Et il va sans dire que le Owncloud de Kitsu.eu a le chiffrement activé (je confirme, les fichiers que j'ai uploadé sont inexploitables ^^), ne fonctionne qu'en HTTPS (TLS version 1 au pire, pas de SSL) avec PFS au cas où la NSA enregistre tous les flux en vue de déchiffrer en masse plus tard (je pars du principe qu'ils le font), mise à jour réactive et couche de chiffrement dmcrypt si OVH se prenait l'envie de farfouiller le disque dur.

L'éventuel point faible: quand je crée un utilisateur, je dois lui définir et envoyer un mot de passe initial. Dans l'idéal il faudrait que cet envoi se fasse uniquement par mail chiffré OpenPGP. Se pose alors un nouveau problème: la vérification de clé publique PGP. En effet comment valider l'authenticité de la clé tout en préservant au maximum le pseudonymat de la personne ? La solution c'est un WoT (web of trust) en "structure étoile" autour de "leaders de confiance" publiquement connus comme Sebsauvage ou Timo le Hollandais Volant. Bref :)
(Permalink)