Toile de confiance au dela de la certification

Un (futur) utilisateur m’a fait remarquer qu’il serait peut-être utile d’utiliser la toile de confiance pour autre chose que de la certification, comme par exemple pour modifier un mot de passe.

Qu’en pensez-vous ?

Bonsoir,

Peux-tu préciser l’idée ? J’avoue ne pas bien comprendre.

Disons que par exemple, les personnes qui t’ont certifié peuvent se porter garant de ton identité pendant la durée de leur certification, et donc, autoriser une modification du mot de passe si tu en fais la demande.

Techniquement, je vois ça en trois étapes :

• tu choisis le nouveau mot de passe, qui n’est pas validé tant que les personnes qui t’ont certifié n’ont pas validé ta requête,
• tu vas rencontrer les personnes qui t’ont certifié qui indiquent à leur tour au système que tu as perdu ton mot de passe,
• le système valide ton nouveau mot de passe une fois que ces personnes ont validé ta requête.

C’est une excellente idée. Disons qu’il faudrait autant de certifieur validant cette demande que de certifieur nécessaires pour être membre.

de quel mot de passe parlez vous?

Je sais pas.

Pas celui qui est utile pour s’authentifier si on sait qu’il est trouvé par un autre individu ? Ah mais, cela ne change-t-il pas la clef d’identification ?

En fait, si on voit la certification comme une confiance mutuelle et non unidirectionnelle (actuellement elle va du “certifieur” au certifié), alors on peut réutiliser tous les “certifieurs” comme garants de l’existence du membre.

Techniquement parlant, cela permet par exemple de réinitialiser le mot de passe d’authent du compte du certifié. Et on peut imaginer d’autres applications possible.
Humainement parlant, cela met en place naturellement une confiance mutuelle (le certifié devra également avoir confiance dans tous ceux qu’il a certifié, contrairement à aujourd’hui).

Bien entendu, aujourd’hui, il n’est pas possible de modifier le mot de passe, mais je propose là une règle forte entre le fonctionnement du réseau de confiance et sa projection dans les relations humaines, qui peut vraiment promouvoir la toile de confiance pour d’autres applications que la certification (va falloir sortir de la technique pure à un moment donné ^^).

Après, par mesure de sécurité par le biais de la temporalité, on peut laisser un délai entre le moment où les certifieurs ont indiqué qu’ils valident le changement de mot de passe, et le moment où il sera effectif, afin de permettre à une personne attaquée d’empêcher que ses certifieurs, ou une personne qui a usurpé l’identité de l’attaqué, changent son mot de passe à son insu.

Hum moui enfin la confiance c’est relatif à tellement de choses… Je fais confiance à M. X pour une certaine action ou un état de fait, mais pas pour autre chose.
Concrètement, ce n’est pas parce que je reconnais qu’une personne est unique dans une monnaie (toile de confiance de la monnaie) que je lui fais confiance pour gérer mon autorisation de changer de mot de passe.
Ceci dit, il y a un truc à creuser, mais je ne suis pas certain que cela soit lié à la toile de confiance de la monnaie.

Ben justement, ça rajoute de la confiance mutuelle dans le réseau, ce qui n’est pas le cas aujourd’hui.

Je pense qu’il n’est pas bon de juste se faire certifier par quelqu’un “d’unique” dans le réseau. Comme il n’est pas bon de certifier quelqu’un que l’on croise. Du coup, mettre de la confiance mutuelle me semble plus pertinent BTK.

Techniquement parlant, la toile de confiance parait très robuste, mais ça manque d’approche sociale pour moi, qui du coup, peuvent faire tomber les règles implicites proposées par la technique, et nous feraient à terme subir cette toile de confiance plutôt qu’en profiter (le comble pour quelque chose qui souhaite faire de la gouvernance distribuée).

Aujourd’hui, je vois que beaucoup de gens veulent se faire certifier à tout prix. Peut-être est-ce pour être hype à participer à la monnaie libre, et que ça disparaitra si la monnaie libre prend. Mais j’y vois surtout un non respect des valeurs que défendent les initiateurs de la monnaie libre BTK.

Comme tu dis, la confiance est relative à tellement de choses. Alors pourquoi ne pas mieux choisir les personnes qui te certifient ? On parle bien d’une toile de confiance là, avec une gouvernance ouverte. C’est pas n’importe quoi, et il me semble normal d’avoir des liens forts humainement parlant, entre les personnes, plutôt que trop de souplesse comme c’est le cas aujourd’hui.

Aujourd’hui, la règle c’est “certifiez ceux que vous connaissez”. Imagine qu’on dise à présent, “faites-vous certifier par des personnes qui seront capable de changer votre mot de passe”. Du coup, l’expansion de la toile dépend beaucoup plus d’une confiance mutuelle, plutôt que d’une confiance des certifieurs vers les certifiés. Et chacun devient un peu plus responsables pour le bon fonctionnement global non ?

Du coup, les certifieurs choisissent ceux qu’ils veulent dans le réseau, et les certifiés choisissent ceux qui vont participer avec eux au bon fonctionnement du réseau.

Bref, c’est de la confiance mutuelle humaine supplémentaire, au dela de la complexité technique qu’une minorité va concilier avec l’usage de la monnaie, et dans laquelle je ne crois pas sociétalement parlant (rien que l’histoire des précautions du mot de passe en rebute énormément, et fait que l’on devra passer par des tiers de confiance comme ce qui s’est fait avec le bitcoin, et qui se sont fait piratés avec la perte de multiples comptes associés)

Là encore, j’ai du mal à te suivre : il faut être certifié par plusieurs membres.

Soyons prudent quand même. Il me paraît difficile de sonder les motivations de chacun à intégrer une monnaie libre.
Et quand bien même, si les motivations d’une personne sont “opportunistes”, est-ce que cela lui interdit de devenir membre de la monnaie à partir du moment où elle remplit les critères (reconnue réellement par d’autres membres, pas un faux compte, etc.)

Peux-tu préciser ?

Est-ce que c’est techniquement possible ? D’après ce que j’ai entendu dans le Monnaie Libre n°78, on peut révoquer un compte mais pas en changer le mot de passe (tu veux sans doute parler de la phrase d’ailleurs ?)

Et donc implicitement, ceux qu’ils ne veulent pas ?

Sur quels critères vont-ils choisir ? J’avoue que cette proposition m’effraie. La TRM sur laquelle est basée G1 définit 4 libertés (celle-ci étant un principe symétrique de non-nuisance, vis-à-vis de soi-même et des autres) dont celle-ci : la liberté d’échanger dans la monnaie, autrement dit de choisir son système monétaire. À partir du moment où une personne existe, a manifesté le souhait d’intégrer le système monétaire et peut être reconnue (avec toutes les précautions d’usage, je ne reviens pas dessus), pourquoi le lui interdirait-on ? Mais peut-être n’ai-je pas bien compris ce que tu voulais dire…
.

en emporte le vent?

Je pense que chacun est libre de faire ce qu’il veut, en conscience. Si un escroc notoire venait te voir pour le certifier, que ferais-tu? Et d’ailleurs, on en vient à la question de certifications sous la contrainte, et certifications « payées ». It’s a wild, wild world… mais on n’en est pas encore là (enfin j’espère! ).

Tu trouves qu’il y a trop de souplesses, alors que je trouve c’est difficile de faire rentrer des membres sereinement (Il faut qu’ils trouvent 5 personnes membre qui peuvent déclarer les connaître)… Pas simple notre histoire !

Sur le principe, responsabiliser les certifications pour limiter les certifications “à tout va”, ça parait pas idiot. Après la formule proposée ici me parait peu adaptée pour avoir une toile de confiance de 1 Millions d’utilisateurs, ou il faut que les utilisateurs certifient en moyenne ~50 personnes. (On estime à 150 le nombre de connaissances maximum d’un humain)

Il ne faut pas oublier qu’on cherche à créer un Dividende dit Universel, il faut donc tenter d’avoir la toile la plus large possible tout en maintenant la sécurité la plus forte possible.

Après des solutions de changement de mot de passe on y pense déja. Notamment par un nouveau document qui dirait “Changement de pubkey mais même UID”. Il serait signé par l’ancienne clé et la nouvelle, et l’UID ferait le point pivot entre les 2 clés. Reste à avoir des IHM/outils simples à utiliser autour de ça.

Oui. A noter que pour l’instant, la monnaie se construit. Il faut donc patienter un peu, on doit encore agrandir la base solide de la toile pour s’assurer de pouvoir atteindre le millions d’utilisateurs dont la grande majorité suivrait la règle de l’unicité d’identité dans la toile.

Je pense qu’on a déjà la réponse à ces deux possibilités.

1. La certification sous la contrainte nécessite de connaitre des gens suffisamment proche des sentries et plusieurs. Si on peut facilement contraindre une personne, en contraindre plusieurs serait plus difficile. Surtout si parmis ceux là, certains n’ont plus de certifications disponibles… La certification par contrainte, de masse, dévaloriserait cette monnaie et l’escroc s’échinerait en vain. Cela n’est dans l’intérêt de personne donc.
2. Pour ce qui est de l’achat de certification, c’est aux risques et périls du demandeur et du certifieur. Si on rejoint la monnaie libre, c’est que la monnaie dette ne nous intéresse pas, donc le demandeur pourra promettre de payer en monnaie dette, mais cela serait sans intérêt. Tandis que le certifieur peut toujours attendre un paiement en DU que le demandeur soit inscrit et qu’il n’oublie pas…
3. La seule éventuelle possibilité d’incitation à la certification, c’est la confiance et le don de soi, de son savoir-faire immédiat, ou d’objets que nous ne saurions nous approprier simplement… ZUT, la corruption entre en compte ici : poste à pourvoir, œuvres d’art…

[troll on]Aller, ça vaut combien une certif? Un Picasso?[troll off]
PS: quand je parlais de « payer », ce n’était pas forcément en monnaie, mais les mots ont le sens qu’on veut bien leur donner.

C’est une vraie question. N’y a-t-il pas nuisance à interdire à quelqu’un de faire partie du système monétaire (en supposant que les conditions de sécurité sont réunies) ?
En l’écrivant, je me rends compte qu’une personne seule ne peut sans doute pas interdire l’entrée à une autre dans l’espace économique. Il faudrait pour cela qu’aucun membre (ou presque) ne certifie ce potentiel nouvel entrant.

J’avoue que je serais bien embêté. D’un côté, il apporterait avec lui un risque de fraude. De l’autre, quel argument pourrais-je lui opposer ?

Fort heureusement, le cas ne s’est pas présenté . De plus, je ne suis malheureusement pas encore membre .

N’y a-t-il pas aussi nuisance à introduire quelqu’un dans un espace si ses intentions ne sont pas louables et qu’il risque donc de perturber cet espace de manière négative? (définir « négative », mais vous m’aurez compris…) Mais sur quoi se baser pour jauger ses intentions dans le futur et dans ce nouvel espace, puisque dans le temps, les circonstances et l’espace les intentions d’un individu peuvent changer du tout au tout? Bref, on retombe pour moi sur « c’est chacun qui voit, en son âme et conscience ». Et en tout cas ça risque d’être le cas tant qu’il n’y a pas consensus (mais je ne vois pas bien comment) sur une procédure explicitement définie pour la certification (bonjour les formulaires!). Pour ma part, je pars du principe que les humains sont tous différents, et s’en remettre à leur jugement me paraît être la seule solution ici, à condition qu’ils sachent les implications de la certification (dont entre-autres la délégation du jugement pour certifier autrui, ce qui n’est pas rien!).

Edit: il ressort de mon message qu’il ne faut certifier quelqu’un que s’il a bien montré qu’il est lui-même conscient de la portée de la certification…

C’est sur, c’est le principe de la quasi-transitivité de la toile de confiance.

Ici, il ne faut pas oublier qu’il existe la justice, que rejoindre la communauté consiste à accepter une “licence d’utilisation”, et que quelqu’un qui tricherait et se ferait avoir pourrait avoir à subir les foudres des juges.

Sur le principe, oui, c’est sûr… Je te laisse expliquer au juge ce qu’est la blockchain, la toile de confiance, les sentries, la règle de distance… bon courage!

ah ? Quelles sont-elles ? Y’a des valeurs spécifiques des initiateurs ? Et on doit adopter les mêmes ?
Ou parles-tu des 4 valeurs économiques ?