Confiance, je pense, c'est la plus grande raison pour laquelle nous devons mettre ceci en place à grande échelle. S'il vous plait, lisez et prenez quelques minutes pour le mettre en oeuvre.
Introduction à OpenPGP
Il y a 25 ans tous les chiffrements étaient basés sur une technique de mot de passe partagé - en raison du fait que tous les participants au chiffrement détenaient la même clé pour déchiffrer, la sécurité pouvait être cassée simplement en obtenant une de ces clés.
Puis arriva le concept de chiffrement à clés publiques. En bref, une clé publique est quelque chose que vous pourriez donner à tout le monde car elle permet uniquement de chiffrer des contenus que vous seuls pourriez déchiffrer avec votre clé privée. La clé publique chiffre, la clé privée déchiffre.
Vous pouvez aussi "signer" des documents avec votre clé privée, ce qui signifie que vous chiffrez le résumé (hash, checksum) de ce document. Vos correspondants pourront vérifier que vous en êtes bien l'émetteur et que ce document n'a pas été modifié.
Questions de Sécurité
La technique la plus simple (et la plus utilisé) pour "casser" ce chiffrement est appelé "Man In the Middle". Si une personne A essaye d'envoyer un document chiffré à une personne B, une troisième personne C peut se placer au milieu et faire croire à A qu'il (C) est en fait B et vice versa. C'est une simple ruse, mais cela fonctionne bien si les personnes ne prêtent pas attention.
Il y a quelques manières pour combattre ces attaques d'usurpation d'identité. La première, et la plus directe est de donner aux gens l'empreinte digitale (fingerprint) de votre clé publique. Pour les clés DSA créés par GnuPG, c'est une suite de 40 numéros hexadécimaux (base 16), les 8 derniers numéros étant votre identifiant de clé (keyid). Tandis que quelques clés peuvent potentiellement partager les même fingerprint, le nombre de clés qu'il faudrait générer pour en trouver une qui correspond est simplement astronomique.
La seconde manière, qui est souvent utilisé quand vous contactez la personne pour la première fois, est de vérifier la signature de sa clé publique. De même que la signature de fichier, vos amis peuvent signer votre clé publique. Contrairement à la signature de document, la signature de clé n'indique pas le propriétaire. Cela indique que la/les personnes qui ont signé font confiance et considèrent que le propriétaire de la clé est bien celui qui la revendique. Si vous obtenez la clé d'une personne pour la première fois et que vous trouvez la signature d'un ami sur celle-ci. Heureusement, vous faites assez confiance dans jugement de cet ami pour faire aussi confiance en la clé de cette nouvelle personne. Si vous ne reconnaissez aucune des signatures de cette clé, vous pouvez passer à la seconde étape et vérifier toutes les signatures de ce nouveau signataire. C'est ce qui s'appèle un réseau de confiance. Du fait que la plupart des IMC'ers (activistes) se connaissent au travers d'une ou deux personnes, nous devrions pouvoir vérifier quelqu'un de nouveau grâce au contacts de son IMC ou par quelqu'un d'un autre IMC l'ayant déjà rencontré.
Chaque fois que vous ajouter 1 bit, vous doublez la sommes des combinaisons de clé possibles. En considérant que la puissance d'un ordinateur double tous les 18 mois, cela prendrait plusieurs fois la durée de votre vie pour casser une clé de 1024 bits. Il serait bien plus simple pour eux de rentrer chez vous et de copier votre clé secrète présente sur votre disque dur. C'est pourquoi nous utilisons une "phrase de passe" (passphrase) pour chiffrer/déchiffrer notre clé secrète à chaque fois que nous l'utilisons. Si vous ressentez le besoin d'être vraiment sécurisé, utilisez une "phrase de passe" longue, sans mots, alphanumérique avec des majuscules et minuscules et conserver votre trousseau de clés (keyrings) sur une disquette cachée précieusement plutôt que sur votre disque dur.
Pour commencer
Si vous ne l'avez pas encore fait, allez sur
http://www.gnupg.org/ et télécharger le programme. A partir du Shell (utilisateurs Windows: Shell = DOS), exécutez la commande suivante deux fois:
gpg --gen-key
La première fois cela devrait vous dire que le trousseau de clés est créé, la seconde fois, le menu pour la génération de clés apparaîtra. Utiliser ce qui est par défaut sauf pour
Real Name,
Email, et
Passphrase. Vous pouvez définir une date d'expiration
1y (1 an) du fait que c'est votre première clé, n'entre pas de commentaires sauf si vous créez plus d'une clé (séparez les clés (maison/travail). Bougez la sourie, tapez des caractères au hasard durant la génération aléatoire si il n?en a pas assez, continuez. A ce point vous devriez avoir terminé la génération, donc essayez ceci:
gpg --fingerprint
Cela devrait vous montrer votre clé accompagnée de son fingerprint et d'autres donnés tels qu'une subkey, etc. Maintenant, et avant de faire quoi que se soit d'autre, prenez une "Nouvelle Disquette" et copiez-y les fichiers
*.gpg afin d'avoir une sauvegarde. Avec votre clé secrète, vous avez toujours la possibilité de signer une nouvelle clé pour vous-même et de générer un certificat de révocation pour l'ancienne ou simplement lui ajouter une nouvelle adresse email (ou effacer les anciennes), mais sans la clé secrète, vous perdez tout le pouvoir dessus jusqu'à expiration.
Maintenant il est temps d'envoyer votre clé sur un serveur de clé IMC. Lequel n'est pas important du fait qu'ils sont tous liés, choisissez-en un proche de vous et utilisez-le. S'il cesse de fonctionner, choisissez en un autre. Tapez ceci pour envoyer votre clé sur le serveur
keys.indymedia.org:
gpg --keyserver keys.indymedia.org --send-key <your keyid>
Quand vous avez affiché votre fingerprint votre keyid était présent ! Il est affiché après
1024D/ et se trouve être aussi les 8 derniers numéros de votre fingerprint Une fois après avoir complété cette étape, votre clé est disponible pour que d'autres personnes l'utilisent. Vous pouvez récupérer les clés de vos amis ou obtenir la mises à jours de la votre qu'un ami à signé avec la commande suivant:
gpg --keyserver keys.indymedia.org --recv-key <keyid>
Afin de définir un niveau de confiance et signer la clé d'un ami (ami signifie que vous l'avez rencontré et avez vérifié que cette clé est légitime):
gpg --edit-key <keyid>
En suite utilisez le menu pour
trust,
sign et
save. Un dernier truc avant de continuer. Pour ne pas avoir tout le temps à taper
--keyserver <host> vous pouvez éditer le fichier de configuration de GnuPG et écrire
keyserver <host>.
Utilisez le
L'outil le plus pratique pour utiliser GnuPG est votre client mail. Recherchez sur
GnuPG Frontends pour voir comment faire fonctionner votre client. Bien entendu, si vous utilisez un webmail standard, vous devrez le faire de la manière hard ou vous pourriez obtenir un vrai service email.
Pour chiffrer quelque chose "à la main" sauvegardez le en tant que fichier texte et tapez:
gpg --armor --encrypt <filename> -r <keyid>
Ceci va créer un nouveau fichier texte
<filename>.asc - pour déchiffrer quelque chose chiffré avec votre propre clé (chiffrez quelque chose avec votre propre clé afin tester) tapez ceci:
gpg --decrypt <filename>
Vous utiliserez un
< (symbole de re-direction) ou --output pour envoyer le résultat dans un fichier plutôt qu'à l'écran.
Il y a des milliers d'autres possibilités, mais je vous conseillerais de lire le manuel qui vient avec GnuPG afin de les découvrir.
Ayez du plaisir, et s'il vous plait, ne vous laisser pas décourager par tant de technicités. C'est vraiment simple à utiliser et les bénéfices sont supérieurs au temps passé à apprendre.
Pour aller plus loin
- Aide sur GPG:
- Un peu d'histoire
- Theorie
Divers
Page de la keyserver team:
Serveurs de clé actuels:
Liste de diffusion des serveurs de clé IMC:
Interface Web pour rechercher des clés:
--
BertAgaz - 12 Apr 2005: quelques ameliorations, chapitre Pour aller plus loin
to top
