1. Accueil
  2. Question et réponse
  3. Utilisation de PGP avec une entité inconnue

Utilisation de PGP avec une entité inconnue

2013-04-13 1 views
0

Je suis actuellement à la recherche de PGP et de schémas d'authentification. Disons que je communique avec quelqu'un qui prétend être un administrateur d'un site FTP. (Par exemple, son adresse e-mail est [email protected])Utilisation de PGP avec une entité inconnue

Supposons que nous ayons tous les deux des clés publiques PGP les uns des autres. Dites d'abord, nous échangeons les empreintes digitales et les vérifions (en les transmettant directement et en n'utilisant pas l'authentification hors bande comme le téléphone/SMS). Dans la deuxième étape, nous échangeons un message signé, puis vérifions la signature.

Ces deux étapes sont-elles suffisamment bonnes pour établir l'authenticité?

Au moyen de cet exemple fictif, la question fondamentale que je me pose est de savoir si ces étapes sont «suffisantes» ou si j'opte pour un autre système d'authentification mutuelle en plus de cela?

Source

2013-04-13 Karan

+0

Hors sujet ici, devrait aller à [security.se]. –

Répondre

0

C'est assez, mais le plus difficile est de vérifier les empreintes digitales. Pour PGP, cela se fait via des clés de signature croisée avec d'autres clés. Alors que dans X.509 il s'agit d'une structure hiérarchique (CA supérieur et signé par les certificats), dans PGP, il s'agit d'un «réseau de confiance».

Source

2013-04-13 19:30:24

+0

Merci pour la réponse rapide. Pour vérifier les empreintes digitales, ne pouvons-nous pas utiliser un protocole basé sur la connaissance zéro pour confirmer si elles sont identiques? (au lieu de les envoyer sur le réseau?) – Karan

+0

Non, vous devez vérifier les empreintes digitales via le protocole de confiance. Sinon, vous ne pouvez pas compter sur cette (ces) clé (s). –

+0

Je pensais que la vérification signifiait que l'on exécutait la commande verify sur sa machine pour obtenir l'empreinte digitale de la clé publique de l'autre partie. Il compare ensuite en demandant à l'autre partie si la sortie qu'il a correspond à l'empreinte digitale qu'ils ont. L'autre partie suit le même processus. – Karan

0

Non, ce n'est pas suffisant. Un homme du milieu peut substituer ses clés publiques à la vôtre et celle de votre partenaire, et faire la même chose avec les empreintes digitales pour que tout semble bien se vérifier.

Vous devrez utiliser le réseau de confiance de PGP ou échanger des empreintes digitales sur un autre support de confiance pour vérifier que la clé publique que vous avez reçue est authentique.

Source

2013-04-13 19:37:54 erickson

+0

C'est exactement ce que j'avais peur de! Merci, mais ne pouvons-nous pas utiliser un protocole basé sur la connaissance zéro pour confirmer si les empreintes digitales sont les mêmes? (au lieu de les envoyer sur le réseau?) – Karan

+0

Pour le partage de clés publiques, nous pouvons utiliser le courrier électronique ou les poster sur un serveur de clés et partager le lien par e-mail. Des commentaires? – Karan

+0

Un serveur de clés pourrait fonctionner si vous faites confiance à une clé qu'il utilise pour signer des réponses. Ce problème est en fait à l'origine d'un très gros problème de sécurité sur le Web: votre navigateur est livré avec un ensemble d'autorités PKI intégrées qui pourraient être trafiquées et que vous ne sauriez jamais; il n'y a vraiment aucune distribution des empreintes digitales de l'autorité racine via des médias sécurisés. – erickson

Questions connexes

 Questions connexes