Le projet Monkeysphere [2] vise à étendre l’utilisation de OpenPGP [7] ou GnuPG [8] à l’authentification sur SSH [5] ou SSL [3]. Il est présenté brièvement en [1].
Le point commun entre les certificats (SSL/TLS, cartes à puces) et les clés PGP [6] (et dérivés), c’est l’utilisation de la cryptographie asymétrique (clé publique/clé privée). Leur grande différence, c’est l’organisation des relations de confiance. Le premier utilise la chaîne de confiance hiérarchique avec tout en haut une ou plusieurs autorités de certification qui valident explicitement les premières branches et implicitement tout l’arbre des certificats. Le deuxième, PGP, la relation de confiance se fait de proche en proche (P2P [10]), de façon transversale, donc sans notion de hiérarchie ou de validation automatique par une entité tierce.
SSH utilise aussi la cryptographie asymétrique et ressemble à PGP dans la gestion de la confiance. Mais il ne sert pas à faire la même chose dans la pratique. SSH s’occupe d’authentification d’utilisateurs distants et de chiffrement de liaisons réseaux là où PGP s’occupe de chiffrement de fichiers/messages et de vérification de signatures.
SSL permet le chiffrement de liaisons réseaux (comme SSH). Son point fort est la centralisation, en effet vous n’avez pas à vous poser la question de savoir si le destinataire est sûr ou pas, on s’en assure à votre place. Mais c’est aussi un point faible d’un point de vue structurel et d’un point de vue relation d’approbation. SSL ne permet pas, contrairement aux certificats sur lesquels il est basé, de certifier un serveur distant avec plusieurs identités. Il n’est pas non plus utilisé pour authentifier d’autres entités de proche en proche (P2P) sans validation hiérarchique. C’est plus un problème d’utilisation que de réel restriction technique. Les problèmes sont abordés dans le dernier lien [9].
Monkeysphere permet de mélanger les genres. Il propose pour SSH d’utiliser une pseudo validation hiérarchique via un site de centralisation des clés qui permet de vérifier « les bonnes relations ». Il permet aussi de remplacer purement et simplement SSL et de court-circuiter les autorités racines… ou d’en créer de nouvelles via PGP.
Pour Nebule la notion de relation est importante. Mais il deviendra très vite difficile voir impossible d’assumer un modèle strictement hiérarchique en tant que tel. Le modèle de relation de P2P paraît plus facilement réalisable sans que cela, on le voit avec Monkeysphere, n’interdise la possibilité de créer des relations de confiance hiérarchique localisées.
C’est donc sur ce modèle type P2P que le projet s’oriente…
Lien :
- DLFP : http://linuxfr.org/2010/10/06/27453.html
- Monkeysphere : monkeysphere.info
- SSL (Secure Sockets Layer) : Commentcamarche.net [FR]
- TLS (Transport Layer Security = SSL v3 normalisé) : Wikipedia [FR] – RFC 5246 [EN]
- SSH (Secure SHell) : Wikipedia [FR] – openssh.com [FR]
- PGP (Pretty Good Privacy) : Wikipedia [FR] – pgp.com [EN] – pgpi.org [EN]
- OpenPGP : Wikipedia [FR] – RFC 4880 [EN] – openpgp.org [EN]
- GnuPG : Wikipedia [FR] – gnupg.org [EN]
- TLS et problèmes : http://lair.fifthhorseman.net/~dkg/tls-centralization/
- P2P : Wikipedia [FR]
Une réflexion sur « Monkeysphere »