Proposition de charte du certificateur

La variante plus difficile à récupérer mais plus sûre est le secret de Shamir. Je suis prêt à implémenter un générateur de fichier de révocation découpé en plusieurs fichiers à distribuer à plusieurs personnes, et un « recolleur » de fichiers pour reformer le fichier original. En Rust ou en Python, mais pas avant 3 semaines.

Le futur certifié entre ses identifiants ainsi que le nombre (et éventuellement la hiérarchie) des co-révocateurs potentiels dans son ordinateur, et donne les fichiers par mail, clé USB, message Cesium ou QR code. L’étape de révocation ne mettant en œuvre aucun secret (le but étant de publier le secret partagé), il est même possible pour un néophyte de demander aux gens d’envoyer les morceaux à un geek qui révoquera le compte à sa place.

3 « J'aime »

Autres menaces/inconvénients :

  • le certificateur se fait voler tous les certificats de révocation qui lui ont été confiés et tous se font révoquer, déstabilisant le réseau de confiance
  • un certificateur ancien est en désaccord avec l’évolution de la ML et décide de lui nuire en révoquant tous ceux qu’il peut
  • un groupe de certificateurs décide d’exclure un autre groupe avec lequel ils sont en désaccord. S’ils sont plus anciens dans le système, et sont dans la chaine de certification des cibles, c’est faisable. Il n’est pas nécessaire de révoquer la cible, on peut aussi révoquer le certificateur du certificateur […] de la cible.
  • le nouveau certifié à l’impression qu’on lui demande de baisser son froc devant les anciens, induisant un rapport de force entre les anciens certifiés, indépendants, et les nouveaux, qu’on oblige à se mettre en position de faiblesse

C’est vraiment une drôle d’idée cette histoire de partage de certificat de révocation. Soit vous faites confiance aux gens, et ils gardent leur CR secret. Soit vous ne leur faites pas confiance, et autorisez simplement des administrateurs à révoquer des comptes. Comment promouvoir la liberté et en même temps la dépendance volontaire ?

A la limite, une solution serait que les certificateurs puissent retirer leur certification immédiatement au lieu de devoir attendre deux ans. Ça permet de révoquer en cas de perte des identifiants, à la demande de l’utilisateur, mais en même temps ça limite les risques d’attaque puisqu’ils faut que tous les certificateurs à part 4 retirent leur certification. Mais il y a peut-être des limitations techniques ?

1 « J'aime »

Effectivement, bien vu :

  • Les effets de groupes peuvent être très dangereux.
  • L’effet psychologique du sentiment de soumission vis à vis des anciens. C’est très bien vu ça.
  • Donner son fichier de révocation à son certificateur c’est lui donner le pouvoir de révoquer sa certification avant les deux ans, ce qui n’est pas voulu par les développeurs pour des raisons de chantage individuel et de volte-face incessante qui pourrait déstabiliser la Toile de Confiance.

La solution de @tuxmain permettrait de supprimer le danger d’une nuisance individuelle, au prix d’une complexité technologique accrue pour les non informaticiens (beaucoup de petits fichiers à conserver, trier, etc) mais rendrait je pense bien plus difficile les nuisances groupées.

Cette solution semble folle au premier abord, mais a le mérite de poser la question : comment être sûr que le certifié a sauvegardé son fichier de révocation ?

+1 pour le secret de Shamir ! :+1:

Bein moi je trouve que contribuer à l’autonomie (liberté de choix éclairé) des personnes, c’est justement de leur dire que c’est à elles de gérer leurs affaires, et que si elles ont besoin de soutien, les certificateurs qui sont d’accord peuvent stocker une copie du fichier de révocation, et même, pour les personnes qui n’arrivent vraiment pas ou ne veulent pas se servir d’un ordi, stocker leurs mots de passe. Bon, là, c’est vraiment le boulot d’un tuteur mais bon, c’est ce que j’ai fait pour ma femme et mes enfants, mais je leur rend tout ça dès qu’ils veulent s’en occuper eux-mêmes (dans de bonne conditions).

Autrement dit, comment être sûr que les gens sont responsables et prévoyants ? Y compris contre leur volonté ?

Sauf que là il est discuté d’obliger les certifiés à donner leur certificat de révocation. Il n’est pas question d’aide.

Je comprends ta réticence devant toute contrainte extérieure ou obligation. Je suis comme toi, j’essaie de les éviter au maximum.

Par contre je suis aussi développeur sur le projet et je suis particulièrement sensible à la sécurité de celui-ci. Il faut bien comprendre que de ne pas pouvoir vérifier si le fichier de révocation est bien en possession du certifié et qu’il a conscience de son importance est un problème de sécurité qui impacte globalement toute la Toile de Confiance.

On a choisi de rendre responsable de la sécurité de la Toile, non pas un groupe de quelques personnes (ce qui serait absurde avec un système décentralisé), mais les membres eux-mêmes. Ceux-sont donc les certificateurs qui ont le pouvoir de contrôler la fiabilité des certifiés en terme de sécurité. Ils doivent donc avoir les moyens d’exercer ce pouvoir qu’on leur a confié. Or il y a des lacunes dans ce système :

  • Vérifier que la personne possède le compte qu’elle veut faire certifier → proposition utilisée par certains : le certificateur envoie une June et demande son renvoi.
  • Vérifier que les identifiants sont « fort » → impossible. On utilise donc la communication, l’éducation à la sécurité du mot de passe avant de certifier.
  • Vérifier que le fichier de révocation est bien sauvegardé en lieu sûr et ne sera pas égaré → impossible actuellement. On cherche donc une solution.

Pour l’instant, pour ces trois conditions recommandées pour certifier, rien n’est dit quand à la façon de faire en pratique.

Ainsi, on discute ici avec les membres du forum, la façon d’appliquer enfin concrètement les pouvoirs conférés à tous les membres pour certifier. Je le répète, on passera toujours par une phase de mise en pratique, et si cela s’avère un gain de sécurité à l’usage pour la Toile, légitimant le pouvoir donné aux membres d’assurer la sécurité de leur propre monnaie, alors on en fera sûrement de ses règles d’usages des obligations si le besoin s’en fait sentir pour la sécurité de toute la monnaie.

Cela sera sûrement inclus dans la Charte du certificateur, pas sûr pour la licence (laissant la place à la créativité de solutions plus pratiques et moins contraignantes).

Il y a deux choses qui m’ennuient énormément dans cette charte :

Je trouve :

Qu’elle manque d’une introduction permettant de relativiser son contenu : savoir d’où elle vient, qui peut la modifier. Et qu’elle ne remplace pas la licence.

Et que la licence n’est pas fort visible dans cette charte, il me semble nécessaire d’ajouter, entre autre que la personne qui certifie dois vérifier que le demandeur à étudié compris et accepté la licence et qu’il n’est pas suffisant d’avoir rencontré le demandeur pour le certifier.

Il semble que chez nous, en Belgique et notamment à Charlerois des gens certifient à tours de bras, sans considération pour la licence. Certaines personnes sont certifiée sans même connaîte l’existance de la la licence G1…

Cette charte m’a été proposée comme si c’était un document de qualité. L’idée d’un charte pour les certifications dans les groupe locaux est une bonne idée mais je pense que cette version n’est pas encore terminée… Qu’en pensez-vous?

1 « J'aime »

Bonjour,
Je suis l’autrice de la charte, ouverte à toute suggestion, et surtout je n’ai pas d’autorité particulière pour l’écrire ou la faire évoluer. Chacun peut se l’approprier et l’améliorer.

2 « J'aime »

3 messages ont été scindés en un nouveau sujet : Certifications en Belgique

Peut-être est-il possible de faire un mixte avec le « Quid de la demande de certification » disponible ici => Quid_de_la_demande_de_certification.md · main · fdrubigny / Ğ1 - Quid de la demande de certification · GitLab

1 « J'aime »

Bonjour Corinne !
Merci pour ce texte. Cela éclaircit la procédure (à mon sens). Est-ce (devenu) un texte « officiel » ?
Petite coquille dans le premier $, 3e ligne « demander » au lieu de « demandeur »

Merci Guilou !
Non, ce n’est rien d’officiel. J’ai juste partagé ce que fais lire aux personnes qui souhaitent être certifiées.
Merci pour le signalement de la coquille. C’est corrigé dans la version que j’utilise couramment. Je n’ai pas voulu surcharger cette page et le nuage avec la dernière version car les modifications sont mineures.