Signing party aux 15 ans du Crans

Posté par (page perso) . Édité par Benoît Sibaud et palm123. Modéré par Benoît Sibaud. Licence CC by-sa
13
1
oct.
2013
Sécurité

L'association CRANS, qui gère le réseau informatique des étudiants de Normale Sup' Cachan, fête ses 15 ans cette année. À cette occasion, un événement de promotion du logiciel libre, avec conférences et ateliers est organisé le week-end des 19 et 20 octobre.

Cet événement comprendra une signing party PGP et une séance d'accréditation CAcert, le dimanche 20 octobre à 16h30.

Key signing party PGP

Pour les utilisateurs du système de chiffrement et de signature OpenPGP, vous aurez donc l'occasion de faire signer votre clef et de signer les clefs de plein de gens, de façon à construire votre toile de confiance.

Accréditation CAcert

Si vous êtes utilisateur de l'autorité de certification CAcert, ce sera également une occasion pour obtenir ou fournir des accréditations.

Détails d'organisation

Key signing party PGP

Pour faciliter les échanges d'empreintes de clef, nous utiliserons une liste officielle de participants, selon le protocole de Zimmermann-Sassaman.

Pour préparer cette liste, et déterminer l'organisation à adopter selon le nombre de participants, je vous demanderai de :

  1. m'envoyer votre clef ;
  2. imprimer quelques exemplaires de votre empreinte de clef pour les gens qui n'auront pas eu le temps de s'inscrire ;
  3. imprimer la liste des participants que je vous enverrai ;
  4. venir avec tout cela, une ou deux pièces d'identité et un stylo.

Les retardataires ou débutants pourront participer avec une simple liasse de copies de leur empreinte de clef sur papier et une ou deux pièces d'identité.

Accréditation CAcert

Préparez simplement quelques copies du formulaire d'accréditation, et venez avec deux pièces d'identité et un stylo.

Conseils

Pour imprimer des bandes de papier avec l'empreinte de votre clef publique OpenPGP, vous pouvez utiliser l'outil gpg-key2ps du paquet signing-party, ou encore ce site web Générateur de bandes de papier avec empreinte de clef publique PGP.

Pour l'accréditation CAcert, vous pouvez générer des formulaires pré-remplis, en adaptant la personnalisation selon que vous serez demandeur ou assureur, et en précisant dans tous les cas le lieu et la date.

  • # IMPORTANT - longueur de la clé (+ quelques sages conseils)

    Posté par . Évalué à -9.

    « privilégier une longueur de clé de 4k voir 8k »

    Pour vous en convaincre, cherchez cette expression entre guillemets dans ce journal, lisez la dizaine de lignes encadrant cette expression, suivez le lien donné, lisez, consultez si besoin la vidéo de la conférence des trois chercheurs experts du domaine, tirez la conclusion qui s'impose, respectez ces conseils :

    • ne pas descendre en dessous de 2048 bits comme longueur de clé publique pour l'algorithme de chiffrement asymétrique RSA
    • et même privilégier une longueur de clé de 4k voir 8k

    J'ajoute ce conseil : rappelez-vous que la résistance du chiffrement et de la signature numérique avec GPG et RSA dépend finalement de la résilience de votre matériel aux malveillances logicielles et… matérielles. Pour accroître la sécurité, traitez les opérations liées au chiffrement sur un ordinateur qui n'est jamais connecté au net (1) et portez votre attention sur le potentiel de malveillance lié à l'usage d'une clé usb ou autre moyen de communication entre cette machine et une machine liée au net (2).

    (1) qu'il l'ait été par le passé est secondaire (sous réserve de reformatage du disque dur et d'usage d'un système d'exploitation sérieux, cf développement au point (2)). Qu'il le soit à nouveau après un reformatage sérieux (il y a des outils pour cela) est également secondaire, sauf si une malveillance matérielle élaborée permet à un futur attaquant d'accéder aux données (par exemple, si vous êtes ciblés par la NSA, un SSD à l'électronique malveillante, vendu pour 60Go, pourrait en faire le double ou le triple et conserver des informations à votre insu…).

    (2) lorsque vous transférez des données (ayant fait l'objet d'un traitement cryptographique) de la machine non reliée au net à celle qui l'est, vous pouvez préalablement formater la clé, si besoin (avec la machine non reliée, c'est mieux !). Inversement, lorsque vous transférez des données depuis le net vers la machine qui n'est pas reliée, soyez attentif au potentiel de malveillance lié au chargement sur la clé (depuis la machine reliée au net, éventuellement victime d'une malveillance logicielle) d'un logiciel malveillant ayant vocation à être exécuté automatiquement et à votre insu sur la machine non reliée au net, pour y dérober des informations sensibles, comme votre clé privée en clair par exemple. D'ailleurs ne laissez pas votre clé privée en clair sur cette machine. Ceci dit une malveillance élaborée peut scruter la RAM pour y trouver la clé privée, par exemple. Sous GNU/Linux, le risque de démarrage automatique d'un logiciel au branchement de la clé est bien mieux contrôlable que sous Windows, évidemment… Ne vous considérez pas à l'abri d'une malveillance dans le code de l'OS (même un GNU/Linux), si vous êtes ciblé. Tachez d'obtenir une copie intègre (la vérification de la signature PGP du fichier ISO est un minimum) d'un système que vous considérez comme étant de confiance (Debian, par exemple, avec un Linux-libre).

    • [^] # Re: IMPORTANT - longueur de la clé (+ quelques sages conseils)

      Posté par (page perso) . Évalué à 3. Dernière modification le 02/10/13 à 18:00.

      Des clefs PGP de 8k, je n'en ai encore jamais vu, et pour cause : GnuPG ne prend pas (encore) ça en charge.

      • [^] # Re: IMPORTANT - longueur de la clé (+ quelques sages conseils)

        Posté par . Évalué à -10.

        Ha bon !? C'est dommage.

        Cela d'autant plus que l'allongement de la longueur de la clé est une protection solide contre l'attaque par force brute sur les super-calculateurs de la NSA.

        Lorsqu'on sait comment fonctionne le chiffrement et l'authentification avec GPG (cf cet organigramme et son explication détaillée pour comprendre), exploitant l'algorithme RSA (gourmand en CPU) pour le chiffrement asymétrique, on sait que RSA concerne le chiffrement de :

        • la clé de chiffrement symétrique générée pseudo-aléatoirement ayant vocation à chiffrer un fichier ;
        • le condensat (alias empreinte, ou hash - je conseille l'algorithme SHA512) du fichier à authentifier.

        Donc l'augmentation de la longueur de la clé (publique comme privée, les deux ont la même longueur) n'impacte que ces deux opérations qui concernent très peu d'octets. Dans le cas du chiffrement d'un fichier, GPG le chiffre avec un algorithme de chiffrement symétrique, avec la clé de chiffrement symétrique générée peudo-aléatoirement.

        Il est donc souhaitable que GPG sache au plus tôt gérer des longueurs de clé de 8K voire plus.

        Si GPG pouvait le faire, je conseillerais 64K pour la longueur de la clé, histoire de calmer la NSA.

      • [^] # Re: IMPORTANT - longueur de la clé (+ quelques sages conseils)

        Posté par . Évalué à -10.

        A noter que le conseil de 4K voire 8K vient des trois chercheurs, pas de moi.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.