vendredi 25 juillet
April | Agenda du libre | Framasoft | Léa-Linux | Lolix | JeSuisLibre | Eyrolles | LinuxMag | Veni, Vidi, Libri | InLibroVeritas | LinuxGraphic
Faire un don ! | | style | statistiques | contactez-nous | plan | lettre d'information
Accueil :: Dépêches :: Archives :: Proposer une dépêche :: Journaux :: Forums :: Entretiens :: Suivi :: RDF

Journal : Si je peux le lire, je peux en faire ce que je veux. + Question gpg

Posté par ptifeth (page perso, ) le 20 avril 2008
IInfraction au principe n°1 de la gestion de l'information et atteinte grave et délibérée à l'intelligence de l'utilisateur relevée ce matin, en flagrant délit :

La FAQ d'un service de messagerie instantanée prétendument auto-destructible, BigString, explique que votre correspondant ne pourra garder aucune trace de vos messages, ni les imprimer, ni rien.

Je n'ai que peu de crainte que ce genre de publicité mensongère abuse les visiteurs réguliers du présent site, mais je souhaite contribuer à diffuser l'information sur ce genre d'arnaque (parlez-en à vos amis).

II J'en profite pour vous demander quelle solution de chiffrage vous recommandez, cher lazyweb, pour le grand public (kgpg est vraiment facile d'utilisation, et bien intégré à la messagerie et au reste, sous LinuxKDE, mais pour nos correspondants encore sous l'influence du côté obscur ?). Sans oublier les questions la plus fondamentale : comment bien choisir sa passphrase, comment bien stocker sa clef privée quand on n'est pas un geek et qu'on a mauvaise mémoire ?

> Lire le journal (63 commentaires, moyenne: 3).  

Vous avez demandé le commentaire #924938.

pidgin encryption

Posté par flagos () le 20/04/2008 à 13:09. (lien). Évalué à 3.

Il existe un plugin pidgin pour chiffrer ses conversations: pidgin encryption.

http://pidgin-encrypt.sourceforge.net/

La clé est générée automatiquement, enregistrée dans les préférences de l'utilisateur et le tout est totalement transparent pour l'utilisateur. Et au final, le logiciel ne prend pas trop de temps a calculer a chaque fois que l'on tape un message. J'ai trouve ca assez pratique, surtout que c'est multiplateforme et multiprotocole.

  • [^]Jabber

    Posté par Gof (Jabber id, page perso, ) le 20/04/2008 à 13:35. (lien). Évalué à 2.

    Sinon il suffit d'utiliser Jabber. Actuellement, toutes les conversations sont chiffrées à l'aide de TLS

    --
    :-D !!!NOUVEAU!!!

    • [^]Re: Jabber

      Posté par Sarcastic (Jabber id, ) le 20/04/2008 à 13:42. (lien). Évalué à 5.

      Sauf que c'est pas chiffré de bout en bout.
      Chacun des serveurs possédant les clés de chiffrement, chaque serveur peut lire les messages en clair. Par contre le transport des messages est protégé, en effet.
      Pour un chiffrement de bout en bout, il faut un plugin (ou alors que le logiciel le gère nativement, comme Gajim, par exemple). Et ça revient au même, faut gérer les clés, que le contact ait un logiciel qui gère ça, et au final, c'est pas plus simple.

      • [^]Re: Jabber

        Posté par niclone (Jabber id, page perso, ) le 20/04/2008 à 16:42. (lien). Évalué à 4.

        Pour un chiffrement de bout en bout, il faut un plugin (ou alors que le logiciel le gère nativement, comme Gajim, par exemple). Et ça revient au même, faut gérer les clés, que le contact ait un logiciel qui gère ça, et au final, c'est pas plus simple.

        Pour un chiffrement de bout en bout, il n'est pas utile que l'utilisateur gère les clefs. Des clefs aléatoire peuvent très bien être généré à l'établissement de la connexion. C'est uniquement si l'ont veut être sûr de l'identité de l'interlocuteur qu'il est nécessaire de stocker des clefs (et donc que l'utilisateur puisse gérer cela), mais cette étape peut être optionnel.

        • [^]Re: Jabber

          Posté par eon2004 (Jabber id, page perso, ) le 20/04/2008 à 23:10. (lien). Évalué à 3.

          ?? ca ouvre la voie au man in the middle ça non?

          --
          Tuxicoman : Blog sur l'actu Mandriva

          • [^]Re: Jabber

            Posté par Benjamin Lannoy (Jabber id, page perso, ) le 20/04/2008 à 23:14. (lien). Évalué à 1.

            Si.

            Disons que c'est un moindre mal.

            • [^]Re: Jabber

              Posté par Elfir3 () le 21/04/2008 à 04:48. (lien). Évalué à 0.

              Ah bon ? Et comment le man in the middle intercepte le message en ayant sous la main que les clés publiques ?

              • [^]Re: Jabber

                Posté par ptifeth (page perso, ) le 21/04/2008 à 09:00. (lien). Évalué à 2.

                Ici ce sont les clients qui ont les clefs publiques des serveurs, et les serveurs qui déchiffrent si j'ai bien compris. Pour être tranquille côté serveur, on peut utiliser une couche gpg par dessus (ce que supporte kopete, qui d'autre ?).

                • [^]Re: Jabber

                  Posté par Juke (Jabber id, page perso, ) le 21/04/2008 à 09:10. (lien). Évalué à 2.

                  >qui d'autre ?

                  pidgin

                [^]Re: Jabber

                Posté par Gof (Jabber id, page perso, ) le 21/04/2008 à 09:49. (lien). Évalué à 3.

                S'il n'y a pas de vérification des clefs, on est vulnérable à l' Attaque_de_l'homme_du_milieu
                Et la vérification des cléfs, quand elles sont automatiquement générée par le client, est pas très user friendly.

                Par exemple, un serveur jabber qui utiliserais ce module peut déchiffrer les messages chiffté avec pidgin encryption ou OTR : http://www.ejabberd.im/mod_otr

                --
                :-D !!!NOUVEAU!!!

    [^]Re: pidgin encryption

    Posté par ptifeth (page perso, ) le 20/04/2008 à 14:04. (lien). Évalué à 2.

    Pour la question "où stocker cette clef et sa passphrase" :
    Non, les préférences d'un logiciel ne sont pas une solution fiable, on a besoin de quelque chose qui résiste à l'oubli de la passphrase et au vol du matériel. J'ai pensé à un coffre-fort bancaire.

    • [^]Re: pidgin encryption

      Posté par champi (page perso, ) le 20/04/2008 à 16:40. (lien). Évalué à 2.

      Pourquoi ne pas planquer la passphrase dans un espace de cardinalité 8^62 ?

      Voici un porte clef numérique bien pratique :

      http://pypi.python.org/pypi/virtualkeyring/

      $ vkr
      master password: <tapper ici le mot de passe principal>
      domain key [e.g. 'login@host']: <tapper ici la clef de domaine>
      your password is: hRnf6udB
      please clean your console (ctrl-L) after usage

      Il suffit de ne memoriser que le mot de passe principal, les vrais mot de passe son regenerables avec vkr. Aucun mot de passe n'est stocké sur disque.

      Par contre si gpg exige un mot de passe de plus de 8 charachteres il faudra hacker le script python ci-dessus pour changer la taille.

      • [^]Re: pidgin encryption

        Posté par ptifeth (page perso, ) le 20/04/2008 à 17:23. (lien). Évalué à 2.

        Algorithmiquement j'aime beaucoup.
        Les passphrases font hélas plus de 8 caractères.
        kwalletmanager supporte d'ailleurs des données arbitraires (mais pas ton algorithme).
        Reste la question du stockage physique et durable de ces données sensibles.

        [^]Re: pidgin encryption

        Posté par z a (Jabber id, ) le 23/04/2008 à 00:34. (lien). Évalué à 4.

        c'est plutôt 62⁸ (ce qui est beaucoup plus petit)

        • [^]Re: pidgin encryption

          Posté par champi (page perso, ) le 28/04/2008 à 22:55. (lien). Évalué à 1.

          Oui effectivement je me suis trompé. Mais bon c'est deja pas si mal comparé au mot de passe memorisable moyen.

Run by Team LinuxFr.org

Cette page a été générée par Templeet en 0.0745s (dont 0.0082 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.