En travaux (comme d'habitude)...
Contrôle d'intégrité : les données n'ont pas été altérées
Authentification : on sait de qui proviennent les données
Cryptage : seul le destinataire peut récupérer les données
Vérification simple par somme de contrôle : CRC à éviter, MD5, SHA1.
Si site compromis, somme de controle aussi.
Généralités sur PGP / GNUPG
Comment vérifier un fichier, un courrier
Comment signer un fichier, un courrier
Le réseau de confiance
La compromission d'un serveur de fichier ne permet pas à l'agresseur de
modifier la signature de manière invisible
La confiance dans les clés
La confiance dans les serveurs de clés
Compromission de la machine de la personne qui signe.
Courrier crypté avec la clé publique du destinataire
(et signé avec la clé publique de l'expéditeur
Les certificats : l'autorité de confiance
Certificats pour les serveurs (http, pop3, imap, VPN...)
Certificats pour l'authentification de l'utilisateur vis-à-vis d'une ou plusieurs ressources
Compromission de machine de l'utilisateur
Compromission d'un serveur
Compromission de machine de l'autorité de certification
Les autorités de certification "officielles"
[...]
md5 et sha1 : rfc et code source
pgp, gnupg, gpa, enigmail
openssl, pki
Doc Loïc Bernat sur GnuPg (Parinux)
idealix.org, openpki
rfc
[...]
Dernière mise à jour : vendredi 23 août 2002