[gull] DNS prive & caching
Marc SCHAEFER
schaefer at alphanet.ch
Tue Aug 28 11:33:58 CEST 2007
On Tue, Aug 28, 2007 at 11:06:31AM +0200, Daniel Cordey wrote:
> Neanmoins... c'est un long sujet... RSA contre PGP :-) Pour faire simple,
Oui et non, vu que c'est sauf erreur RSA Data Security qui a les droits
sur certaines versions de PGP.
Je ferais plutôt l'opposition entre un système centralisé et
hiérarchique de vérification de certificats (s/MIME et SSL; X.500) et un
système maillé (réseau de confiance) dynamique, avec le concept de
"valeur de confiance", implémenté notamment dans OPENPGP (le standard
sur lequel repose gnupg p.ex.)
> S/MIME a besoin d'effectuer une verification en ligne de la cle, alors que
Non, il suffit de vérifier que le certificat présenté est signé par un
des certificats stockés par le client.
> S/MIME requiert de configurer son MTA/MUA pour effectuer des requetes vers des
non, s/MIME peut être client-à-client.
> ne puisse pas generer son propre CA avec S/MIME...C'est sans doute cette
Si, on peut. Il suffit ensuite de le déposer dans le logiciel client.
Il y a même possibilité de générer un certificat SSL/X.500 chez
cacert.org (si le client a le certificat de cacert intégré).
> lourdeur de configuration (et le code ne semble pas installe en standard avec
La différence est, qu'en logiciel propriétaire (p.ex. Microsoft
Outlook), le support s/MIME est natif, et le support OPENPGP est via un
plugin.
Il semble logique en conséquence qu'en environnement propriétaire on utilise
s/MIME, alors que le monde libre est plutôt OPENPGP.
> avec S/MIME, alors que PGP (echange de la cle permettant la lecture) permet
OPENPGP est aussi ennuyeux pour l'utilisateur, car plus complexe. Il est
probablement plus sûr également, dans la mesure où l'utilisateur
comprend le concept de réseau de confiance.
Sinon, l'approche centralisée de faire valider le certificat s/MIME par
une PKI en entreprise (en bref: un CA local, installé dans le client),
est peut-être plus sécurisante pour les managers et moins coûteuse.
Au niveau des standards, s/MIME est un RFC basé sur le modèle X.500 de
signature électronique (je ne me souviens plus du numéro exact de
standard ISO). OPENPGP est juste un RFC, à ma connaissance.
La balance des standards penche plutôt pour s/MIME, encore que.
More information about the gull
mailing list