Topic: Intérêt de signer les versions à télécharger

Bonjour,

J'ai pris l'habitude de signer mes versions avec ma clé PGP, comme c'est l'usage sur la plupart des projets, mais je m'interroge un peu sur l'utilité de la chose... (La question n'est pas spécifique à TuxFamily.)

Le but de la signature est de pouvoir vérifier l'authenticité d'une version.
On ajoute un fichier de signature à chaque version à télécharger, et on fournit, sur le site web, la clé PGP du ou des auteurs (soit directement le fichier, soit l'empreinte de la clé).
Le risque qu'on espère ainsi éviter, si j'ai bien compris, c'est que quelqu'un pirate le compte et dépose une fausse version.
Mais si quelqu'un pirate le compte, il a aussi accès au site web, donc il peut aussi modifier la clé ou changer l'empreinte sur le site. Et il peut ainsi signer sa propre version et fournir sa clé.

Du coup je ne comprends pas trop de quoi ça protège... Le seul cas où l'usurpation d'identité est détectée, c'est si on a déjà récupéré la clé pour une version précédente.

Re: Intérêt de signer les versions à télécharger

C'est pour ça qu'il ne faut pas mettre la clef publique au même endroit, il faut la mettre sur un serveur de clef publiques par exemple, tel que pgp.mit.edu.

De plus, une clef publique gagne en notoriété si elle est signée par un maximum de personnes, ce qui s'appelle un réseau de confiance, une clef publique avec un réseau de confiance vide c'est louche.

Sylvain