Différences

Ci-dessous, les différences entre deux révisions de la page.

--- issue67:what_is [2013/01/22 18:27] – [CONFIDENTIALITY/SIGNATURES] fcm_-_ekel
+++ issue67:what_is [2013/01/23 17:48] (Version actuelle) – andre_domenech
@@ Ligne 61: / Ligne 61: @@
 Réseau de confiance
-Tant lors du cryptage des messages que lors de la vérification des signatures, il est essentiel que la clé publique utilisée pour envoyer des messages à une personne ou une entité  « appartienne » bien à ce destinataire. Télécharger une clé publique quelque part n'est pas une garantie certaine de cette association ; l'usurpation délibérée (ou accidentelle) d'identité est possible. PGP a, depuis ses premières versions, toujours inclus des dispositions pour distribuer les clés publiques d'un utilisateur dans un « certificat d'identité », qui est également construit de façon cryptographique de sorte que toute falsification (ou altération accidentelle) soit facilement détectable. Mais ne faire qu'un certificat qui est impossible à modifier sans être détecté de manière efficace est également insuffisant. Cela peut seulement prévenir la corruption après que le certificat a été créé, pas avant. Les utilisateurs doivent également veiller par un moyen quelconque à ce que la clé publique dans le certificat appartienne bien à la personne/entité qui la revendique. Depuis leur première version, les produits PGP ont inclus un « système de vérification » interne des certificats pour (FIXME : résoudre)<del>aider avec</del> ce problème ; un modèle de confiance qui est souvent appelé un réseau de confiance. Une clé publique donnée (ou, plus précisément, l'information liant un nom d'utilisateur à une clé) peut être signée numériquement par un utilisateur tiers pour attester de l'association entre une personne (en fait, un nom d'utilisateur) et la clé. Plusieurs niveaux de confiance peuvent être inclus dans de telles signatures. Bien que de nombreux programmes lisent et écrivent ces informations, quelques-uns (rares) incluent ce niveau de certification lors du calcul de confiance d'une clé.
+Tant lors du cryptage des messages que lors de la vérification des signatures, il est essentiel que la clé publique utilisée pour envoyer des messages à une personne ou une entité  « appartienne » bien à ce destinataire. Télécharger une clé publique quelque part n'est pas une garantie certaine de cette association ; l'usurpation délibérée (ou accidentelle) d'identité est possible. PGP a, depuis ses premières versions, toujours inclus des dispositions pour distribuer les clés publiques d'un utilisateur dans un « certificat d'identité », qui est également construit de façon cryptographique de sorte que toute falsification (ou altération accidentelle) soit facilement détectable. Mais ne faire qu'un certificat qui est impossible à modifier sans être détecté de manière efficace est également insuffisant. Cela peut seulement prévenir la corruption après que le certificat a été créé, pas avant. Les utilisateurs doivent également veiller par un moyen quelconque à ce que la clé publique dans le certificat appartienne bien à la personne/entité qui la revendique. Depuis leur première version, les produits PGP ont inclus un « système de vérification » interne des certificats pour résoudre au moins partiellement ce problème ; un modèle de confiance qui est souvent appelé un réseau de confiance. Une clé publique donnée (ou, plus précisément, l'information liant un nom d'utilisateur à une clé) peut être signée numériquement par un utilisateur tiers pour attester de l'association entre une personne (en fait, un nom d'utilisateur) et la clé. Plusieurs niveaux de confiance peuvent être inclus dans de telles signatures. Bien que de nombreux programmes lisent et écrivent ces informations, quelques-uns (rares) incluent ce niveau de certification lors du calcul de confiance d'une clé.
 **The web of trust protocol was first described by Zimmermann in 1992 in the manual for PGP version 2.0: