Clef PGP
Deyx
Y a t-il une version de PGP que je dois préférer ?
Bon OK j'ai lu qu'il y en a une vieille dont
la source à été entièrement checkée
mais par exemple j'ai la 6.02i comment savoir
si il y a une faille dans le programme ou dans
un des sous-programmes ?
Merci.
JL
EbOO6.262$Pp.10...@nnrp3.proxad.net...
> Mieux vaut une clé 3DES, CAST, ou IDEA ?
Pour la sécurité ça se vaut, pour la rapidité CAST est meilleur, pour la
compatibilité 3DES est le seul imposé par la norme OpenPGP, pour le futur
l'AES est appelé à remplacer le DES, et supporte des clefs jusqu'à 256 bits.
> Y a t-il une version de PGP que je dois préférer ?
Dans les versions NAI la 6.5.8, la dernière dont le code source ait été
publié. J'aime bien la 6.5.8ckt qui offre quelques bonnes améliorations,
disponible sur http://www.ipgpp.com/ .
> Bon OK j'ai lu qu'il y en a une vieille dont
> la source à été entièrement checkée
> mais par exemple j'ai la 6.02i comment savoir
> si il y a une faille dans le programme ou dans
> un des sous-programmes ?
Soit vous faites confiance à la communauté pour avoir vérifié correctement,
soit vous payez un expert pour le faire, soit vous vérifiez vous-même.
JL.
Pierre Thierry
correctement,
> soit vous payez un expert pour le faire, soit vous vérifiez vous-même.
rapport à tout ce qui est puissance caché des Etats), qui m'a argué que ce
ne serait pas difficile de faire plein d'adresses emails bidons qui cachent
des gars de la NSA disant "ouais, no problem, j'ai vérifié le code, y'a pas
de backdoor" et que donc se fier à la communauté était bidon...
Comme j'aimerais bien le convaincre que c'est pas le cas, j'aimerais bien
rentrer en contact avec quelqu'un, ou même plusieurs personnes, qui ont
vérifié personnellement le code source de PGP, en France.
Sinon, est-ce que les versions 7.0.x ont déjà été vérifiées ?
Pierre
pierre....@ulp.u-strasbg.fr
PGP Key DH/DSS 0xD9D50D8A
JL
news: 9fl8eb$3oq$1...@wanadoo.fr...
> J'ai un pote (fils de militaire haut gradé, et donc un peu désabusé par
> rapport à tout ce qui est puissance caché des Etats), qui m'a argué que ce
> ne serait pas difficile de faire plein d'adresses emails bidons qui cachent
> des gars de la NSA disant "ouais, no problem, j'ai vérifié le code, y'a pas
> de backdoor" et que donc se fier à la communauté était bidon...
Ce qui compte ce n'est pas tellement le nombre de personnes qui disent
qu'elles n'ont pas trouvé de failles, mais surtout celles qui disent qu'elles
en ont trouvé. Il arrive de temps en temps que des failles soient trouvées,
qui n'ont entrainé jusqu'ici que de faibles et très hypothétiques
vulnérabilités. Cela démontre que de nombreuses personnes compétentes se sont
penchées sur le code de PGP, et si elles n'ont rien trouvé de plus sérieux que
ce qui a été jusqu'ici publié, c'est la meilleure assurance qu'il n'y a pas de
failles exploitables en pratique.
> Sinon, est-ce que les versions 7.0.x ont déjà été vérifiées ?
Le code source des versions postérieures à la 6.5.8 ne sont pas publiées, donc
les seules vérifications qui ont pu avoir lieu ont été autorisées par NAI, on
ne peut donc pas vraiment les prendre en compte. C'est bien pourquoi il vaut
mieux s'en tenir à la version 6.5.8, dont il existe des variantes (les
versions ckt, par exemple) offrant la plupart des fonctionnalités ajoutées
dans les versions 7.
JL.