[gull] DNS prive & caching

Marc SCHAEFER schaefer at alphanet.ch
Tue Aug 28 11:33:58 CEST 2007 

On Tue, Aug 28, 2007 at 11:06:31AM +0200, Daniel Cordey wrote:
> Neanmoins... c'est un long sujet... RSA contre PGP :-) Pour faire simple, 

Oui et non, vu que c'est sauf erreur RSA Data Security qui a les droits
sur certaines versions de PGP.

Je ferais plutôt l'opposition entre un système centralisé et
hiérarchique de vérification de certificats (s/MIME et SSL; X.500) et un
système maillé (réseau de confiance) dynamique, avec le concept de
"valeur de confiance", implémenté notamment dans OPENPGP (le standard
sur lequel repose gnupg p.ex.)

> S/MIME a besoin d'effectuer une verification en ligne de la cle, alors que 

Non, il suffit de vérifier que le certificat présenté est signé par un
des certificats stockés par le client.

> S/MIME requiert de configurer son MTA/MUA pour effectuer des requetes vers des 

non, s/MIME peut être client-à-client.

> ne puisse pas generer son propre CA avec S/MIME...C'est sans doute cette 

Si, on peut. Il suffit ensuite de le déposer dans le logiciel client.
Il y a même possibilité de générer un certificat SSL/X.500 chez
cacert.org (si le client a le certificat de cacert intégré).

> lourdeur de configuration (et le code ne semble pas installe en standard avec 

La différence est, qu'en logiciel propriétaire (p.ex. Microsoft
Outlook), le support s/MIME est natif, et le support OPENPGP est via un
plugin.

Il semble logique en conséquence qu'en environnement propriétaire on utilise
s/MIME, alors que le monde libre est plutôt OPENPGP.

> avec S/MIME, alors que PGP (echange de la cle permettant la lecture) permet 

OPENPGP est aussi ennuyeux pour l'utilisateur, car plus complexe. Il est
probablement plus sûr également, dans la mesure où l'utilisateur
comprend le concept de réseau de confiance.

Sinon, l'approche centralisée de faire valider le certificat s/MIME par
une PKI en entreprise (en bref: un CA local, installé dans le client),
est peut-être plus sécurisante pour les managers et moins coûteuse.

Au niveau des standards, s/MIME est un RFC basé sur le modèle X.500 de
signature électronique (je ne me souviens plus du numéro exact de
standard ISO).  OPENPGP est juste un RFC, à ma connaissance.

La balance des standards penche plutôt pour s/MIME, encore que.

More information about the gull mailing list