Confiance, je pense, c'est la plus grande raison pour laquelle nous devons mettre ceci en place \xE0 grande \xE9chelle. S'il vous plait, lisez et prenez quelques minutes pour le mettre en oeuvre.

Introduction \xE0 OpenPGP

Il y a 25 ans tous les chiffrements \xE9taient bas\xE9s sur une technique de mot de passe partag\xE9 - en raison du fait que tous les participants au chiffrement d\xE9tenaient la m\xEAme cl\xE9 pour d\xE9chiffrer, la s\xE9curit\xE9 pouvait \xEAtre cass\xE9e simplement en obtenant une de ces cl\xE9s.

Puis arriva le concept de chiffrement \xE0 cl\xE9s publiques. En bref, une cl\xE9 publique est quelque chose que vous pourriez donner \xE0 tout le monde car elle permet uniquement de chiffrer des contenus que vous seuls pourriez d\xE9chiffrer avec votre cl\xE9 priv\xE9e. La cl\xE9 publique chiffre, la cl\xE9 priv\xE9e d\xE9chiffre.

Vous pouvez aussi "signer" des documents avec votre cl\xE9 priv\xE9e, ce qui signifie que vous chiffrez le r\xE9sum\xE9 (hash, checksum) de ce document. Vos correspondants pourront v\xE9rifier que vous en \xEAtes bien l'\xE9metteur et que ce document n'a pas \xE9t\xE9 modifi\xE9.

Questions de S\xE9curit\xE9

La technique la plus simple (et la plus utilis\xE9) pour "casser" ce chiffrement est appel\xE9 "Man In the Middle". Si une personne A essaye d'envoyer un document chiffr\xE9 \xE0 une personne B, une troisi\xE8me personne C peut se placer au milieu et faire croire \xE0 A qu'il (C) est en fait B et vice versa. C'est une simple ruse, mais cela fonctionne bien si les personnes ne pr\xEAtent pas attention.

Il y a quelques mani\xE8res pour combattre ces attaques d'usurpation d'identit\xE9. La premi\xE8re, et la plus directe est de donner aux gens l'empreinte digitale (fingerprint) de votre cl\xE9 publique. Pour les cl\xE9s DSA cr\xE9\xE9s par GnuPG, c'est une suite de 40 num\xE9ros hexad\xE9cimaux (base 16), les 8 derniers num\xE9ros \xE9tant votre identifiant de cl\xE9 (keyid). Tandis que quelques cl\xE9s peuvent potentiellement partager les m\xEAme fingerprint, le nombre de cl\xE9s qu'il faudrait g\xE9n\xE9rer pour en trouver une qui correspond est simplement astronomique.

La seconde mani\xE8re, qui est souvent utilis\xE9 quand vous contactez la personne pour la premi\xE8re fois, est de v\xE9rifier la signature de sa cl\xE9 publique. De m\xEAme que la signature de fichier, vos amis peuvent signer votre cl\xE9 publique. Contrairement \xE0 la signature de document, la signature de cl\xE9 n'indique pas le propri\xE9taire. Cela indique que la/les personnes qui ont sign\xE9 font confiance et consid\xE8rent que le propri\xE9taire de la cl\xE9 est bien celui qui la revendique. Si vous obtenez la cl\xE9 d'une personne pour la premi\xE8re fois et que vous trouvez la signature d'un ami sur celle-ci. Heureusement, vous faites assez confiance dans jugement de cet ami pour faire aussi confiance en la cl\xE9 de cette nouvelle personne. Si vous ne reconnaissez aucune des signatures de cette cl\xE9, vous pouvez passer \xE0 la seconde \xE9tape et v\xE9rifier toutes les signatures de ce nouveau signataire. C'est ce qui s'app\xE8le un r\xE9seau de confiance. Du fait que la plupart des IMC'ers (activistes) se connaissent au travers d'une ou deux personnes, nous devrions pouvoir v\xE9rifier quelqu'un de nouveau gr\xE2ce au contacts de son IMC ou par quelqu'un d'un autre IMC l'ayant d\xE9j\xE0 rencontr\xE9.

Chaque fois que vous ajouter 1 bit, vous doublez la sommes des combinaisons de cl\xE9 possibles. En consid\xE9rant que la puissance d'un ordinateur double tous les 18 mois, cela prendrait plusieurs fois la dur\xE9e de votre vie pour casser une cl\xE9 de 1024 bits. Il serait bien plus simple pour eux de rentrer chez vous et de copier votre cl\xE9 secr\xE8te pr\xE9sente sur votre disque dur. C'est pourquoi nous utilisons une "phrase de passe" (passphrase) pour chiffrer/d\xE9chiffrer notre cl\xE9 secr\xE8te \xE0 chaque fois que nous l'utilisons. Si vous ressentez le besoin d'\xEAtre vraiment s\xE9curis\xE9, utilisez une "phrase de passe" longue, sans mots, alphanum\xE9rique avec des majuscules et minuscules et conserver votre trousseau de cl\xE9s (keyrings) sur une disquette cach\xE9e pr\xE9cieusement plut\xF4t que sur votre disque dur.

Pour commencer

Si vous ne l'avez pas encore fait, allez sur http://www.gnupg.org/ et t\xE9l\xE9charger le programme. A partir du Shell (utilisateurs Windows: Shell = DOS), ex\xE9cutez la commande suivante deux fois:

gpg --gen-key

La premi\xE8re fois cela devrait vous dire que le trousseau de cl\xE9s est cr\xE9\xE9, la seconde fois, le menu pour la g\xE9n\xE9ration de cl\xE9s appara\xEEtra. Utiliser ce qui est par d\xE9faut sauf pour Real Name, Email, et Passphrase. Vous pouvez d\xE9finir une date d'expiration 1y (1 an) du fait que c'est votre premi\xE8re cl\xE9, n'entre pas de commentaires sauf si vous cr\xE9ez plus d'une cl\xE9 (s\xE9parez les cl\xE9s (maison/travail). Bougez la sourie, tapez des caract\xE8res au hasard durant la g\xE9n\xE9ration al\xE9atoire si il n?en a pas assez, continuez. A ce point vous devriez avoir termin\xE9 la g\xE9n\xE9ration, donc essayez ceci:

gpg --fingerprint

Cela devrait vous montrer votre cl\xE9 accompagn\xE9e de son fingerprint et d'autres donn\xE9s tels qu'une subkey, etc. Maintenant, et avant de faire quoi que se soit d'autre, prenez une "Nouvelle Disquette" et copiez-y les fichiers *.gpg afin d'avoir une sauvegarde. Avec votre cl\xE9 secr\xE8te, vous avez toujours la possibilit\xE9 de signer une nouvelle cl\xE9 pour vous-m\xEAme et de g\xE9n\xE9rer un certificat de r\xE9vocation pour l'ancienne ou simplement lui ajouter une nouvelle adresse email (ou effacer les anciennes), mais sans la cl\xE9 secr\xE8te, vous perdez tout le pouvoir dessus jusqu'\xE0 expiration.

Maintenant il est temps d'envoyer votre cl\xE9 sur un serveur de cl\xE9 IMC. Lequel n'est pas important du fait qu'ils sont tous li\xE9s, choisissez-en un proche de vous et utilisez-le. S'il cesse de fonctionner, choisissez en un autre. Tapez ceci pour envoyer votre cl\xE9 sur le serveur keys.indymedia.org:

gpg --keyserver keys.indymedia.org --send-key <your keyid>

Quand vous avez affich\xE9 votre fingerprint votre keyid \xE9tait pr\xE9sent ! Il est affich\xE9 apr\xE8s 1024D/ et se trouve \xEAtre aussi les 8 derniers num\xE9ros de votre fingerprint Une fois apr\xE8s avoir compl\xE9t\xE9 cette \xE9tape, votre cl\xE9 est disponible pour que d'autres personnes l'utilisent. Vous pouvez r\xE9cup\xE9rer les cl\xE9s de vos amis ou obtenir la mises \xE0 jours de la votre qu'un ami \xE0 sign\xE9 avec la commande suivant:

gpg --keyserver keys.indymedia.org --recv-key <keyid>

Afin de d\xE9finir un niveau de confiance et signer la cl\xE9 d'un ami (ami signifie que vous l'avez rencontr\xE9 et avez v\xE9rifi\xE9 que cette cl\xE9 est l\xE9gitime):

gpg --edit-key <keyid>

En suite utilisez le menu pour trust, sign et save. Un dernier truc avant de continuer. Pour ne pas avoir tout le temps \xE0 taper --keyserver <host> vous pouvez \xE9diter le fichier de configuration de GnuPG et \xE9crire keyserver <host>.

Utilisez le

L'outil le plus pratique pour utiliser GnuPG est votre client mail. Recherchez sur GnuPG Frontends pour voir comment faire fonctionner votre client. Bien entendu, si vous utilisez un webmail standard, vous devrez le faire de la mani\xE8re hard ou vous pourriez obtenir un vrai service email.

Pour chiffrer quelque chose "\xE0 la main" sauvegardez le en tant que fichier texte et tapez:

gpg --armor --encrypt <filename> -r <keyid>

Ceci va cr\xE9er un nouveau fichier texte <filename>.asc - pour d\xE9chiffrer quelque chose chiffr\xE9 avec votre propre cl\xE9 (chiffrez quelque chose avec votre propre cl\xE9 afin tester) tapez ceci:

gpg --decrypt <filename>

Vous utiliserez un < (symbole de re-direction) ou --output pour envoyer le r\xE9sultat dans un fichier plut\xF4t qu'\xE0 l'\xE9cran.

Il y a des milliers d'autres possibilit\xE9s, mais je vous conseillerais de lire le manuel qui vient avec GnuPG afin de les d\xE9couvrir. smile Ayez du plaisir, et s'il vous plait, ne vous laisser pas d\xE9courager par tant de technicit\xE9s. C'est vraiment simple \xE0 utiliser et les b\xE9n\xE9fices sont sup\xE9rieurs au temps pass\xE9 \xE0 apprendre.

Pour aller plus loin

Divers

Page de la keyserver team:

Serveurs de cl\xE9 actuels:
  • keys.indymedia.org

Liste de diffusion des serveurs de cl\xE9 IMC:

Interface Web pour rechercher des cl\xE9s:


-- BertAgaz - 12 Apr 2005: quelques ameliorations, chapitre Pour aller plus loin

This topic: Sysadmin > WebHome > GnuPGfr
Topic revision: 20 Apr 2005, AlsteR
This site is powered by FoswikiCopyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding Foswiki? Send feedback