais regarder s'il existe de tels projets pour des webmails libres comme squirremail ou autres...

Pour utiliser PGP en webmail, il y a l'excellent [www.hushmail.com]

C'est très simple à utiliser, et on peut meme envoyer des mails cryptés à quelqu'un qui n'a pas PGP, si on convient à l'avance de la réponse à une question secrète.

Cool ! Un autre archéologue









___________________________________________________________________
_{.:! L'être humain est au sommet de la chaîne alimentaire. Certes. Mais il est surtout au sommet de la connerie et de la bêtise... !:.
-- Pour les nouveaux linuxiens : Ce n'est pas en continuant de faire ce que l'on connaît que l'on pourra faire ce que l'on ne connaît pas --}