mirror of
https://github.com/almet/notmyidea.git
synced 2025-04-28 19:42:37 +02:00
article sur keybase.io
This commit is contained in:
parent
05f56a1ac9
commit
0c8205d7fc
2 changed files with 97 additions and 0 deletions
88
content/crypto/keybase.io.rst
Normal file
88
content/crypto/keybase.io.rst
Normal file
|
|
@ -0,0 +1,88 @@
|
||||||
|
Simplifier les preuves d'identités
|
||||||
|
##################################
|
||||||
|
|
||||||
|
:date: 2015-05-11
|
||||||
|
:headline: Qu'est-ce que Keybase.io et comment essayent-ils de simplifier la
|
||||||
|
création de preuves d'identité.
|
||||||
|
|
||||||
|
L'un des problèmes non réellement résolu actuellement quant au chiffrement des
|
||||||
|
échanges est lié à l'authenticité des clés. Si quelqu'un décide de publier une
|
||||||
|
clé en mon nom, et en utilisant mon adresse email, cela lui est assez facile.
|
||||||
|
|
||||||
|
Il est donc nécessaire d'avoir des moyens de prouver que la clé publique que
|
||||||
|
j'utilise est réellement la mienne.
|
||||||
|
|
||||||
|
Traditionnellement, il est nécessaire de faire signer ma clé publique par
|
||||||
|
d'autres personnes, via une rencontre en personne ou des échanges hors du
|
||||||
|
réseau. C'est par exemple ce qui est réalisé lors des `Key Signing parties
|
||||||
|
<https://fr.wikipedia.org/wiki/Key_signing_party>`_.
|
||||||
|
|
||||||
|
Une manière simple d'effectuer ces vérifications serait, en plus de donner son
|
||||||
|
adresse email, sa signature de clé, ou a minima de donner un mot clé pour
|
||||||
|
valider que les échanges proviennent bien de la bonne personne.
|
||||||
|
|
||||||
|
PGP propose un mécanisme de signature des clés d'autrui, une fois celles ci
|
||||||
|
validées, ce qui permet de placer sa confiance dans les signataires de la clé.
|
||||||
|
|
||||||
|
`Keybase.io <https://keybase.io>`_ est un service qui vise à rendre la création
|
||||||
|
de ces preuves plus facile, en partant du principe qu'il est possible
|
||||||
|
d'utiliser différents moyens afin de prouver l'identité des personnes. Par
|
||||||
|
exemple, leurs comptes Twitter, GitHub ou leurs noms de domaines. De la même
|
||||||
|
manière qu'il est possible de signer (valider) les clés de nos amis, il est
|
||||||
|
possible de les "tracker" selon le jargon de keybase.
|
||||||
|
|
||||||
|
Donc, en somme, *Keybase.io* est un annuaire, qui tente de rendre plus facile la
|
||||||
|
création de preuves. Bien.
|
||||||
|
|
||||||
|
Quelques points d'ombre
|
||||||
|
=======================
|
||||||
|
|
||||||
|
Il s'agit d'une *startup* américaine, domiciliée dans le Delaware, qui se trouve être
|
||||||
|
un des paradis fiscaux qui `est connu pour être un paradis fiscal au coeur
|
||||||
|
même des États-Unis <https://fr.wikipedia.org/wiki/Delaware>`_. Je ne veux pas
|
||||||
|
faire de raccourcis trop rapides, bien évidemment, alors `j'ai ouvert un ticket
|
||||||
|
sur GitHub pour en savoir plus
|
||||||
|
<https://github.com/keybase/keybase-issues/issues/1569>`_ (après tout, le fait
|
||||||
|
d'être un paradis fiscal permet peut-être d'échapper à certaines lois sur la
|
||||||
|
requêtes de données). D'autant plus étonnant, la startup n'a pour l'instant `pas
|
||||||
|
de *business model* <https://github.com/keybase/keybase-issues/issues/788>`_
|
||||||
|
(ce qui en un sens est assez rassurant, même si on peut se poser la question de
|
||||||
|
pourquoi faire une startup dans ces cas là).
|
||||||
|
|
||||||
|
Le service (bien qu'en Alpha), n'est pas mis à disposition sous licence libre,
|
||||||
|
ce qui pour l'instant empêche quiconque de créer son propre serveur Keybase.
|
||||||
|
`Une partie des composants, cependant, le sont (open source)
|
||||||
|
<https://github.com/keybase/>`_.
|
||||||
|
|
||||||
|
J'ai du mal à croire en des initiatives qui veulent sauver le monde, mais dans
|
||||||
|
leur coin, je ne comprends pas pourquoi il n'y à pas de documentation sur
|
||||||
|
comment monter son propre serveur, ou comment les aider à travailler sur la
|
||||||
|
fédération. Mais bon, c'est pour l'instant une initiative encore fraîche, et je
|
||||||
|
lui laisse le bénéfice du doute.
|
||||||
|
|
||||||
|
Sur le long terme, une infrastructure comme *Keybase.io*, devra évidemment être
|
||||||
|
`distribuée <https://github.com/keybase/keybase-issues/issues/162>`_.
|
||||||
|
|
||||||
|
.. epigraph::
|
||||||
|
|
||||||
|
We've been talking about a total decentralization, but we have to solve
|
||||||
|
a couple things, synchronization in particular. Right now someone can
|
||||||
|
mirror us and a client can trust a mirror just as easily as the server at
|
||||||
|
keybase.io, but there needs to be a way of announcing proofs to any server
|
||||||
|
and having them cooperate with each other. We'd be so happy to get this
|
||||||
|
right.
|
||||||
|
|
||||||
|
-- `Chris Coyne, co-founder of Keybase
|
||||||
|
<http://chris.beams.io/posts/keybase/>`_
|
||||||
|
|
||||||
|
Afin de se "passer" de leur service centralisé, les preuves générées (qui sont
|
||||||
|
la force du système qu'ils mettent en place) pourraient être exportées sur des
|
||||||
|
serveurs de clés existants. C'est quelque chose `qu'ils souhaitent réaliser .
|
||||||
|
<https://github.com/keybase/keybase-issues/issues/890>`_.
|
||||||
|
|
||||||
|
Bref, une initiative quand même importante et utile, même si elle soulève des
|
||||||
|
questions qui méritent qu'on s'y attarde un brin.
|
||||||
|
|
||||||
|
Par ailleurs, `d'autres projets qui visent des objectifs similaires
|
||||||
|
<https://leap.se/nicknym>` existent, via le projet LEAP, mais je n'ai pas
|
||||||
|
encore creusé.
|
||||||
|
|
@ -565,3 +565,12 @@ blockquote {
|
||||||
.content-title {
|
.content-title {
|
||||||
margin-bottom: 70px;
|
margin-bottom: 70px;
|
||||||
}
|
}
|
||||||
|
|
||||||
|
|
||||||
|
div.note {
|
||||||
|
margin: 5px;
|
||||||
|
font-size: 85%;
|
||||||
|
font-style: italic;
|
||||||
|
}
|
||||||
|
|
||||||
|
.admonition-title { display: none }
|
||||||
|
|
|
||||||
Loading…
Reference in a new issue