Ange P2PFR.com
Usage détourné de serveurs PGP pour stocker des liens magnet
Europe/Paris Créée le 8 septembre 2018 à 14h12
Par 111110101011
Consultée 703 fois

L'info vient de TorrentFreak.

GnuPG (ou GPG) est un logiciel souvent utilisé pour chiffrer le contenu des emails, ou pour garantir qu'un fichier émane bien de la personne que l'on pense être.

Les serveurs de clés GPG sont une commodité qui permet aux utilisateurs de rechercher la clé publique d'un autre utilisateur.
Concrètement, vous ne pouvez pas envoyer de message chiffré à quelqu'un si vous ne disposez pas de sa clé publique. Généralement, c'est la personne avec qui vous souhaitez communiquer qui vous la donne en main propre, mais ce n'est pas toujours envisageable.
Ce serveur de clé tient donc le rôle d'informateur et ses informations sont publiques, il suffit de l'interroger. Bien qu'il soit informateur, ça ne veut pas dire que les informations sont fiables, mais il s'agit néanmoins de l'un des informateurs possibles.

Un autre informateur, ce serait par exemple que je publie ma clé GPG ici sur ce site web.

Code :

$ gpg -k F111110101011
pub rsa4096/0x1FC492901F9CC35B 2017-07-04 [SC] [expire : 2020-07-03]
Empreinte de la clef = 5C5E 6443 8628 C546 CF8B 8CF1 1FC4 9290 1F9C C35B
[...]


Plus vous multipliez les sources d'informations, plus vous avez de raisons de penser que la clé publique montrée est crédible et authentique, si elles concordent.

Bref, ça c'était pour vous expliquer le rôle normal d'un serveur de clés GPG.

Maintenant, ce dont TorrentFreak parle, c'est d'un détournement de l'usage habituel de ce serveur de clés. Ce serveur de clés possède quelques propriétés :
- il n'est pas prévu qu'on puisse faire disparaître une clé qui lui a été envoyée. Le serveur cumule donc les informations, mais n'en retire pas. Sans cette propriété, il ne serait pas possible de confronter des informations contradictoires.
- n'importe qui peut publier, et n'importe qui peut accéder aux informations, pourvu que ce qui est publié suive le format d'une clé GPG.
- à une clé GPG, sont associées d'autres informations, comme le nom de l'utilisateur, son adresse email, et on peut même y joindre une photo.

Donc en effet, au lieu de fournir des informations de contact associées à la clé GPG, il suffit d'y joindre des liens magnet.

En vrai je ne sais pas si cet usage est très commode ni très justifié.
D'une part, ça accroit le risque d'emmerdes possibles pour les serveurs de clé GPG.
D'autre part, il y a peut-être des façons plus appropriées de rendre une information non-censurable, et d'utiliser cette fois-ci GPG proprement en utilisant sa fonction de "signature" qui permet de garantir qu'une information émane bien de la personne que l'on pense être : si l'on a confiance envers la personne, cela permet d'éviter les fakes.

J'ai essayé quelques recherches sur le serveur GPG par curiosité, hormis quelques mots-clés donnés en exemple dans l'article de TorrentFreak, j'ai fait choux blanc.

Voilà pour le topo.

Un commentaire
Le 09-09-2018 à 18:33:30
Par 111110101011

Typiquement, et c'est cet usage "de travers" qui nous le rappelle, ce besoin est justement couvert par la blockchain.
Si on veut qu'une information ne se fasse pas censurer, quoi de mieux que la blockchain ?
La blockchain a pour rôle de préserver l'information, à l'origine pour des transactions financières.

Une petite recherche m'amène à : https://github.com/tyleryes/linksethereum.com
Ici c'est fait avec ethereum, je ne connais pas bien la différence.
Deux mises en garde :
«You can use etherscan cache to get transactions, or search within blocks with your selected node. Be careful because this can get too much time. But if you search manually and your node is a localhost one, your explorer will be 100% decentralized and uncensorable, it will be running all on clientside.»
«Remember that ethereum is traceable, you must not upload ilegal links to the blockchain.»

C'est aussi exactement le même raisonnement exposé dans ce post reddit, qui date d'il y a 4 mois :
https://www.reddit.com/r/btc/comments/8 ... g_website/
Par contre les commentaires sont presque tous à côté de la plaque (débat sur les droits d'auteurs, la rémunération des auteurs, la relation amour-haine entre TPB et Bitcoin...).
Le 1er à être à peu près pertinent dit : «Transactions on the chain should general be considered non anon, so I wouldn't want to be stamping myself with something that could potentially tie my identity to pirated content.». Soit : on est pas anonymes.
Mais c'est à peu près faux : avec Bitcoin, on "choisit" son identité.
Le commentaire suivant, par l'auteur du topic, donne une réponse : pour que ce soit anonyme, il faudrait miner les bitcoins (sous-entendu: plutôt que de payer avec sa carte bleue).
Autre commentaire semble t-il pertinent : oui mais interroger la base ça marchera pas comme ça, mieux vaut utiliser Steem : https://en.wikipedia.org/wiki/Steemit#Steem_blockchain
En fait il se trouve bloqué car pour publier ces données, les transactions ont un coût.
Une des alternatives proposées c'est que les gens choppent simplement la base de données magnet de TPB... mais ce système n'est pas prévu pour se mettre à jour au fil des nouveaux uploads.
De mon côté, j'aurais plutôt envisagé une autre blockchain que celle du bitcoin, où le coût de transaction serait rabattu à qqch de raisonnable, mais je ne connais pas assez les blockchains pour savoir si ça existe ni lesquelles le proposent.

Les Dernières News