Re: [Lilux-info] PGP/GPG - CaCERT

Yo, [CA vs. web-of-trust] En plus, on peut mettre un degré de confiance dans les signatures des autres. Pour qqn que je connais comme étant un huluberlu, je pourrai dire que je fais confiance dans sa signature, mais pas forcément à celles que lui a signées. Je peux aussi avoir beaucoup de confiance en qqn, et accepter 100% ce qu'il va me dire. Par contre, l'"autorité" n'inspire pas nécessairement confiance, on ne sait pas vraiment ce qui s'y passe, et on sait parfaitement bien de par certains incidents que p.ex. VeriSign n'est absolument pas digne de confiance. D'autres aussi n'ont pas trop hésité à refiler des certificats sans trop de vérifications des identités, partiellement avec des résultats désastreux. Ici encore, le concept des "key signing parties" où les gens vérifient l'identité des gens moyennant carte d'identité et se contresignent leurs clés est nettement supérieur, même si un peu compliqué à l'application. En devant faire des transactions online, il y aurait des chances que je fasse davantage confiance à un certificat "self-signed" qu'à un certificat issu par certaines CA. Il faudrait que je rejette un coup d'oeuil à OpenSST pour revoir comment eux gèrent l'authentification des deux parties... Eric