jeudi 24 juillet
April | Agenda du libre | Framasoft | Léa-Linux | Lolix | JeSuisLibre | Eyrolles | LinuxMag | Veni, Vidi, Libri | InLibroVeritas | LinuxGraphic
Faire un don ! | | style | statistiques | contactez-nous | plan | lettre d'information
Accueil :: Dépêches :: Archives :: Proposer une dépêche :: Journaux :: Forums :: Entretiens :: Suivi :: RDF

Derniers journaux de cho7 :

Journal : GPG HowTo

Posté par cho7 (page perso, ) le 29 septembre 2004
Encore un, et surement pas le meilleur, mais comme je l'ai ecris moi meme j'en fais part aux autres :)

http://fuck.the.world.free.fr/gpg.pdf(...)

A noter un memento a la fin regroupant toutes les commandes de base.

Toute critique suggestive est bien evidemment la bienvenue...

Et si quelqu'un qui n'y connait rien a gpg pouvait l'essayer mon howto, et me dire si c'est clair, j'lui en serai reconnaissant !


Merci

> Lire le journal (59 commentaires, moyenne: 1,7).  

Cette discussion est archivée, il n'est plus possible de laisser des commentaires.

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.

How-to retrouver sa passpharse

Posté par symoon (page perso, ) le 29/09/2004 à 21:28. (lien). Évalué à 4.

Rajoute un paragraphe sur comment retrouver sa passphrase quand on l'a perdue :-(
Sérieusement, ya des script tous faits pour bruteforcer gpg à partir d'une liste d'idées de mots de passe ?

La meilleure manière de s'en souvenir, cela aurait été de l'utiliser plus souvent...

/me qui pleure sur son sort

  • [^]Re: How-to retrouver sa passpharse

    Posté par cho7 (page perso, ) le 29/09/2004 à 21:42. (lien). Évalué à 3.

    Personnelement j'ai toujours en stock un certificat de revocation "Oubli de mot de passe" :-)

    --
    le python, c'est bon

    • [^]Re: How-to retrouver sa passpharse

      Posté par cykl (Jabber id, ) le 30/09/2004 à 06:25. (lien). Évalué à 3.

      Ca change pas le fait que tes données sont perdues....

  • [+] [^]Re: How-to retrouver sa passpharse

    Posté par Zorro () le 30/09/2004 à 07:23. (lien). Évalué à -2.

    Tu la notes dans un fichier texte.

    • [^]Re: How-to retrouver sa passpharse

      Posté par mr_moustache () le 30/09/2004 à 09:46. (lien). Évalué à 3.

      Que tu mets avec tes fichiers cryptés, comme ça tu n'as même plus à chercher, c'est très pratique..


      Je suis en train de me demander quelque chose..
      Mais pourquoi je crypte? :p



      Trève de plaisanterie, j'ai adopté la passphrase simple mais que j'ai compliqué par un système tout aussi simple. Une taille d'au moins 10caractères avec des chiffres et des minuscules/majuscules, il faut vraiment en vouloir pour la trouver..

      • [^]Re: How-to retrouver sa passpharse

        Posté par rb14 () le 30/09/2004 à 10:03. (lien). Évalué à 4.

        Ce serait pas "passphrasesimple" en rot13?

  • [^]Re: How-to retrouver sa passpharse

    Posté par djorje (page perso, ) le 30/09/2004 à 11:45. (lien). Évalué à 4.

    Ca m'est arrivé une fois. Je me souvenais globalement de la phrase mais pas de l'orthographe ni de l'absence/présence de certains mots.

    Pour bruteforcer j'ai écrit un petit script perl générant toutes les passphrases possibles (à partir de ce dont je me souvenais).

    Ensuite pour les passer à gpg il faut utiliser l'option --passphrase-fd.

    Je me souviens qu'à l'époque j'avais généré un fichier de 50Mo rien que pour les clés, ça avait pris un peu de temps mais j'ai récupérer ma clé :)

    PS : je crois que pour des raisons de perfs je ne lançais pas gpg à partir de perl mais je générais directement un script bash contenant la ligne de commande pour chaque clé, du style
    echo "maclé" | gpg --passphrase-fd 0 unecomande
    echo "maclé" | gpg --passphrase-fd 0 unecomande
    ...

Petite remarque perso

Posté par blenderman () le 29/09/2004 à 21:30. (lien). Évalué à 2.

Super ton tutorial !

Je trouve original le fait que tu mette dans 1 certaine couleur ce que le soft affiche et ce que tu tape toi même.

Rien a dire :)

--
-pol-

  • [^]Re: Petite remarque perso

    Posté par cho7 (page perso, ) le 30/09/2004 à 00:29. (lien). Évalué à 3.

    merci :)

    --
    le python, c'est bon

Je me jette à l'eau

Posté par Thy (page perso, ) le 29/09/2004 à 23:16. (lien). Évalué à 0.

allez , gpg m'as toujours interessé de loin ( et on remercieras pirate mag' ) , promis , je m'y met des que j'ai le temps en ne passant que par ton tutoriel , et je te dit quoi...

Version HTML

Posté par scand1sk (page perso, ) le 29/09/2004 à 23:29. (lien). Évalué à 2.

Bon mode chieur on : j'aurais bien aimé voir une version HTML, c'est plus pratique à ouvrir qu'un pdf, et là en l'occurrence j'arrive pas à l'ouvrir ni avec gpdf ni avec ggv :(

--
Les meilleurs jeux de plateau !

  • [^]Re: Version HTML

    Posté par cho7 (page perso, ) le 29/09/2004 à 23:40. (lien). Évalué à 1.

    la version html est a l'oeuvre :)

    Pour l'ouvrir avec gpdf, ici_ca_marche mais les lettres accentuées disparaissent...
    Aucun probleme en revanche avec xpdf :)

    --
    le python, c'est bon

  • [^]Re: Version HTML

    Posté par cho7 (page perso, ) le 30/09/2004 à 00:27. (lien). Évalué à 2.

    Ayé, 1ere version HTML dispo sur
    http://fuck.the.world.free.fr/gpg(...)

    Le pdf reste disponible, car bien plus lisible je trouve !!

    --
    le python, c'est bon

  • [+] [^]Re: Version HTML

    Posté par Zorro () le 30/09/2004 à 07:25. (lien). Évalué à -2.

    T'as qu'à utiliser les bons outils.
    C'est parfaitement lisible avec Acrobat Reader.

    • [^]Re: Version HTML

      Posté par Zorro () le 30/09/2004 à 11:03. (lien). Évalué à 2.

      Le politiquement correct est toujours à l'½uvre, c'est très très bien.
      Juste pour dire que j'ai encore jamais vu un PDF correctement lisible sous les autres lecteur que celui d'Acrobat. Alors je sais pas à qui la faute, et qui est-ce qui fait des trucs pas bien. Le lecteur, le générateur, l'auteur du document ? Moi ? Bref, c'est bien dommage, mais pour l'instant, pour lire le format qui appartient à Adobe, le mieux est encore les outils d'Adobe, non ?

et Gnus

Posté par Marc (Jabber id, page perso, ) le 30/09/2004 à 06:28. (lien). Évalué à 1.

tu peux toujours mettre ces liens:
http://www.emacswiki.org/cgi-bin/wiki/CategoryGnus(...)
http://mailcrypt.sourceforge.net(...)

Pour aider à la configuration de Gnus et gpg

  • [^]Re: et Gnus

    Posté par cho7 (page perso, ) le 30/09/2004 à 09:27. (lien). Évalué à 1.

    c'est fait

    --
    le python, c'est bon

Référence a l'adresse du document

Posté par Yann Richard (Jabber id, page perso, ) le 30/09/2004 à 06:53. (lien). Évalué à 2.

Salut,

Tout dabord à première vu ca m'a l'air très bien et assez complet donc merci pour ce travail !
Tu devrait par contre rajouter pour les gens comme moi l'URL ou l'on peut trouver une version à jour du document ce qui permet aux gens qui impriment ou qui mettent le document parmis tout ceux qu'ils collectent de savoir ou retrouver cette perle pour regarder si il y a eu une mise à jour. La conséquence directe etant de numéroter (par la date par exemple) les versions de ton document.

Encore merci pour ce document !

  • [^]Re: Référence a l'adresse du document

    Posté par cho7 (page perso, ) le 30/09/2004 à 09:27. (lien). Évalué à 1.

    ayé c'est fait

    --
    le python, c'est bon

Bravo

Posté par Zorro () le 30/09/2004 à 07:28. (lien). Évalué à 1.

Merci, il est vraiment bien ton tuto.
C'est d'autant plus difficile que GPG est pas vraiment facile à utiliser.
Quelle est votre politique, pour GPG ? Est-ce que vous chiffrez systématiquement vos mails quand vos correspondant ont une clé ? Ou est-ce que vous signez à chaque fois, au moins ?

  • [^]Re: Bravo

    Posté par cykl (Jabber id, ) le 30/09/2004 à 09:03. (lien). Évalué à 2.

    C'est tellement pratique pour chercher dans les archives les mails chiffres....

    Perso, c'est chiffrement entre les serveurs mails, en etant le root du serveur, et basta. La signature bien evidement par contre.

    • [^]Re: Bravo

      Posté par cho7 (page perso, ) le 30/09/2004 à 09:18. (lien). Évalué à 2.

      Idem, je crypte très peu, mais je signe a tout va, et mes parents se font plus avoir par les virus qui arrivent en mon nom, ils ont l'habitude que leur outlook leur indique systematiquement la meme piece jointe, et si elle n'y est pas ils savent que c'est pas moi qui envoi :)

      --
      le python, c'est bon

Autre doc sur GnuPG

Posté par CoCoZ (page perso, ) le 30/09/2004 à 07:34. (lien). Évalué à 2.

J'ai écrit y'a quelques temps une autre documentation sur GnuPG, elle est dispo ici :

En plein de petites pages : http://francoz.net/doc/gpg/gpg.html(...)

En une grosse page : http://francoz.net/doc/gpg/gpg-entier.xhtml(...)

Le source docbook pour ceux qui veulent corriger/ajouter quelque chose : http://francoz.net/doc/gpg/gpg-latest.sgml(...)

Quelques remarques

Posté par jcs (page perso, ) le 30/09/2004 à 08:29. (lien). Évalué à 5.

Quelques remarques et critiques constructives afin d'améliorer le document.

- L'erreur classique : si on parle bien de cryptographie, les termes cryptage et decryptage sont des anglicismes. En français il faut parler de chiffrement et de déchiffrement. On peut parler à la rigueur de decryptage mais dans ce cas il s'agit de l'action de déchiffrer des données sans connaître la clé de chiffrement.

- La signature :
Signer un message, c'est lui joindre un certificat, attestant que la personne qui a envoyÈ le mail, et bien la personne qui apparait dans le champs "From:" (ou "De:" )
C'est vrai mais ce n'est pas tout. La signature ce n'est pas qu'une simple authentification. En fait une signature numérique fournit 3 choses :

1 - l'authentification : c'est ce que tu décris, il s'agit de s'assurer de l'identité le l'émetteur.
2 - l'intégrité : on est assuré que ce message n'a été modifié d'aucune façon depuis qu'il a été signé. Tu le dis plus bas dans la phrase : "Attention, signature invalide, le contenu n'est peut etre pas sûr, ou bien il a été altéré"
3 - la non-répudiation : l'auteur du message ne peut se rétracter à postériori, la signature prouve qu'il a bien envoyé le message.

Il est important de souligner que si la non-répudiation implique l'autentification, la réciproque est fausse.

--
Hurd will be out in a year (or two, or next month, who knows)
-- Linus Benedict Torvalds, 1991

  • [^]Re: Quelques remarques

    Posté par cho7 (page perso, ) le 30/09/2004 à 09:04. (lien). Évalué à 1.

    Pour l'intégrité du message j'en parle a un moment, je montre meme par l'exemple que modifier un octet du mail change la validité de la signature

    Sinon pour les termes crypter/chiffrer on m'a déjà prévenu par mail et promis j'vais aller changer tout ca, j'ai déjà pondu un pdf v1.2 hier soir a 3h en tenant compte des commentaires recu par mail :)

    Donc dans la journée le pdf va evoluer sans doute quelques peu...

    --
    le python, c'est bon

    • [^]Re: Quelques remarques

      Posté par jcs (page perso, ) le 30/09/2004 à 09:57. (lien). Évalué à 2.

      Pour l'intégrité du message j'en parle a un moment, je montre meme par l'exemple que modifier un octet du mail change la validité de la signature

      Ok, désolé. J'ai lu en diagonale ; comme je ne connais pas assez GPG et les protocoles qu'il utilise pour faire des remarques, je me suis surtout penché sur les passages concernant la crypto.

      --
      Hurd will be out in a year (or two, or next month, who knows)
      -- Linus Benedict Torvalds, 1991

  • [^]Re: Quelques remarques

    Posté par cho7 (page perso, ) le 30/09/2004 à 09:31. (lien). Évalué à 1.

    C'est bon tous les crypter ont été changé en chiffrer :)

    --
    le python, c'est bon

Licence du document ?

Posté par Arnaud (page perso, ) le 30/09/2004 à 09:21. (lien). Évalué à 2.

Quelle est la licence apposé sur ce document ? (est-il libre ?)

Je voudrais pouvoir le diffuser (et le diffuser sur des supports offline) pour expliquer à mes proches comment se servir de gnupg. Est-ce possible ?

--
frais inscription universitaires illégaux

  • [^]Re: Licence du document ?

    Posté par cho7 (page perso, ) le 30/09/2004 à 09:33. (lien). Évalué à 1.

    Oui c'est possible, il suffit simplement de ne pas le modifier, comme je l'ai rajouté juste avant le memento.
    Pour toute modifs, hop un ptit email et je m'y colle :)

    --
    le python, c'est bon

Une clé, deux ordinateurs...

Posté par fester () le 30/09/2004 à 09:37. (lien). Évalué à 1.

Bonjour!

Merci pour ce Howto. Cependant, j'ai un petit souci : je souhaiterai utilisé ma clé sur deux ordinateurs différents. Comment procéder ?

  • [^]Re: Une clé, deux ordinateurs...

    Posté par cho7 (page perso, ) le 30/09/2004 à 09:42. (lien). Évalué à 2.

    Les trousseaux de clés sont en fait 2 fichiers situés dans le dossier .gnupg de ton home directory.

    Il est donc facile de copier pubring.gpg et secring.gpg sur un autre ordinateur, là ou c'est moins evident, c'est qu'il faudra mettre les 4 trousseaux a jour en meme temps, ou bien en mettre 2 a jours (les principaux) et ecrabouiller ceux sur le pc secondaire de temps en temps.

    Pour garder les notions de confiance il faudra aussi copier trustdb.gpg

    Puis tant qu'on y est pourquoi pas copier le fichier gpg.conf :)

    Bon bah c'est bon, on a copié tout le dossier .gnupg !

    --
    le python, c'est bon

    • [^]Re: Une clé, deux ordinateurs...

      Posté par Calim' Héros (Jabber id, page perso, ) le 30/09/2004 à 09:55. (lien). Évalué à 2.

      Il n'y a pas de commandes de gestion (import, export notament) des clé privées?
      Parce que si je veux importé des cle privé sur une machine qui en a deja, je fait comment?

      --
      Ce commentaire est :
      Génial, Nul, 42

      • [^]Re: Une clé, deux ordinateurs...

        Posté par cykl (Jabber id, ) le 30/09/2004 à 10:10. (lien). Évalué à 2.

        Utiliser un shell qui fourni une completion correcte et avoir un peu d'intuition sur l'option/lecture de man permet d'avoir une réponse rapide...

        --export-secret-keys [names]

        --export-secret-subkeys [names]
        Same as --export, but exports the secret keys instead. This
        is normally not very useful and a security risk. The second
        form of the command has the special property to render the
        secret part of the primary key useless; this is a GNU exten-
        sion to OpenPGP and other implementations can not be expected
        to successfully import such a key.

        De plus je ne l'avais pas mentionne pour le moment mais il existe deja une plethore d'HOWTO tres complet sur GnuPG, celui la est un peu léger.

        • [^]Re: Une clé, deux ordinateurs...

          Posté par Calim' Héros (Jabber id, page perso, ) le 30/09/2004 à 10:14. (lien). Évalué à 5.

          Et bien la il peut completer sont howto avec ces info.

          Sinon, c'est comme pour les cours, il existe differentes methodes d'expliquer les choses et les personnes ne sont pas receptives de la meme maniere a chaque methode. Donc un de plus permet peut etre de satisfaire de nouvelles personnes (ou lui a permi de mieux apperhender la chose)

          --
          Ce commentaire est :
          Génial, Nul, 42

          • [^]Re: Une clé, deux ordinateurs...

            Posté par cho7 (page perso, ) le 30/09/2004 à 12:08. (lien). Évalué à 2.

            Et bien la il peut completer sont howto avec ces info.

            J'ai rajouté ca dans le memento

            --
            le python, c'est bon

        • [^]Re: Une clé, deux ordinateurs...

          Posté par cho7 (page perso, ) le 30/09/2004 à 10:22. (lien). Évalué à 1.

          De plus je ne l'avais pas mentionne pour le moment mais il existe deja une plethore d'HOWTO tres complet sur GnuPG, celui la est un peu léger.
          Moi j'l'avais fait :)

          --
          le python, c'est bon

    • [^]Re: Une clé, deux ordinateurs...

      Posté par fester () le 30/09/2004 à 16:38. (lien). Évalué à 1.

      Merci à toi, cho7, ainsi qu'aux autres, pour l'aide apportée.

  • [^]Re: Une clé, deux ordinateurs...

    Posté par cykl (Jabber id, ) le 30/09/2004 à 09:59. (lien). Évalué à 2.

    Bin entendu tu es posseur et unique root des des deux machines ?

    Par ce que simplement tapper sa passphrase (meme logé par ssh) depuis une machine qui ne t'appartient pas c'est pas top :-)

    Autrement comme dit plus haut il suffit de copier ta cle.

  • [^]Re: Une clé, deux ordinateurs...

    Posté par CoCoZ (page perso, ) le 30/09/2004 à 12:05. (lien). Évalué à 1.

    Tu peux mettre ta clef gpg sur une clef USB que tu gardes toujours sur toi.

    Il y a une section là dessus dans ma doc sur GPG : http://francoz.net/doc/gpg/gpg.html(...)

    • [^]Re: Une clé, deux ordinateurs...

      Posté par cho7 (page perso, ) le 30/09/2004 à 12:15. (lien). Évalué à 1.

      J'ai rajouté un lien vers ta doc dans ma rubrique liens, si ca te pose problème indique le moi

      --
      le python, c'est bon

    • [^]Re: Une clé, deux ordinateurs...

      Posté par cykl (Jabber id, ) le 30/09/2004 à 13:17. (lien). Évalué à 2.

      Ca ne change pas le probleme qu'il faut ENTRER sa passphrase sur une machine non securise ! Ma cle privee je peux la mettre sur n'importe quel ordinateur non sur de la terre je m'en fou il faut la passphrase pour la deverouiller.

      1/ Le root n'est pas forcement ton ami
      2/ Les keyloggers ne sont pas forcement tes amis
      3/ Les maichants n'hackers qui ont rootkite la machine ne sont pas tes amis non plus.

      Donc dans ce genre d'utilisation c'est limite. Un systeme correct serait effectivement un media branchable sur l'ordinateur qui identifie lui meme l'utilisateur. L'ordinateur n'est jamais en possession du token secret. Je vois plusieurs solution

      -> les trucs specialises, par exemple empreinte digitale avec DB dans le peripherique mais la ca risque de couter un peu cher
      -> PDA ? Il doit etre facile de faire ca. Perso je me sers parfois d'un PDA pour generer des mots de passes OPIE.

      • [^]Re: Une clé, deux ordinateurs...

        Posté par Nicolas Bernard (page perso, ) le 30/09/2004 à 16:51. (lien). Évalué à 2.


        Un systeme correct serait effectivement un media branchable sur l'ordinateur qui identifie lui meme l'utilisateur. L'ordinateur n'est jamais en possession du token secret.


        Pour que ce soit OK, il faut aussi que ton token fasse les calculs cryptographiques, sinon la clef doit forcement passer dans l'ordi à un moment ou un autre...

        Une carte à puce? le temps de chiffrement risque d'être long...

Howto quoi

Posté par d-jo (page perso, ) le 30/09/2004 à 09:47. (lien). Évalué à 2.

Je pense que tu devrais commencer par dire de quoi tu parle. Pas besoin d'être trop bavard mais quand même définir un minimum gpg et evolution avant de les installer !

  • [^]Re: Howto quoi

    Posté par d-jo (page perso, ) le 30/09/2004 à 09:58. (lien). Évalué à 2.

    Je rajouterai lorsque la cléf est générée rajouter explicitement quellle est la clef publique, quelle est la clef privée. D'une maniere générale, un peu plus commenter les sorties du probramme.

  • [^]Re: Howto quoi

    Posté par cho7 (page perso, ) le 30/09/2004 à 10:24. (lien). Évalué à 1.

    J'ai rajouté un sous titre au tuto, pour expliquer ca en 1 ligne.

    --
    le python, c'est bon

Remarque

Posté par bleh () le 30/09/2004 à 10:05. (lien). Évalué à 3.

Je ne critiquerai pas le fond du HOWTO vu qu'après un rapide parcours ça m'a semblé assez bien.
En revanche, je ne vois pas du tout l'intérêt de la section "préliminaires", pour résumé (un bien grand mot vu la taille de la section), on a droit à :

- 3 misérables lignes sur le fait qu'il faut installer GPG sur son ordinateur
- 2 lignes avec apt-get et un petit lien debian

Quand on ajoute ce genre de section, faite, a priori, pour le débutant soit on va au bout de son idée et on propose un vrai guide d'installation avec les différentes possibilités (comme par exemple les packages pour plusieurs distributions) , soit on la retire car elle ne sert pas l'objectif du document. Moi, cette section me fait penser à "regardez j'utilise debian" (c'est assez drôle cette manie qu'ont certains utilisateurs de toujours faire remarquer à la terre entière qu'ils utilisent debian ...), elle me fait penser à ce domaine méconnu de l'informatique grand public : la frimautique (ou le eleetware) et je trouve que c'est assez dommage par rapport à la qualité du reste du document.

  • [^]Re: Remarque

    Posté par cho7 (page perso, ) le 30/09/2004 à 10:13. (lien). Évalué à 1.

    c'est assez drôle cette manie qu'ont certains utilisateurs de toujours faire remarquer à la terre entière qu'ils utilisent debian ...
    En l'occurence c'etait surtout indiqué pour dire que je ne savais pas installer gpg sur une autre distrib car je connais pas le nom des paquets...
    Puis ca me permet aussi de dire que ce tutorial est "garanti théoriquement" sans bleme sur une debian sid, mais que sur autre distrib ayant ses particularités, c'est peut etre différent.
    C'est ce qu'on appelle mettre des reserves, c'est très courant, surtout sur les boites de logiciels (configuration recommandé/requise/etc)
    Bref, après on en pense ce qu'on veut hein...

    Au fait, t'as vu ma page perso là, juste a coté de mon pseudo ? ;-)

    --
    le python, c'est bon

ortho

Posté par rb14 () le 30/09/2004 à 10:10. (lien). Évalué à 2.

dans le sous titre:
s/souns/sous/

  • [^]Re: ortho

    Posté par cho7 (page perso, ) le 30/09/2004 à 10:24. (lien). Évalué à 1.

    corrigé merci.

    --
    le python, c'est bon

Plugin vim

Posté par cykl (Jabber id, ) le 30/09/2004 à 10:12. (lien). Évalué à 2.

Pour editer directement un fichier crypte sans se prendre la tête sous vim : http://www.vim.org/scripts/script.php?script_id=661(...)

  • [^]Re: Plugin vim

    Posté par cho7 (page perso, ) le 30/09/2004 à 10:21. (lien). Évalué à 1.

    ajouté dans la rubrique liens

    --
    le python, c'est bon

Utilisation de GnuPG sur une machine distante

Posté par Thomas Petazzoni (page perso, ) le 30/09/2004 à 10:12. (lien). Évalué à 1.

Salut,

Je profite d'un journal sur GPG pour poser ma question. J'utilisais chez moi une clé GPG avec Sylpheed, tout bien. Mais j'ai déménagé et depuis je n'ai plus l'ADSL chez moi. Donc pour envoyer/lire mes mails je me connecte sur une autre machine par ssh, et j'utilise mutt. Ca me convient très bien.

Par contre, le problème c'est que je ne peux pas signer mes mails ni vérifier les signatures des autres : ça m'ennuie de mettre ma clé privée GPG sur une machine sur laquelle je ne suis pas root (même si j'ai confiance en la personne qui est root).

Existe-t-il un mécanisme qui me permettrait quand même de signer mes messages en utilisant ma clé ?

Le top du top, ça serait un système où ta clé GPG est stockée sur une clé USB. La clé USB tu la branches sur le poste sur lequel tu es, et ton mutt distant va aller demander à la machine sur laquelle tu es de signer les mails et de vérifier les signatures. Je ne sais pas dans quelle mesure c'est possible, ni c'est viable au niveau sécurité.

Et vous, comment faites-vous ?

  • [^]Re: Utilisation de GnuPG sur une machine distante

    Posté par cykl (Jabber id, ) le 30/09/2004 à 10:25. (lien). Évalué à 3.

    1/ Pour verifier les signatures tu n'as pas besoin de mettre ta cle privee !
    Quand quelqu'un signe il prouve que c'est bien lui qui a signe. Donc c'est LUI qui a utilise sa cle privee.

    Tu n'as donc aucun probleme de ce cote la

    2/ Pour ce qui est de 2 la plupart des "bons" clients mail te permettent choisir la commande a effectuer pour chiffrer le message. Tu peux donc au lieu d'invoquer gpg directement faire un script wrapper qui va en fait se connecter a ta machine en envoyant le message en clair, le serveur sur ta machine renvois le serveur crypte.

    Ca reste a coder ca doit pas prendre plus d'une heure avec les tests etc.

    Note : pourquoi je pas utiliser mutt sur la machine locale ?!!! C'est aussi simple non ? Bien entendu si la machine locale n'est pas a toi ca ne change rien.

    Note2: une signature sans aucun challenge (comme tu sembles vouloir faire avec ta cle USB) c'est de la connerie amha

    • [^]Re: Utilisation de GnuPG sur une machine distante

      Posté par Thomas Petazzoni (page perso, ) le 30/09/2004 à 10:32. (lien). Évalué à 1.

      Okay pour la vérification des signatures, mais bon je voudrais quand même disposer de toutes les fonctionnalités de GPG : chiffrage, déchiffrage, signature, vérification de signature.

      Je peux effectivement imaginer faire un wrapper, mais la connexion SSH risque de demander un mot de passe, tout ça, ça va être compliqué, non ?

      Mutt sur ma machine locale au boulot ? Une bécane Windows que je n'administre pas ? Hum, hum ;-)

      Pour l'histoire de la clé USB, le protocole de discussion entre le client mail distant et la machine locale ayant la clé USB est à discuter. A mon avis, il s'agit pas de faire transiter la clé privée, mais plutôt le hash du message, qu'on signe en local et on renvoie le hash signé là bas. Ou alors autre chose, j'en sais rien ;-)

Memento sur une page

Posté par cho7 (page perso, ) le 30/09/2004 à 10:37. (lien). Évalué à 1.

A la demande de mr_moustache j'ai passé le memento sur 1 page, pas top a l'ecran, mais surement correct a l'impression, quelqu'un pour essayer ?

--
le python, c'est bon

J'ai un doute la!

Posté par frooze () le 30/09/2004 à 12:40. (lien). Évalué à 1.

Je ne suis pas spécialiste et je vais peut-être dire une bêtise mais dans l'Etape1, tu décris le principe des clé public et clé privé mais pour moi, c'est l'inverse, ma clé privé sert a crypter mon message et le message ne pourra être décripté que si Albert a ma clé public.
Parceque dans gpg il n'y a pas que le cryptage, mais aussi l'autentification par signature. Donc c'est bien la clé privé qui marque ma signature et pas la clé public (qui elle est dictribué librement).

  • [^]Re: J'ai un doute la!

    Posté par cho7 (page perso, ) le 30/09/2004 à 12:53. (lien). Évalué à 1.

    Euh non, c'est bien la clé publique du destinataire qui chiffre !!
    Sinon il serait possible d'envoyer un message chiffré a quelqu'un n'ayant pas de clé secrète (n'utilisant pas gpg quoi...)

    De plus, je suis ainsi certain que SEUL albert peut dechiffrer mon message, et pas n'importe qui ayant potentiellement ma clé publique.

    C'est pour ca que si tu vas dans les éléments envoyés de Evolution ou ce que tu veux, tu pourras meme pas lire tes mails chiffrés, car il te reclamera la clé secrete du destinataire et son mot de passe !

    --
    le python, c'est bon

    • [^]Re: J'ai un doute la!

      Posté par cho7 (page perso, ) le 30/09/2004 à 12:59. (lien). Évalué à 1.

      Toujours dans un soucis de précision :
      si ma clé publique servait a dechiffrer, n'importe qui pourrait intercepter le mail, importer dans son trousseau ma clé publique, et n'aurait plus qu'a trouver mon mot de passe, ce serait vraiment naze niveau sécurité.

      Là seul le destinataire prévu initialement (celui dont j'ai utilisé la clé publique pour crypter mon mail) peut déchiffrer le mail a l'aide de sa clé privée. CQFD

      --
      le python, c'est bon

    • [^]Re: J'ai un doute la!

      Posté par frooze () le 30/09/2004 à 13:06. (lien). Évalué à 1.

      ok, je viens de lire la doc indiqué plus haut ( http://francoz.net/doc/gpg/x356.html(...) ) et la fin du howto. Je comprend mieux maintenant.
      Je pense qu'il serait plus simple (pour quelqu'un comme moi qui n'a que quelques notions) de commencer par parler de la signature d'un message (qui a mon avis est la fonction la plus utilisé dans gpg) et de parler ensuite du cryptage.

      Merci pour ces précisions

Revenir en haut de page

Run by Team LinuxFr.org

Cette page a été générée par Templeet en 0.2105s (dont 0.0197 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.