From madore@news.ens.fr
Path: eleves!not-for-mail
From: madore@news.ens.fr (GroTeXdieck)
Newsgroups: ens.forum.alt.complots,ens.forum.informatique.crypto
Subject: Fausses cles PGP (was: Re: Cles PGP)
Followup-To: ens.forum.informatique.crypto
Date: 5 Oct 1999 12:40:47 GMT
Lines: 78
Sender: madore@clipper.ens.fr
Message-ID: <7tcrkf$kk7$1@clipper.ens.fr>
References: <7t5f2v$qp4$1@clipper.ens.fr> <7tb5lh$43j$2@clipper.ens.fr> <7tb9bm$dgj$1@clipper.ens.fr> <7tcc67$cdp$1@clipper.ens.fr>
NNTP-Posting-Host: clipper.ens.fr
Mime-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: 8bit
X-Trace: clipper.ens.fr 939127247 21127 129.199.129.1 (5 Oct 1999 12:40:47 GMT)
X-Complaints-To: forum@clipper.ens.fr
NNTP-Posting-Date: 5 Oct 1999 12:40:47 GMT
X-Newsreader: Flrn (0.4.0 - 07/99)
X-Number-Of-The-Day: 719 
Xref: eleves ens.forum.alt.complots:299 ens.forum.informatique.crypto:364

Effectivement, j'ai beaucoup sous-estimé la perversité de certains.
Probablement du fait d'être habitué à ce que Nicolas soit *la* tête de
turc par excellence, j'ai trop naïvement pensé qu'il y en avait une
seule (tête de turc - ou fausse clé).

En fait, le 28 février 1999, pas moins de *trente-six* fausse clés PGP
ont été créées, signées les unes avec les autres (je crois que le
graphe a deux composantes connexes, en fait - peu importe).
Manifestement, cela a été automatisé et les adresses ont été
récupérées dans les news.

Voici la liste des fausses clés :

pub  1024D/55C4A89B 1999-02-28 Fabrice Noilhan <noilhan@news.ens.fr>
pub  1024R/D2BEBE27 1999-02-28 Nicolas Couchoud <couchoud@news.ens.fr>
pub  1536R/81D835D3 1999-02-28 Erwan David <Erwan.David@inria.fr>
pub  1024D/9AB71DB2 1999-02-28 Fabrice Ch\x7aeaux <f_chez@club-internet.fr>
pub  1024D/0FB425FA 1999-02-28 Nicolas Couchoud <couchoud@news.ens.fr>
pub  1024D/A3C82E92 1999-02-28 Frederic Hermann <Frederic.Hermann@ift.ulaval.ca>
pub  1024D/65CC8080 1999-02-28 Remi Guyomarch (Dss) <rguyom@mail.dotcom.fr>
pub  1024D/890B8825 1999-02-28 Stanislas Renan <stanislas.renan@agl.fr>
pub  1024R/3A5FF739 1999-02-28 Bruno Jargot <bjargot@club-internet.fr>
pub  1024D/91F3B437 1999-02-28 Jean-Claude BELLAMY <Jean-Claude_Bellamy@wanadoo.fr>
pub  1024D/AE408161 1999-02-28 Erwan David <Erwan.David@inria.fr>
pub  1024D/7461C82B 1999-02-28 Marc Despland <Marc.Despland@jad-si.fr>
pub  2048R/F9B80221 1999-02-28 Remi Guyomarch <rguyom@mail.dotcom.fr>
pub  1024D/4276ADEF 1999-02-28 Emmanuel Thiry <ethiry@itechno.com>
pub  1024D/45294F38 1999-02-28 Christian VEDEAU <Christian.VEDEAU@wanadoo.fr>
pub  1024D/EDDB7909 1999-02-28 Alexandre Carlhian <ACarlhian@mail.dotcom.fr >
pub  1024D/9F1A7F61 1999-02-28 Philippe Mignard <phil-mignard@mail.dotcom.fr>
pub  1024D/91855DAC 1999-02-28 Christian ASTOR <castorix@club-internet.fr>
pub  1024D/1FBD65C2 1999-02-28 Jean-Jacques PERARNAUD <jperarna@club-internet.fr>
pub  1024D/254F24C9 1999-02-28 Patrick BROSSET <patrick.brosset@ikosoft.com>
pub  1024D/EE784747 1999-02-28 Christophe Guillemot <guillemot@a2c.fr>
pub  1024D/0E07531D 1999-02-28 Alain Naigeon <anaigeon@club-internet.fr>
pub  1024D/0806D9D0 1999-02-28 Simon Bretin <Simon.Bretin@Supaero.fr>
pub  1024D/6C9C026C 1999-02-28 Erwann ABALEA <eabalea@certplus.com>
pub  1024D/1E20FD52 1999-02-28 Alain DAUBIER <alain.daubier@wanadoo.fr>
pub  1024D/9AA2B772 1999-02-28 S\x62astien Lapique <selapiqu@euriware.fr>
pub  1024D/82730CBF 1999-02-28 Pierrick Crampon <pierrick.crampon@wanadoo.fr>
pub  1024D/BE2D8201 1999-02-28 David Trystram <dtrystram@starnet.fr>
pub  1024D/803AC25A 1999-02-28 Vincent DUPAQUIS <dupaquis@computer.org >
pub  1024D/560C656E 1999-02-28 Jean-Baptiste FAURE <faure@lyon.cemagref.fr>
pub  1024D/7B5CBDC1 1999-02-28 Olivier Egreteau <egoliv@club-internet.fr>
pub  1024D/5557B0B1 1999-02-28 Yves ROMAN <yroman@unilog.fr>
pub  1024D/9561AF53 1999-02-28 Thierry Lefebvre <Lefebvre.Thierry@wanadoo.fr>
pub  1024D/C019EF8B 1999-02-28 William Marie <wmarie@easynet.net>
pub  1024D/7374C2E1 1999-02-28 Jean-Marc Thiry (Paris) <jmt@mail.dotcom.fr>
pub  1024D/13020DEA 1999-02-28 Lucien Deville <Lucien.Deville@wanadoo.fr>

Bon, la question est maintenant : que fait-on dans un cas pareil ?  Je
proposerais bien d'abord de notifier toutes les personnes concernées
en leur expliquant la situation, ensuite de signaler l'abus dans
fr.usenet.abus.d (manifestement il y a un fort rapport avec
Usenet-fr), et de publier aussi largement que possible le rapport
d'abus.  De faire comprendre au(x) plaisantin(s) que s'il(s) a/ont
encore les clés privées, ce serait *bien* s'ils envoyaient des
certificats de révocation pour toutes ces clés.  S'il ne le fait pas,
les personnes dans la liste ci-dessus, si elles créent une vrai clé,
ont intérêt à ajouter un uid spécifiant que la clé d'id (machin) est
une fausse.  Peut-être y a-t-il aussi moyen de persuader les
mainteneurs des serveurs de clés publiques de retirer les clés de
leurs serveurs (mais je n'y crois pas trop, surtout qu'il faudrait les
persuader *tous* parce qu'ils échangent des clés dans tous les sens).

D'autre part, comment fait-on, quand on a une vraie clé, pour assurer
les gens de l'identité de celle-ci ?  En théorie, il faut construire
un pont de signatures jusqu'à quelqu'un d'absolument connu et dont la
clé ne peut pas être mise en doute.  L'exemple typique est : Phil Z,
dont la clé ne saurait être mise en doute (c'est la clé 0xC7A966DD).
En pratique, bien qu'on connaisse toujours quelqu'un qui connaît
quelqu'un qui (...), on a du mal à arriver là où on veut, parce que
trop peu de gens ont des clés (d'où mon insistance pour persuader tout
le monde de s'en créer une - mais c'est vrai que si ça reste local, ça
ne change pas grand-chose).  Le réseau de signatures est trop peu
connexe ; d'ailleurs, même pour des gens très connus (Phil Z, Eugene
Spafford, Eric Raymond, Linus Torvalds et compagnie), je n'arrive pas
à construire de ponts pour rendre les choses connexes.