Re: [TECH] [GNUPG] Choix de clés?

[Nicolas VINOT <nvinot AT april.org>]

Le jeudi 12 juin 2014, 08:05:57 Assoc' Libres-Ailées a écrit :
> Il nous manque encore une information pour vraiment mettre en place notre
> GNUPG. Enigmail nous propose des clés RSA ou DSA. Mais j'ai lu que RSA est
> "vendu" à la NSA. L'algorithme DSA donne des clés plus courtes. Est-ce un
> gros inconvénient? J'ai lu dans la doc officielle sur Enigmail qu'il faut
> la clé la plus longue possible.

Enigmail, c'est pas le truc à utiliser.
Trop compliqué, trop d'option, trop de risque de se foirer, et il ne respecte 
pas la norme GNUPG, entrainant des problèmes de compatibilité avec le reste.
Mieux vaut utiliser un client mail avec un vrai support GPG intégré, type 
Claws-Mail ou Kontact.

DSA est couvert par un brevet détenu par… un ancien de la NSA, David W. 
Kravitz !
Concernant RSA, sauf à utiliser l'algo Dual_EC_DRBG notoierement troué par la 
NSA, je pense que tu es à l'abris.
Entre RSA et DSA, la sécu est globalement la même.
Dans tous les cas, comme il faut aujourd'hui des clefs de 4096 bits (et en 
tout cas de plus de 2048), seul RSA reste en lice.

> Pour le SSH, nous avons plus de choix d'algorithme. J'ai vu que les
> rédacteurs du Wiki d'ArchLinux choisissent ECDSA.

Si tu as la possibilité d'utilisé des ECC (donc ECDSA), fonce !
C'est le futur de la crypto et d'un niveau bien supérieur à RSA ou DSA :)

-- 
Nicolas

Protégez votre vie privée, chiffrez vos communications
GPG : EFB74277 ECE4E222
OTR : 922C97CA EC0B1AD3
https://café-vie-privée.fr/

Attachment: signature.asc
Description: This is a digitally signed message part.