Chiffrer/Signer: The Paranoïa way of life (nouveau sondage) [ Gpg ] - Logiciels - Linux et OS Alternatifs
Marsh Posté le 17-06-2005 à 14:46:05
ANNEXE
Marsh Posté le 17-06-2005 à 15:01:50
hum personnellement je signe/crypte certains de mes mails et discussions sur jabber.
Tu devrais rajouter un petit tuto sur comment créer sa signature & co
(et peut etre présenter certains softs de gestions de clé . )
Marsh Posté le 17-06-2005 à 15:05:32
mikala a écrit : hum personnellement je signe/crypte certains de mes mails et discussions sur jabber. |
C'est prévu pour le second post.
Marsh Posté le 17-06-2005 à 15:06:34
ReplyMarsh Posté le 17-06-2005 à 15:27:44
Je signe seulement mes mails. Les documents non. du moins pas pour l'instant. Pour jabber faudrait juste que je me crées mes clés. quand j'aurais le temps.
Marsh Posté le 17-06-2005 à 15:28:39
l0ky a écrit : Je signe seulement mes mails. Les documents non. du moins pas pour l'instant. Pour jabber faudrait juste que je me crées mes clés. quand j'aurais le temps. |
Ca peut être un bon truc pour garentir sa propriété intellectuelle sur un document, puisqu'il me semble le chiffrage conserve la date.
Marsh Posté le 17-06-2005 à 15:34:47
ReplyMarsh Posté le 17-06-2005 à 15:41:32
dr-freuderick a écrit : Ca peut être un bon truc pour garentir sa propriété intellectuelle sur un document, puisqu'il me semble le chiffrage conserve la date. |
Oui, enfin bon je peux te signer un document avec une date bidon hein...
Le système consiste à concaténer le md5 (par exemple) d'un document avec la date actuelle, et de signer le résultat.
Marsh Posté le 17-06-2005 à 16:13:10
l0ky a écrit : Oui, enfin bon je peux te signer un document avec une date bidon hein... |
Rien ne vaut la foi du cachet de poste
Marsh Posté le 17-06-2005 à 19:34:17
dark a écrit : On dit pas "chiffrer" |
en français si
Marsh Posté le 17-06-2005 à 19:44:33
Mjules a écrit : en français si |
Je corrigerais lors de ma prochaine mise a jour.
Marsh Posté le 18-06-2005 à 01:02:53
Il me semble que la confidentialité (on dit comme ça?) d'un document crypté dépend uniquement de la non-divulgation du procédé de cryptage. Dans le cas du chiffrement, l'algo peut-etre connu de tout le monde, ce n'est pas suffisant pour pouvoir lire les données.
Ex : Le Kobaïen pour moi, c'est un langage crypté, je n'y comprend rien. Mais il me suffirait d'apprendre le Kobaïen pour pouvoir le comprendre.
Par contre un document chiffré, vous avez beau connaître le mécanisme de chiffrement, vous n'arriverez pas à retrouver le document original (enfin, theoriquement )
Marsh Posté le 18-06-2005 à 15:03:28
Traducteur à mes heures perdues (Guarddog notamment), je fais souvent des recherches sur www.granddictionnaire.com qui en dépit de son .com est l'institution publique nommée Office québécois de la langue française. On y trouve justement déchiffrement n. m.
Équivalent(s)
English decryption
Définition :
Opération inverse d'un chiffrement réversible, permettant à une personne autorisée, en possession de la clé, de rétablir en clair un cryptogramme.
Note(s) :
À noter que le déchiffrement suppose que le procédé de chiffrement est connu, alors que le décryptage indique qu'on ignore la clé utilisée et qu'on cherche à la découvrir. Dans le cas d'un cryptogramme surchiffré, un déchiffrement unique ne permet pas de rétablir en clair le texte original.
Le terme décryptage ne peut se substituer à déchiffrement puisqu'il désigne le déchiffrement par cryptanalyse, qui consiste à traduire en clair un cryptogramme dont on ne possède pas la clé.
Marsh Posté le 18-06-2005 à 17:55:00
j'utilise kgpg comme gestionnaire sous KDE, c'est pas mal
A ajouter dans les liens
http://www.gnupg.org/(fr)/index.html
Mais j'ai un conflit à l'installation de enigmail pour Thunderbird :
installation de mozilla-thunderbird-enigmime-1.0.2-3mdk.i586.rpm mozilla-thunderbird-enigmail-1.0.2-3mdk.i586.rpm mozilla-thunderbird-enigmail-fr-1.0.2-0.2mdk.i586.rpm depuis /var/cache/urpmi/rpms |
Marsh Posté le 18-06-2005 à 18:25:40
Va plutôt télécharger l'extension et installe-là.
Je ne fais que signer les mails importants jusqu'à aujourd'hui.
Opera
Marsh Posté le 19-06-2005 à 01:58:29
intéressant comme topic, surtout s'il est appronfondi,
en ce qui me concerne, je ne signe pas les fichiers que j'envoie, et j'ai peut être tord, mais personne ne m'en a jamais fait la demande.
Marsh Posté le 01-07-2005 à 20:02:19
Grosse mise à jour : Partie théorique fini (manque correction et ajouts mineurs) et première partie de la partie pratique.
Marsh Posté le 02-07-2005 à 11:25:51
je veux pas faire mon chieur, mais on dit pas plutôt chiffrement que chiffrage ?
Marsh Posté le 02-07-2005 à 11:27:00
Mjules a écrit : je veux pas faire mon chieur, mais on dit pas plutôt chiffrement que chiffrage ? |
Tu fais ton merdeur
Euh à vrai dire je ne sais pas trop, je vais voir et modifier si il faut.
Marsh Posté le 02-07-2005 à 11:31:26
ceci étant dit, pour l'instant, c'est très clair et très didactique (en tout cas beaucoup plus que ce que j'avais déjà lu sur le sujet)
Marsh Posté le 02-07-2005 à 11:45:04
Mjules a écrit : ceci étant dit, pour l'instant, c'est très clair et très didactique (en tout cas beaucoup plus que ce que j'avais déjà lu sur le sujet) |
Merci, c'est ce que j'esperais.
Dans tout les sujets que j'ai pu lire, j'ai toujours eu du mal a comprendre la logique, j'ai essayé de faire le didactitiel for humain beings.
Marsh Posté le 13-07-2005 à 21:08:18
Le problème c'est que peu de gens ont des clés, du coup ca ne sert pas à grand chose d'en avoir.
Marsh Posté le 13-07-2005 à 23:20:08
oui c'est dommage. Et ceux qui sont sous Windows n'en parlons pas !
Marsh Posté le 14-07-2005 à 00:27:14
L'OS n'a pas grand chose à voir la-dedans, gpg marche très bien sous windows, seul ou avec Thunderbird et enigmail.
Marsh Posté le 14-07-2005 à 00:32:54
je sais mais c'est pas trop leur philosophie non plus.
Enfin, avec kgpg c'est hyper simple
Marsh Posté le 14-07-2005 à 00:43:10
C'est plus parce qu'ils n'en voient pas l'utilité je pense.
Marsh Posté le 14-07-2005 à 00:52:29
j'en profite pour mettre en avant gaim-otr. C'est génial.
Pour gpg, le gestionnaire de clef de GNOME est très simple à utiliser et fait tout ce qu'on peut souhaiter.
Marsh Posté le 21-07-2005 à 00:14:33
c'est quand qu'on chiffre ?
Pour chiffrer des documents persos, je fais :
gpg -c document |
et déchiffrer :
gpg -o document -d document |
c'est plus pratique
Marsh Posté le 26-07-2005 à 19:22:07
J'ai tout mis, je vais maintenant corriger les fautessssssssssss
Marsh Posté le 26-07-2005 à 19:58:32
tu ne précises pas le destinataire ?
Marsh Posté le 17-06-2005 à 14:45:47
GPG : Signature / Cryptage
---------------------------------
Ce document est sous licence LGPL, merci de la respecter !
Vous pouvez le retrouver ici : http://fr.wikibooks.org/wiki/GPG
Bien que la méthode décrite se déroule sous Gnu/Linux, c'est la même que sous les autres systèmes.
Attribuer une signature numérique à vos documents, mails et projets secrets ? Chiffrer ( = Crypter) un document encore plus secret, ou alors des photos qui montrent l'existence de votre frère jumeau caché ? ou simplement vos recettes de cuisine ? La parano's way of life n'est plus réservé aux pro de la programmation machine à chaud.
En effet GPG (lisez : Gnu Privacy Gard) est un outil multi-fonctions libre et gratuit qui permet de signer et de chiffrer à peu prés tout ce qui se présente sous forme numérique (tout ce qui a un bit, si vous me passez l'expression).
Je vous propose un petit didacticiels "in the molière's language" pour être un pro du chiffrage, impressionner vos collègues et vous faire aimer de votre boss sur vos incroyables et nouvelles connaissances sur la certification de données.
Sommaire des réjouissances
1 - Théorie
I - Chiffrage / Signature : explications.
II - Interet & Mise en garde: rapide mise au point.
III - Fonctionnement & Principe.
IV - Annexe.
2 - Pratique
I - Créer sa clef
II - Gérer son porte clef
III - Signer ses informations
IV - Chiffrer ses informations
=== === === === === === ===
1 - THEORIE
=== === === === === === ===
Le chiffrage est la fonction la plus connue. Elle permet de rendre un document complètement illisible pour le commun des mortels qui ne connaît pas la phrase magique. Pour ce faire, le créateur de l'information chiffre ses données à l'aide d'un mot de passe convenu avec son interlocuteur, et ce dernier pourra retrouver les documents de son binôme rapidement - le tout - théoriquement - dans une totale intimité numérique.
C'est une méthode qui fait souvent irruption dans les films d'espionnage, d'ailleurs je pense que GPG est connu pour cette fonction dont les néophytes ont du abuser. Ce n'est pourtant pas la plus "intéressante".
La signature d'information, c'est peu le renouveau de la rareté sur internet . En effet, elle permet à un fichier d'être unique numériquement.
Clairement, la signature numérique permet deux choses : vérifier que les informations reçues proviennent bien de la personne qui nous l'a envoyé et que ces mêmes informations sont reçues dans leurs intégralités. Cela permet une multitudes de possibilité assez intéressante dans de nombreux domaines.
Je peux, grâce à ça m'assurer que les informations que je possède sont "authentiques", "officielles" et qu'elles n'ont pas été détournées par un tiers malveillant (ou même bienveillant soit dit en passant).
Est ce utile pour le commun des mortels ? oui et non. Oui parce qu'il faut toujours avoir un système de confidentialité prêt à être utilisé, et non parce que l'utilisateur alpha n'a peut être pas besoin de savoir absolument si le message reçu vient bien du destinataire qui l'affirme.
Bien sur la "parano way of life" peut laisser beaucoup perplexe. A quoi peut servir le chiffrage à tout va !? Il faut bien comprendre que c'est l'utilisation de première vue qui peu dérouter un peu. Il y a une multitude d'utilisations dérivées possibles et pas que pour le nerdz au 32ème degrès.
Par exemple, la signature numérique, peu servir de véritable "certificat d'authenticité" gageant de la provenance, de l'officialité et de l'intégralité de l'information obtenue. De là, on peut imaginer énormément de possibilité que soit de façon professionnelle comme pour les particuliers. Mais il y a quand même un brin de paranoïa.
Il faut aussi ne pas oublier que le chiffrage/signature n'est pas qu'une question d'informatique. Autrement dit, il ne faut pas rester que sur le support informatique. Par exemple, concernant les mots de passe d'un document chiffré, ou les signatures publiques (voir plus bas), qu'il faut fournir à l'interlocuteur, il est peu utile de passer par un moyen informatisé comme le mail pour fournir les informations.
Il vous faudra malheureusement accéder à un contact social physique dans une pièce au mur de béton armé pour fournir les précieuses information de base. Car rien n'est plus sur que voir la personne pour convenir d'un mot de passe, ou donner la clef publique, si on veut rester totalement intègre face au principe, c'est blasphématoire de communiquer mot de passe via mail, messagerie instantané .. bref n'importe quel intermédiaire informatique peu sécurisé. La sécurité totale du chiffrage, de la transmission d'information est globale dans tout son développement, il faut limiter les intermédiaires, et sécuriser les transmissions physiques/numériques.
Je veux dire qu'il y a une forme de "relativisme" à adopter pour éviter de tomber dans le piège de l'informatique pour l'informatique et ne pas oublier que si on fait ça il y a un raison qui vient du monde réel. Maintenant que vous êtes avertit, vous pouvez apprendre à vous en servir.
Le système de clefs
GPG possède un système de clefs asymétriques . Bien que cela puisse paraître barbare, c'est assez simple mais il faut le comprendre pour bien utiliser l'ensemble.
Lorsque que vous créer votre "profil" (appelons par cela, lorsque vous créer l'ensemble des données pour signer/chiffrer vos données de votre nom), deux clefs sont crées : la clef publique et la clef privée.
La clef privée doit rester confidentielle. Elle vous permettra d'exporter votre profil sur d'autre machine, c'est elle qui contient toute les informations vous concernant (cryptées évidement).
La clef publique est celle que vous devez fournir à vos correspondant. Elle permet à ces derniers de reconnaître l'authenticité de vos mails et de chiffrer des informations pour votre utilisation.
Il faut savoir qu'une clef publique peut ne pas forcement être attribuée à une personne mais aussi à un groupe de personne (une personne morale).
Signer
Lorsque vous signez une information, vous tapez votre code. GPG crée un fichier unique associé à vos informations. Il est unique.
Autrement dit si vous modifiez le document signé, le fichier de signature ne sera plus valide. Même dans le cas où vous modifiez le document et annulez les modifications, le fichier signature ne sera plus valide.
Le fichier signature doit être fait avec la version finale du document à signer, il ne doit plus bouger d'un bit après la signature.
Ensuite vous envoyez votre document à une personne. Cette dernière doit posséder votre clef publique. Il servira de cette dernière avec GPG pour vérifier que le documents est (encore une fois au bit près) conforme a ce que vous lui avez envoyé et surtout à vérifier qu'il vient bien de vous (car vous seul pouvez générer ce fichier signature avec votre clef privée).
Il y a véritablement une question d'unicité dans la signature numérique. Si le contenu signé est modifié ne serai ce que de rien du tout (il suffit de l'ouvrir souvent pour modifier les informations contenu), alors il ne sera plus authentique & certifié.
Cette méthode n'empêche pas quiconque de lire le contenu, il permet de vérifier que ce contenu est authentique, et intégral à la version de celui qui l'a composé.
A savoir : il existe de serveur sécurisé pour stocker les clefs publiques. C'est plus pratique pour que n'importe qui puisse vérifier la validité du document. Vous pouvez aussi mettre ce fichier sur votre site internet, mais le plus sécurisé reste de transmettre la clef .. par un contact social.
Chiffrer
Cette méthode permet de diffuser des informations qui, en plus d'être certifiées authentiques et intégrales, ne sont pas lisible par quiconque.
Lorsque vous chiffrez un document, vous spécifiez la clef publique appartenant à la personne (morale ou physique) qui est le destinataire. Seule cette personne (qui possède également le mot de passe) pourra déchiffrer les informations. Vous pouvez aussi chiffrer « dans le vide », c'est a dire que le fichier n'est pas destiné à quelqu'un, mais à toute personne connaissant le mot de passe, mais c'est évidement moins sécurisé.
C'est donc beaucoup plus confidentiel. Bien qu'on puisse croire à première vue que c'est destiné pour la communication entre deux seules personnes. Ce n'est pas forcément vrai. Un profil peut appartenir à un groupe de personne (association, entreprise) donc chaque ordinateur de ce groupe peut posséder le même compte. Mais la sécurité est plus controversé dans ce cas là.
Il existe beaucoup d'applications qui utilise GPG, et donc la signature et le chiffrage. La messagerie instantané Jabber, ou encore Mozilla Thunderbird avec son module enigmail pour les mails.. tout ces logiciels facilitent l'utilisation des outils de GPG pour une utilisation courante.
==========================
2 - Pratique
==========================
Il faut savoir que la majorité de l'initialisation se fait en ligne de commande (ici en tout cas). C'est ce que je préfère, dans la parano's way of life, on aime pas les interfaces graphiques. Mais vous en trouverez un large nombre qui vous faciliterons la vie.
Une fois GPG installé, vous pouvez créer vos clefs. C'est très simple, il suffit de lancer une console et taper :
gpg --gen-key
A partir de moment vous allez avoir un certain nombre de question.
- Le choix du chiffrage : le choix (1) DSA et Elgamal sont conseillé, même si vous faites que signer je pense que c'est le choix à faire.
- La longueur de la clef : Théoriquement, plus la longueur de la clef est grande, plus la sécurité est forte. Le standard étant 2048 et le maximum 4096. Plus la clef est longue, plus elle a du poids, il me semble pas que ce soit un soucis de nos jours où on parle d'avoir des connections à fibres optiques pour tous. Personnellement j'ai pris 4096 (parano's way of life). A savoir : plus la clef est longue, plus l'ordinateur a du mal à la générer: pendant la génération, pour qu'elle soit efficace donne un résultat hautement sécurisé, il faut utiliser son ordinateur, bouger la souris, taper du texte, bref... "mettre des artefacts" pendant la génération.
- Le temps de la clef : intuitivement, on aurait tendance à mettre illimité. Pourtant, je ne pense pas que ce soit la bonne solution. Sachant que vous pouvez perdre votre clef privé, ou vous la faire voler qui sait (on peut quand même révoquer publiquement une clef cf plus loin) ou tout simplement si vous oubliez votre mot de passe. Donc, le mieux pour la sécurité reste de re-générer périodiquement votre clef. Si vous enregistrez votre clef publique sur les serveur PGP ça ne pose que peu de problème. Dès que la clef publique est morte, vous pourrez la remplacez par une nouvelle. Tout dépend de votre utilisation et de votre paranoïa quand au chiffrage de vos donnés. Il faut y réfléchir avant hein .
-Identité tout les questions de nom, email, commentaires (on met généralement le site). C'est important étant donné que ce sont les informations qui apparaîtrons lors de la vérification des signatures.
-Mot de passe : Forcément très important, l'idéal serai 3anc3dlk56nld12qn#@ius mais c'est pas très simple a retenir. Plus simple, une phrase relativement longue, avec des caractère spéciaux. Plus la complexité est grande, plus la sécurité est grande. Et ne pas oublier... de ne pas oublier ce mot de passe; auquel cas il faudras régénérer une clef (d'où l'utilité de créer des clef périodiques).
A partir de ce moment, les clefs se génèrent. Dès qu'il n'y a plus de . et de + ,c'est que tout s'est bien passé. Il vous informe des informations concernant vos clef publiques/privé et vous donne "l'empreinte". Cette empreinte permettra de retrouver votre clef publique dans le serveurs PGP pour une vérification plus aisée et automatique.
Gérer son porte clef, c'est exporter sa clef public pour la diffuser, exporter sa clef privée pour la sauvegarder, c'est aussi importer les clefs publiques de ses amis.
Pour connaître la liste des clefs publiques que vous possédez :
gpg --list-key
Pour connaître la liste des clefs privées :
gpg --list-secret-keys
Pour supprimer une clef publique:
gpg --delete-key la-clef-publique
Et pour la clef privée :
gpg --delete-secret-key la-clef-privée
Export
Pour que vos amis super secret puisse vérifier la validité des informations que vous leurs envoyez, il faut leurs donner la clef publique !
gpg --export --armor votre-clef > ~/clefpublique.asc
Cette commande génèrera un fichier .asc qui est finalement un fichier texte. De là, plusieurs solutions s'offre à vous.
Vous l'aurez compris, il faut limiter absolument le nombre d'intermédiaire non sécurisé. Rien que l'export en fichier sur votre disque n'est pas sécurisé ! Pour cela il existe une commande qui permet d'exporter votre clef de façon secusié directement sur le serveur :
gpg --export --keyserver pgp.mit.edu clef-publique
Mais j'ai toujours eu du mal à l'utiliser.
Import
Un fois crée, vous ou vos collègues de la DST doivent pouvoir mettre la clef publique dans leurs trousseau de clef !
Vous recuperez le fichier asc en question et faites tout simplement :
gpg --import clef.asc
Après, faites un petit --list-key pour verifier qu'elle est bien présente.
Il faut savoir un petit détail pour les étourdis, si vous perdez votre clef privée, vous ne pourrez pas la retrouver en ré-important votre clef publique. Il faut exporter votre clef privée mais là c'est hautement pas sécurisé : il faut chiffrer le fichier ASC avec un mot de passe que vous n'oublierez jamais, ou mieux se l'imprimer si vous avez un scanner capable de faire de l'OCR, ou le cacher dans un autre fichier... bref vous l'aurez compris, exporter sa clef privée n'est pas une bonne chose, il vaut mieux prendre ses précaution (clef périodique, faire une clef pour révoquer, avoir un système stable et durable etc..).
Pour pouvoir reimporter sa clef privée, il faut l'exporter avec la commande suivant :
gpg --export-secret-key -a > fichier
et l'importer avec cette commande :
gpg --import --allow-secret-key-import fichier
Cette operation est relativement peu sécurisé, il vaut mieux l'éviter.
Détruire sa clef
Pour une raison ou une autre on peut regretter sa clef. Et vous l'avez diffusé sur tout les serveurs ! Il existe un moyen simple : il faut révoquer votre clef. Autrement dit vous créez une clef qui mise sur les même serveurs "annoncera" la fin de validité de clef publique. Très pratique quand on a crée une clef a durée de vie illimitée.
gpg --gen-revoke votre-clef
Elle créera un certificat pour révoquer votre clef, à mettre ensuite sur les serveurs de clefs. Autant vous dire qu'il est intelligent de créer ce certificat avant que vous en ayez besoin. Il est aussi important de ne pas le dévoiler même si c'est moins important que la clef privée (on ne pourra pas signer à votre place, mais on pourra vous empêcher de signer).
Nous attaquons une partie intéressante: la signature électronique ! Il existe deux méthodes, il faut étudier laquelle convient le mieux à votre utilisation.
1-Avec un fichier joint
Pour signer un fichier, il faut taper :
gpg --default-key votre-clef --armor --detach-sign fichier
Cela créera un fichier portant le même nom que celui à signer avec une extension *.asc. Ensuite il vous suffira d'envoyer votre fichier avec lequel vous allez joindre le fichier *.asc.
Pour vérifier que le fichier est certifié authentique, il suffit de taper (si bien sur vous avez la clef publique de votre correspondant) :
gpg --verify fichier.asc fichier
2-Signature intégrée
Vous pouvez intégrer dans le fichier même (par exemple les message, les fichier textes etc..) la signature électronique. Pour cela :
gpg --default-key votre-clef --clearsign fichier
La signature se trouvera à l'intérieur du fichier. Vous le remarquerez rapidement, votre texte sera entourée des balises GPG avec le morceau de la signature.
Pour vérifier l'authenticité :
gpg --verify le-fichier-signé
Bien sur c'est la version manuelle, des logiciels font ce genre de travail parfaitement, comme enigmail pour signer les mails.
1- Chiffrer
Allons y ! Produisons des fichiers hautement sécurisé (du moins théoriquement).
gpg --recipient la-clef-du-receptionneur --encrypt fichier
Cela vous pondra un fichier .gpg illisible de façon binaire.
Mais vous pouvez chiffrer l'information de façon ascii, souvent plus recommandé, de cette façon :
gpg --recipient clef-du-receptionneur --armor --encrypt fichier
A ce moment là, vous aurez un fichier *.asc, qui est lisible par un éditeur de textes, mais bien sur incompréhensible. C'est plus conseillé puisque plus souple, vous pouvez faire un copier coller du fichier via mail ou autres si il est chiffré en ascii. Les deux façons sont aussi sécurisées l'une que l'autre.
Mais la première est moins gourmande en poids (relatif) et la seconde est plus simple d'exportation.
Dans les deux cas, seule la personne possédant la clefs indiquée dans la commande pourra déchiffrer les informations.
2 - Déchiffrer
gpg --decrypt fichier > fichier
Tout simplement, il demandera le mot de passe de l'utilisateur et transformera le fichier.gpg en fichier lisible.
Autre moyen de chiffrer / Déchiffrer:
Le chiffrage « dans le vide », c'est a dire qui n'utilise pas le système de clef, on vous demande un mot de passe que votre interlocuteur doit connaître.
gpg -c fichier pour crypter
gpg -o fichier.gpg -d fichier pour déchiffrer.
Rappelons que la meilleur façon de donner un mot de passe a quelqu'un c'est pas un contact SOCIAL !
Message édité par dr-freuderick le 06-08-2005 à 10:03:19
---------------
The Toast, un docu-fiction qui teste la loi de murphy et les films en carton