Après plusieurs mois de travail dans le plus grand secret, je publie enfin un protocole de certification sécurisé pour les Apéros Monnaie Libre.
Mais qu’est-ce que c’est ?
La Toile de Confiance est un concept déjà utilisé dans la communauté PGP (vous savez ceux qui chiffrent et signe cryptographiquement leurs emails), et qui a été repris par Duniter pour sécuriser la June. Je me suis demandé comment faisait la communauté PGP pour gérer des « key signing party », l’équivalent de nos apéros, mais avec plus de cent personnes !
Je suis tombé sur plusieurs pages de conseils pour gérer efficacement de nombreuses certifications lors de ces rencontres. J’ai adapté le concept à nos certifications et le fruit de ce travail est publié sur mon site.
Malheureusement, ce protocole nécessite une fonctionnalité supplémentaire sur les clients Cesium, Sakia et Silkaj : pouvoir envoyer par email ou autre moyen de communication externe, un message chiffré et signé avec les clefs publiques et privée de vos comptes. Cette fonctionnalité n’existe pas encore, mais patience…
En attendant, je vous invite à étudier cette proposition et espère qu’elle sera utile et fonctionnelle très bientôt !
Exact, et c’est très bien sécurisé, mais ce qui manque, c’est de pouvoir échanger ces messages via d’autres moyens de communication, pour valider ces autres moyens de communications (email, sms, réseaux sociaux, etc) pour contacter les certifiés ou les certificateurs.
La fonctionnalité manquante est là, car sinon les logiciels clients, via la bibliothèque nacl, peuvent chiffrer et signer des messages avec les clefs Duniter. Donc, ce n’est pas grand chose à coder, encore faut-il le faire…
C’est costaud comme démarche et salutaire en terme d’apprentissage de sécurisation de mails , communication et réseaux.
Aussi j’ai remarqué que les gens n’utilisent pas facilement spontanément les possibilités de sauvegarde des identifiants ni même la sauvegarde de leur fichier de révocation qui leur est proposé dans Cesium.
merci pour ces protocoles qui sont très clairs. Je voulais avoir votre avis quant à la procédure de certification.
Si je résume mes devoirs en tant que certificateur (ce que j’en comprends en tout cas), je dois m’assurer que :
X a lu et a accepté la licence Ğ1
Le compte Césium que je certifie est contrôlé par la personne X
X ne possède pas d’autres comptes Césium
La plupart des conseils (ceux du présent protocole + ceux concernant les identifiants et le fichier de révocation à conserver en lieux sûrs) permettent de s’assurer du point 2.
Pour le point 1 : une déclaration suffit ?
Pour le point 3 : « bien connaître » (?) la personne et les propriétés de la toile de confiance suffisent ?
Il ne faut pas éluder ce point, car c’est l’idée même de la toile de vigilance. A terme, on ne devrait certifier que les personnes avec lesquelles nous entretenons des liens. Et il convient de bien expliquer ça aux nouveaux membres.
Pour le moment, nous sommes au tout début de la toile de confiance. Il est sain que les personnes intéressées deviennent membres. Mon point de vue est que si on ne connaît pas déjà la personne, il faut prendre le temps de bien la connaître et vérifier qu’elle revienne aux apéros. On a besoin de personnes réellement intéressées, et celles-là reviendront suffisamment pour que je puisse leur faire confiance.
Se donner un nombre minimum de rencontres avant certification met déjà des bâtons dans les roues à une éventuelle fraude.
Effectivement, ce critère empêche de certifier en « coup d’un soir ». Mais nous sommes tous co-banquier.e.s, et on ne donne pas les clefs du coffre à un « coup d’un soir ».