Re: [LA-discussions] Clef publique 2010

[Romain Tartière <romain@xxxxxxxxxxxx>]

On Tue, Jan 19, 2010 at 01:05:47AM +0100, Denis Briand wrote:
> On Tue, Jan 19, 2010 at 12:55:10AM +0100, Romain Tartière wrote:
> > Il y a une diférence entre avoir confiance en une personne (trust, à une
> > échelle individuelle) et certifier l'identité d'une personne (sign à une
> > échelle publique).
> > 
> > Avoir confiance en une personne X car une personne de confience Y a
> > confience en X, ça peut se faire.
> > 
> > Ne pas avoir confience en une personne X mais vérifier son identité et
> > la garantir, ça peut se faire.
> > 
> > Signer la clé de X car Y certifie que X est bien X et que l'on a
> > confience en Y ça me fais sauter au plafond... En même temps c'est le
> > modèle ahurisant des Débianneux...
>  
> faux !
> Chez Debian nous signons les clefs des personnes uniquement après
> rencontre de visu avec echange de fingerprint et verification de
> l'identité de la personne avec pièce d'identité.

Rha la blague... Je pioche une adresse au pif dans:

gpg --list-keys  | grep debian

651 signatures... et a peu près autant de dates de signature... Pas que
des @debian.org certes, mais une très grosse majorité. Les débianneux
font des key-sign party qui s'étalent sur des mois et des mois ?

Et puis le lolesque en prends encore un coup quand tu fais un gpg
--refresh-keys qui te sort des « 285 new signatures » sur une clé et
qu'un --edit-key te montre une nouvelle sous-clé avec une adresse
@debian.org et qu'un --list-sigs te montre que le possesseur de la clé
échange sa carte d'identité avec grosso modo 5 autre debianneux par mois
depuis des années.

Soit je tombe que sur des cas isolés non-représentatifs, soit je ne
regarde pas assez la télé et n'ai pas encore le cerveau suffisamment
ramolli pour qu'on y mette n'importe quelle information...


Après je ne dit pas que c'est dans la politique de Debian de
décrédibiliser GPG [1], je constate juste que les habitudes de certains vont
à l'encontre du système de réseau de confiance (probablement sans
qu'ils s'en doutent).  Je suis certainement pas le seul à voir ça en
mettant à jour mon trousseau (d'ailleurs je ne pense pas que ça serait
rappelé sur le wiki sinon...).

Bref, je maintiens ce que je dit: de facto, « c'est le modèle ahurissant
des Débianneux », l' « incident » c'est produit trop de fois pour être
considéré comme un cas isolé et à mes yeux, le blob de confiance de
toutes ces identités rattachées à debian n'est pas de confiance (mais
c'est de la confiance, donc ça ne regarde que moi, on est bien
d'accords, libre à chacun d'en penser ce qu'il veut).


Romain

Références:
  1. http://www.debian.org/events/keysigning.fr.html

-- 
Romain Tartière <romain@xxxxxxxxxxxx>        http://romain.blogreen.org/
pgp: 8DAB A124 0DA4 7024 F82A  E748 D8E9 A33F FF56 FF43 (ID: 0xFF56FF43)
(plain text =non-HTML= PGP/GPG encrypted/signed e-mail much appreciated)

Attachment: pgpJ4zFaEg9Er.pgp
Description: PGP signature