Le jeudi 08 mars 2018, hamster a écrit :
Le 08/03/2018 à 13:33, steve a écrit :
Je suis loin d'être un spécialiste, mais je crois que c'est incorrect.
Cette clef étant publique par définition, tu peux tout à fait la mettre
sur ton site web ou la joindre à tes emails
Absolument. La clef publique est publique, et peut donc etre publiée
largement. Mais comment etre sur que le fichier que l'autre recevra
contiens bien ta clef a toi ?
C'est un autre problème, et la réponse, que tu as donné dans ton message
précédent, est de vérifier l'empreinte de cette clef par téléphone par
exemple.
Imagine qu'un petit malin arrive a pirater la connexion de ton
correspondant (au hazard, un barbouze infiltré chez son fournisseur
d'accès…). Alors quand ton correspondant téléchagera ta clef publique
sur ton site, le petit malin pourra très bien l'intercepter et la
remplacer par sa clef publique a lui. Ensuite, a chaque fois que tu
enverra un document signé, il le déchiffrera avec ta clef publique,
fera les modifications qu'il voudra, le signera avec sa clef privée et
l'enverra a ton correspondant. Ton correspondant le déchiffrera avec
ce qu'il croit etre ta clef publique et aura confiance dans le
document falsifié. C'est une attaque qui s'appelle "man in the
middle".
Absolument.
J'ai oublié une méthode pour transmettre ta clef publique de facon
sure a ton correspondant : la faire signer par un tiers de confiance.
Dans un Key Signing Party par exemple.
C'est justement le but du chiffrement asymétrique que de ne
pas avoir besoin d'un canal de transmission sûr, au contraire d'un
chiffrement symétrique ou le secret
Le chiffrement asymétrique n'a pas besoin d'un canal sur du moment
qu'on est surs d'avoir bien les deux bonnes clefs aux deux bouts du
canal.
Et comment s'en assure-t-on ?
