Au menu de cette nouvelle version :
- l'algo de cryptage est maintenant par défaut CAST5
- amélioration du support PGP2 et PGP6
- images pour identifier les utilisateurs
- les signatures non révocables sont supportées
- génération de clés RSA
- ...
Note du modérateur : cf l'édito « LinuxFr recommande fortement l'utilisation de GnuPG pour vos correspondances. »
![[en]](../images/en.png)
Annonce GPG 1.0.7 (516 hits)-
Site de GPG (955 hits)
> Lire la dépêche (46 commentaires, moyenne: 10,4).
Vous avez demandé le commentaire #110609.
Run by 
Cette page a été générée par Templeet en 0.0869s (dont 0.0128 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
[+] Faudra m'expliquer...
... mais alors concrêtement l'intérêt d'utiliser GPG, PGP, ou n'importe quel logiciel basés sur une combinaison de ces lettres, parce que ça me dépasse.
Pour les entreprises, je comprends bien le besoin de ponctuellement établir une communication cryptée pour des besoins de confidentialité. Mais pour un particulier ? Dans quels cas vous l'utilisez ? Pour signer les mails à vos potes où vous leur racontez vos vacances ? Pour crypter vos derniers hacks sur linux ? Franchement, dans la mesure où aujourd'hui on constate que ce qui camoufle le mieux l'information c'est le bruit, et que justement le bruit il y en a un paquet, vu tout ce qui peut transiter sur l'internet, comme mail, icq, ftp, web, etc.
Ce qui m'étonne c'est le nombre de personne que ça semble intéresser, et qui ont l'air de se faire des petits trips entre elles, sur le thèmes du "ouaaiis je suis le mega-cool-hacker, j'ai ma propre clef GPG, personne ne pourra lire ce que je crypte, personne ne pourra se faire passer pour moi quand je signe", alors que franchement, personne ne vous connait, personne ne s'intéresse à vos petites affaires, et concrêtement, que vous chiffriez ou pas, ça change rien.
Pour les packages ? Ouais, cool, c'est super intéressant de signer son packaging rpm ou apt, pour un logiciel qui est utilisé par 2 péquins dans le monde, y compris vous même.
L'impression qui se dégage c'est "beaucoup de bruit pour rien", autour de jeunes hackers qui ont trop regardé Matrix.
[^]Re: Faudra m'expliquer...
Mon pauvre, tu ne dois pas comprendre grand chose à ce que sont le respect de la vie privée et des libertés individuelles.
Tout d'abord, PGP/GPG est principalement utilisé pour la signature de messages textes ou de packages binaires : cela permet d'en authentifier leur auteur. Par ex. de nombreux avis de sécurité de Bugtraq sont signés par GPG et on s'assure comme cela de leur intégrité. De même pour de de nombreux packages binaires livrés avec une signature OpenPGP.
Ensuite, sans entrer dans une parano aïgue, la connaissance de réseaux "d'écoute" internationaux tel Echelon peut laisser craindre à certains que les communications privées doivent être cryptées.
Pour reprendre un exemple connu, un mail simple est comme une carte postale (le postier peut la lire sans ton consentement), um mail chiffré est une lettre dans une enveloppe.
L'impression qui se dégage c'est "beaucoup de bruit pour rien", autour de jeunes hackers qui ont trop regardé Matrix.
Tu diras çà aux milliers d'informaticiens "chevronnés" qui utilisent ces outils à travers le monde.
[+] [^]Re: Faudra m'expliquer...
D'abord je ne suis pas ton "pauvre", merci de rester courtois.
Ensuite je connais suffisamment bien les réseaux d'écoute pour savoir que les mails que n'importe quel particulier peut envoyer sont totalement transparent pour ces réseaux.
C'est pourtant une question de bon sens. Est-ce que tu crois vraiment qu'il existe des gens qui sont payés pour lire les centaines de milliers d'emails qui transitent chaque jour ? Parce que croire que les filtres de ces réseaux d'écoute sont sensibles au point qu'ils vont s'affoler sur les mails de particulier, c'est comme croire au père noel. Le minimum que peuvent faire ces système pour limiter le bruit, c'est de filtrer sur les auteurs/destinaires de ces informations, et sauf à croire que tu es important au point d'être fiché par ces systèmes (même si certains doivent avoir l'égo suffisamment développé pour le croire), fais-moi confiance, c'est de la science-fiction à l'état brut.
Tu dis "un mail est comme un carte postale". Oui, et alors ? Tu crois qu'il suffit que l'information soit lisible pour être utilisable ? C'est montrer là une très pauvre connaissance des systèmes de surveillance, et surtout une très grande naïveté.
Franchement, tant que vous n'êtes pas une cible potentielle des RG, journaliste, ou homme politique, tant que vous restez des hackers qui refont leur monde, mais un monde qui se limite à linux et à l'informatique, vous pouvez dire que vous vous faites plaisir en jouant aux espions (pourquoi pas si ça vous donne des frissons à peu de frais), mais ne dites pas que ça peut servir à quelque chose, et surtout pas la liberté d'expression, qui n'a jamais eu besoin de PGP pour exister, merci pour elle (et heureusement pour nous).
[^]Re: Faudra m'expliquer...
Tu traites les utilisateurs GPG de jeunes hackers qui ont trop remarqué Matrix, et plus haut de "mega-cool-hackers" qui se font des "trips"... et puis après tu exiges de la courtoisie envers ceux-ci?
Rester courtois, je suis à 100% pour... mais autant que ça soit à double sens non? :)
Et haup -1, mes leçons de morale dérivent du sujet là
[+] [^]Re: Faudra m'expliquer...
PWET TA GUEULE !
Bon sang c'est pas possible d'être aussi borné !
[^]Re: Faudra m'expliquer...
Pour reprendre un exemple connu, un mail simple est comme une carte postale (le postier peut la lire sans ton consentement), um mail chiffré est une lettre dans une enveloppe.
Cet exemple connu ne va justement pas dans le sens de ton argumentation : le fait que le postier puisse lire les cartes postales n'empêche pas des millions de vacanciers d'en envoyer. Autant je suis d'accord avec toi s'agissant des avis de sécutité, autant s'agissant des mails de tous les jours c'est un poil parano.
Quant au respect de la vie privée et des libertés individuelles, je crois qu'à force de les invoquer à tout va, on noie le fait que ce sont des choses extrèmement importante à défendre.
[^]Re: Faudra m'expliquer...
Dans la mesure où on peut très bien automatiser la procédure, chiffrer ses mails de tous les jours, même si c'est probablement supperflu, peut très bien passer inapperçu pour l'utilisateur. Actuellement c'est trop peu répandu, mais pourquoi pas, à plus long terme.
[^]Re: Faudra m'expliquer...
non ça ne va pas à l'encontre de sa démonstration : quel est le pourcentage de cartes postales parmi tes expéditions ? D'accord les entreprises n'envoient jamais de cartes postales, mais tous les particuliers ne font pas qu'envoyer des cartes postales. refuser gpg en tant que particulier, c'est envoyer exclusivement des cartes postales.
dans les sources de RSA-REF, les fonctions de chiffrement sont désignés comme enveloppes numériques, ben pourquoi ?
[+] [^]Re: Faudra m'expliquer...
Arretez de pensez que l'état observe vos conversation, il s'en fout.
Par contre l'administrateur de mail, votre collegue de bureau, ou je ne sais qui encore qui s'y connait un peu, peut lire vos mails sans aucun problème, et venire ainsi percer votre intimité. Et comme je pense que personne ici n'a envie que son collégue de bureau sache tous ce que vous faites de vos soirées, ou enocre copie les photos de votre week-end en amoureux! Ce ces mails la qui doivent le plus etre chiffrer!
[^]Re: Faudra m'expliquer...
Tu oublies l'interêt de la signature.
C'est necessaire sur certaines mailing list de developpeurs et cela se comprend pour eviter que des petits malins viennent foutre le souk.
[^]C'est vrai la signature.
En fait, je dirais même que c'est le seul interêt actuellement.
Pour crypter|chiffrer ses mails, il faut être sur que la personne en face utilise les mêmes protocoles si elle veut le lire, et puis c'est long et lourd si on est pas sur sa machine déjà configurée (vous n'avez jamais fait de webmail ?).
Par contre on peut toujours vérifier la signature après coup en cas de "litige" mais ça n'empêche aucunement l'accès à l'information.
Je ne suis pas contre le principe de chiffrer tous les mails, mais encore faudrait il qu'il y a ait une norme commune (utopie allez mettre d'accord MicroSoft, Sun, IBM sur un standard libre d'utilisation) comme pour SSL qui est utilisé pour le HTTPS ou pour le SSH pour que l'utilisation des mails chiffrés soient totalement transparente.
Et la standardisation, ça sera une décision politique, parce que pour l'instant, si on oblige dans une entreprise a chiffrer tous les mails, il va falloir ressortir votre dual-boot sous windows pour les lire avec outlook. Il y a des outils de chiffrage avec outlook et windows doit representer 80% des postes bureautiques (au moins), a votre avis qui deviendra le standard de fait même si il est pourri et que GPG est des milliards de fois mieux ?
Ou alors, il faut que le libre monopolise les ordinateurs bureautiques et là, GPG étant en standard dans toutes les distribs, on pourrait effectivement généraliser le système. Mais même si le libre suit ce scénario, il faudra encore une dizaine d'année (d'autant plus que dans le monde "professionnel" ils ont peur de ne pas avoir de parapluie s'ils ne se fournissent pas auprès d'une grosse boîte de software, linux fait peur car en cas de problème, le décideur pressé ne peut pas rejeter la faute sur le fournisseur).
En plus, comme celà n'est pas trés répandu, ceux qui chiffrent leurs messages avec GPG seront repérés beaucoup plus vite.
Alors théoriquement, chiffrer tous ses messages, c'est trés bien, mais dans la pratique, c'est beaucoup d'emmerdemments pour pas grand chose.
[^]Re: C'est vrai la signature.
Chiffrer, c'est quand même utile. Quand je veux dire du mal de mon boss ou d'un client depuis chez lui, je chiffre mes mails. Au cas ou il y a un relecteur, ou, plus classique, si tu te plantes dans une adresse et que le mail part en retour chez l'admin du serveur de mail qui y jette un oeil.
Bien sur, je correspond avec des geeks qui utilisent aussi PGP ;-) Les autres, je ne leur ecris jamais detels choses sinon ils me repondent en html avec outlook ;-)
[^]Re: C'est vrai la signature.
Je ne suis pas contre le principe de chiffrer tous les mails, mais encore faudrait il qu'il y a ait une norme commune
Il y a 2 normes communes pour les mails chiffrés :
- PGP/MIME --> voir RFC 2440 pour OpenPGP et RFC 3156 pour PGP/MIME
- S/MIME --> pléthores de RFC
Donc ton argument sur les normes comme obstacle au chiffrement, ne tient pas la route IMHO.
Le problème est plutôt d'éduquer les gens à ces problèmatiques et de fournir des outils libres et simples d'utilisation.
[^]Re: C'est vrai la signature.
Quand je parles de normes communes, je ne parle pas de "white papers" "voeux pieux" mais de solutions implémentées par tout le monde.
Par exemple, peut on sous linux utiliser les algo de chiffrement de Microsoft pour envoyer un mail a une personne utilisant outlook sans enfeindre une quelconque licence ou restriction anti-chiffrement américaine?
Maintenant, comment diffuser des plugin GPG sous windows pour imposer une solution GPG qui deviendrai un standard de fait ?
En plus la gestion des clefs c'est plutôt casse-couille pour un particulier (il faut apprendre les notions, il faut gérer ses clefs, ça prend du temps et il faut être rigoureux pour que cela ne soit pas inutile).
La cryptographie est lourde à mettre en oeuvre, et le maillon faible, ce n'est pas un algo de 40bits mais un utilisateur, et je ne connais aucun système simple.
A moins de laisser l'admin gérer les clefs pour les utilisateurs (ce qui peut être le cas en entreprise).
C'est valable pour une communication entre sites distants, mais ça devient le bordel pour une communication entre des partenaires commerciaux sans cesse renouvelés.
[^]Re: C'est vrai la signature.
Le problème est plutôt d'éduquer les gens à ces problèmatiques et de fournir des outils libres et simples d'utilisation.
Ben oui c'est ça le gros problème, faire des outils simple, je veux bien, éduquer, ben là c'est plus dur.
Combien de personnes se proménent encore avec leur Carte Bleue et leur code noté sur un bout de papier dans leur porte-feuille.
Quand on voit que les utilisateurs ne retiennent pas un code à 4 chiffres, alors mettre en place des procédures de sécuritées sans que leurs mots de passe se baladent dans le bureau sous forme de papiers volant est une utopie.
Pour des applications spécifiques et ciblées, on peut arriver à un trés bon résultat, car les utilisateurs sont concernés, maintenant, dans une grande entreprise, combien d'utilisateurs ont un mot de passe faible, combien s'échangent leur mots de passe pour débloquer une situation urgente (à merde j'ai besoin de tel document là tout de suite pour la réunion, ah oui, mais je ne peux pas accéder à ton répertoire, attends je te donne les droits ou attends je me logge).
Donc croire que la généralisation de la cryptographie par sa simple présence aménera un surcroit de sécurité est faux.
Est-ce que tu respecte tous les feux rouges quand tu arrive à un croisement et que tu as une visibilité de 3km de chaque côté et qu'il n'y a pas une voiture à l'horizon ? Au bout d'un moment on devient laxiste et c'est là que les procédures de sécurités sont inutiles.
La sécurité est un tout, à quoi ça sert d'avoir des communications cryptés si un "pirate" contourne le firewall pour lire les mails en clair dans le fichier temporaire de déchiffrage ou si les utilisateurs utilisent des mots de passe comme "police" ?
De même que linux est plus "secure" que windows à priori, mais je suis sur qu'on pourrait des exemples ou des boites windows bien configurées sont plus "secure" que des boites linux mal configurées.
Et comme dans une population type d'utilisateurs tu auras 10% de parano, 20 de moyennement parano, 40% d'utilisateurs normaux, 20% de moyennement laxistes et 10% de super-laxistes un systéme généraliste ne sera pas sur même si tu les "éduquent", tu auras au moins 10% de réfractaire, donc autant de failles potentielles alors que tu te crois à l'abri.
[^]Re: Faudra m'expliquer...
L'intérêt est le même que de mettre ses lettres dans une enveloppe qu'on ferme avec de la colle. Le problème n'est pas de savoir si quelqu'un aura envie de lire notre courrier, mais simplement d'avoir la possibilité de communiquer avec quelqu'un sans que quelqu'un d'autre puisse écouter.
Et maintenant qu'on s'est bien fait peur en agitant un petit drapeau fachiste sous le nez des français pendant 15 jours, c'est une bonne occasion pour signaler qu'il n'est pas impossible qu'un état policier s'installe un jour où l'autre, et que ce jour là on sera bien content d'avoir un peu d'intimité.
[^]Re: Faudra m'expliquer...
Certes, PGP permet de chiffer et de signer des documents. Mais qu'en est-il des problèmes d'usurpation d'identité ??? J'invite ceux qui veulent en savoir plus sur le sujet à lire : http://groups.google.fr/groups?q=cle+pgp+%2Bidentit%E9&hl=fr&am(...)
Je trouve le point 2. particulièrement intéressant et, à l'issue de cette lecture, pourriez vous me dire combien parmi vous utilisent des clés certifiées ?
[^]Re: Faudra m'expliquer...
La faille dans son raisonnement est de faire
confiance au Key-ID, ce qui n'ai pas raisonnable.
Seul l'empreinte complète a de la valeur.
Les clef certifiées sont pour des messages d'une
valeur bien supérieure à celle de nos messages
personnels.
[^]Tant que t'auras pas prix un coup sur la figure tu comprendras pas.
Rassures toi!! Je reste poli. Je ne te souhaite pas du mal mais bon si tu veux comprendre faut que ça t'arrive un jour :
Si jamais tu reçois un mail d'un gars que tu connais et qui ne te fait pas plaisir (un mail qui serait crédible, pas un gros fake qui se voit) et que par la suite tu fini par te facher avec ce pote,çà serait bète de se facher si c'est pas lui qui avait envoyé le mail ..
Tu vas me dire que j'en rajoute. C'est vrai que la situation est un peu nulle, mais avec des gars qui ont le sang chaud c'est facile. J'ai un pote à qui c'est arrivé. (comme par hazard mais c'est vraiment pas une connerie en fait)
C'est tellement simple de se faire passer pour un autre sur ternet que c'en est ridicule. Si tu as habitude de signer tes mails et bien bon là l'autre il réfléchis avant de bondire s'il ne l'est pas.
Quant à ce que j'envoie dans mes mails c'est personnel et même c'est totalement inintéressant aux yeux de beaucoup de monde.
Sauf que si je balance une bonne vielle blague de merde sur le dos d'une personne que j'aime pas j'aimerai pas qu'elle me retombe sur le coin de la gueule parce que y a un script kiddie qui a voulu jouer dans mon université.
De plus c'est personnel et ca me ferait chier qu'il y est un guignol que je ne connais pas qui s'amuse à lire les mails plein de débilité que j'enverrai à ma copine au canada.
Bon il y a fort à parier que tu n'aies toujours pas compris, mais bon je vais te citer les dires d'une personne qui avita bossé pour les copains de la NSA qui bossent au canada. (reportage sur France 2)
"N'ayant rien à faire, ils nous arrivaient s'occuper en lisant les mails des gens que nous ne connaissions pas"
Savoir qu'il y a un gars qui s'ammuse à lire mes conneries ca me plait pas vraiment. d'autant plus que si je veux que tout le monde lise je posete dans fr.rec.blabla