Forum général.général Les joies de PGP...

Posté par Zenitram (site web personnel) le 26 novembre 2008 à 18:43.

Étiquettes : aucune

-2

nov.

2008

Suite à la demande d'un client un peu pro-sécurité (surtout de ses secrets industriels, je ne suis pas prêt de faire du libre avec lui pffff...), je découvre les joies de PGP. Et ses problèmes.

Lui utilise Outlook+Je ne sais quoi. Moi Thunderbird+Enigmail.

J'ai créé ma paire clés, et lui ai envoyé la clé publique. Lui m'a envoyé sa clef publique, que j'ai rajouté à Enigmail.
Il m'a envoyé un mail signé, et la le drame :
gpg: Signature faite le xxx avec la clé DSA ID xxx
gpg: MAUVAISE signature de « xxx@xxx.com> »

Par contre, si je m'envoie un mail signé, c'est bien validé par Thunderbird.

Avant de passer devant mon client pour une burne avec PGP, avez-vous des petites idées d'où pourrait provenir le soucis, avec votre expérience PGP?

# Octroyez une confiance à cette clé.

Posté par Mikaël Cordon le 26 novembre 2008 à 19:18. Évalué à 2.

Vérifier que l'identité attachée à la clé publique est bien la même identité que l'expéditeur du mail...

GnuPG considère qu'une clé publique est, par défaut, non digne de confiance. Voyez avec votre gestionnaire de trousseau (KGpg, Seahorse etc.) pour lui accorder une confiance plus élevée, et vous pouvez signer cette clé avec votre propre clé. Et ce si vous lui faites suffisamment confiance, évidemment ! Échangez par téléphone les empreintes de vos clé respectives pour vérifier qu'elles n'ont pas été substituées. (Peu probable, mais bon)

Vérifiez aussi que la clé publique est bien prise en compte dans votre trousseau.

Et si tout ces points sont vérifiés, peut-être que le mail a effectivement été spolié !
- [^] # Re: Octroyez une confiance à cette clé.
  
  Posté par Zenitram (site web personnel) le 26 novembre 2008 à 19:35. Évalué à 2.
  
  Pour le moment, j'accorde 100% de confiance à tout (pas bien, mais déjà faut que ça marche comme ça...)
  
  Je n'avais pas mis de niveau de confiance, tenté en "confiance absolue", et j'ai "signé" la clef.
  
  Vérifiez aussi que la clé publique est bien prise en compte dans votre trousseau.
  
  Si je supprime la clef du trousseau, j'ai un message "Signature non vérifiée" et "voulez-vous importer la clé d'un serveur de clé publiques?". J'imagine que ça veut dire que c'est pris en compte.
  
  arghhh
  - [^] # Re: Octroyez une confiance à cette clé.
    
    Posté par Mikaël Cordon le 26 novembre 2008 à 21:24. Évalué à 1.
    
    Regardez aussi si, tout simplement, la clé n'a pas été révoquée... ?
    
    Pour les mails, il y a aussi une histoire de signature intégrée ou S/MIME.
# Outlook + je ne sais quoi

Posté par phoenix (site web personnel) le 28 novembre 2008 à 15:22. Évalué à 2.

A un moment donné j'ai utilisé pour ma soeur un truc Outlook . Si le message était en HTML, il était parfois vérolé par l'appli qui signé les mails (le mail était modifié après signature).

Est-ce que tu peux essayer en plain text ?
- [^] # Re: Outlook + je ne sais quoi
  
  Posté par Zenitram (site web personnel) le 02 décembre 2008 à 19:42. Évalué à 2.
  
  J'ai vu que PGP n'aime pas du tout le HTML, je le désactive pour mes mails en chiffré, mais résultat pareil.
  
  Son mail n'est pas en HTML non plus :
  Content-Type: text/plain;
  charset="us-ascii"
  X-Mailer: Microsoft Office Outlook 12.0
  gpgol-version: 0.9.92
  
  Mais échec de la signature. Mystère mystère...