Je n'ai pas de formation en informatique, je me suis récemment intéressé à la sécurité des informations et au cryptage.
J'ai du mal à comprendre pourquoi la navigation Web cryptée utilisant HTTPS a été si largement adoptée, mais en même temps, la plupart des e-mails ne sont pas cryptés. D'après ce que je comprends lors de l'utilisation de PGP, l'échange des clés publiques est un peu compliqué, la méthode recommandée semble être de se rencontrer en personne ou d'obtenir la clé sur la page d'accueil de la personne (qui utilise HTTPS je suppose).
Voici ma suggestion naïve d'une autre façon, je vous serais reconnaissant de dire où je me trompe:
-
Les sociétés de messagerie commencent à me donner la possibilité de télécharger ma clé PGP publique sur leur serveur
-
Mes amis veulent m'envoyer un e-mail sans avoir au préalable ma clé publique. Le client de messagerie de mes amis peut obtenir ma clé publique automatiquement auprès de mon fournisseur de messagerie, par exemple fastmail. Le téléchargement de la clé publique a lieu après avoir appuyé sur le bouton "envoyer un e-mail".
-
Comme la connexion à fastmail serait chiffrée en utilisant TLS, on peut être certain que le connexion va en fait à fastmail. Et on peut être certain que fastmail donne à mon ami la bonne clé que j'ai téléchargée là-bas.
-
Si je m'en fiche, fastmail pourrait générer la totalité de la paire de clés pour moi et stocker à la fois ma clé privée et ma clé publique. De cette façon, je peux toujours lire mes e-mails en utilisant le webmail.
Cela semble simple, et aussi beaucoup plus facile lorsque je veux changer la clé. Tout comme si je veux changer les clés ssh, je génère juste une nouvelle paire et met la partie publique sur le serveur.
Alors, où me suis-je trompé dans cette idée? Ou existe-t-il déjà une solution comme celle-ci, mais les gens ne se soucient pas de l'utiliser?