Forum général.général Mail signé avec PGP, clé introuvable...

Posté par  . Licence CC By‑SA.
Étiquettes :
4
29
jan.
2020

Salut,

Un bref message pour signaler mon étonnement aux mollusques qui circulent ici. Il y a peu de temps, une (très grosse) entreprise m'a envoyé un mail dont les deux premières lignes sont:

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

La première étape, c'est le déni. Pas possible qu'une grosse boite utilise PGP pour communiquer avec un particulier. J'ai donc tenté de trouver leur clé PGP pour vérifier la signature. Je ne trouve rien sur keyserver.pgp.com. J'ai trouvé un peu (…)

Gnuk, NeuG, FST-01 : entre cryptographie et matériel libre

Posté par  (site Web personnel) . Édité par ZeroHeure, Benoît Sibaud, palm123 et Davy Defaud. Modéré par ZeroHeure. Licence CC By‑SA.
50
30
juin
2018
Sécurité

Depuis quelques années, la Free Software Initiative of Japan (FSIJ, association de promotion des logiciels libres au Japon) travaille sur un ensemble de projets à la croisée des chemins entre cryptographie, informatique embarquée et matériel libre.

Ces projets sont l’œuvre de Niibe Yutaka (Gniibe ou g新部), qui, entre autres casquettes, est président de la FSIJ, coordinateur des traductions japonaises du projet GNU, développeur Debian et contributeur à GnuPG (où il travaille notamment sur la cryptographie à courbes elliptiques et la gestion des cartes à puce — deux aspects qui sont directement liés aux projets dont il va être question dans cette dépêche).

Votre serviteur avait déjà très brièvement évoqué l’existence de deux de ces projets (Gnuk et le FST-01) dans une dépêche précédente consacrée à la carte OpenPGP (dont la lecture est recommandée avant de poursuivre), mais sans donner aucun détail, ce que la présente dépêche va corriger.

Journal Autocrypt

Posté par  . Licence CC By‑SA.
Étiquettes :
28
17
avr.
2018

La version 1.0.0 date de fin 2017, et je n'en trouve trace sur le site. Que propose ce projet? L’idée, c'est d'ajouter de manière transparente des informations permettant de chiffrer les courriels. Et de basculer automatiquement vers des échanges chiffrés lorsque c'est possible. Un petit exemple:

  1. Alice écrit à Bob. L’entête du message permet à Bob de récupérer automatiquement la clé de Alice.
  2. Bob écrit à Alice. Il a la clé de Alice et peut donc chiffrer le message. L’entête (…)

GnuPG, OpenPGP.js & cie : quoi de neuf ?

Posté par  . Édité par mathrack, Davy Defaud, gouttegd, Benoît Sibaud, Nicolas Casanova, palm123 et bolikahult. Modéré par Pierre Jarillon. Licence CC By‑SA.
59
15
avr.
2018
Sécurité

Le 8 mars 2018, la version 3.0.0 de la bibliothèque OpenPGP.js sortait. Elle implémente le format OpenPGP en JavaScript et est disponible sous licence LGPL 3.0. C’est l’occasion de présenter cette bibliothèque et les nouveautés apportées par cette version. C’est surtout un très bon prétexte pour parler du standard OpenPGP lui‐même, de ses principales implémentations et de ses évolutions futures.

Forum général.hors-sujets Quand Synology incite à envoyer un mot de passe administrateur en clair

Posté par  . Licence CC By‑SA.
6
6
sept.
2017

Salut,

Pour faire court : le support technique de Synology me demande de lui envoyer un mot de passe administrateur de mon NAS, en clair, par mail. Je leur demande une clé publique PGP, un compte Wire, que sais-je ? Un canal chiffré.

Niet, ils insistent : par mail, en clair. Ils n'ont pas d'autre moyen…

C'est courant ce genre de situation ou c'est Synology qui est à l'Ouest ?

Franck.

PS: pendant ce temps, depuis que j'ai ouvert le port Telnet (…)

Journal De la confiance dans le monde OpenPGP

Posté par  (site Web personnel) . Licence CC By‑SA.
Étiquettes :
61
27
nov.
2016

Introduction

La confiance est l’un des concepts à la fois les plus importants et les plus mal compris d’OpenPGP. Derrière ce terme peuvent se cacher en réalité deux notions bien distinctes, illustrées par les propositions suivantes :

  • Alice est confiante que la clef 0xB4902A74 appartient à Bob ;
  • Alice fait confiance à Bob quand celui-ci lui dit que la clef 0x4B493BB7 appartient à Charlie.

La première proposition fait référence à la validité de la clef 0xB4902A74, tandis que la seconde fait (…)

Journal OpenPGP, enlarge your privacy

Posté par  . Licence CC By‑SA.
Étiquettes :
23
21
juin
2015

Il y a quelques mois, gouttegd nous faisait un cours magistral sur l'usage d'OpenPGP sur les cartes à puce et récidivait sur le sujet de la gestion des clés.

Ce comportement inadmissible mérite que l'on s'y intéresse de plus près. J'ai donc décidé de me lancer dans l'aventure et de générer moi aussi ma clé PGP. J'espère donc ici apporter un complément aux excellents articles pondus par gouttegd en expliquant comment j'ai posé les premières pierres de (…)

Quelques brèves sur OpenPGP

Posté par  (site Web personnel) . Édité par ZeroHeure, Nils Ratusznik, Nÿco, palm123, Benoît Sibaud, tuiu pol et rakoo. Modéré par palm123. Licence CC By‑SA.
Étiquettes :
37
5
juin
2015
Sécurité

NdM : gouttegd livre régulièrement des journaux traitant d'OpenPGP. Il vient de réaliser une petit tour d'horizon de quelques brèves à ce propos.

Au sommaire :

  • La reprise d'activité sur OpenPGP ;
  • Une nouvelle version de la carte OpenPGP ;
  • Facebook se met à OpenPGP.

Bonne lecture !

Journal De la gestion des clefs OpenPGP

Posté par  (site Web personnel) . Licence CC By‑SA.
Étiquettes :
81
17
mai
2015

Dans un commentaire de la dépêche sur la carte OpenPGP, Spack demandait :

OK mais je la mets où ma clef ? Sous l’oreiller ? Quels sont les bons conseils pour mettre sa clef privée au chaud et de façon pérenne ?

Ce à quoi je répondais, en bottant honteusement en touche, que ça n’avait rien à voir avec la carte OpenPGP. Mais la question n’en est pas moins intéressante et mérite que l’on tente d’y répondre.

Je me propose donc, dans ce (…)

“OpenPGP card”, une application cryptographique pour carte à puce

78
18
déc.
2014
Sécurité

À la demande générale de deux personnes, dans cette dépêche je me propose de vous présenter l’application cryptographique « OpenPGP » pour cartes à puce au format ISO 7816. Une carte à puce dotée d’une telle application vous permet d’y stocker et de protéger vos clefs OpenPGP privées.

Journal End-to-End, l'extension PGP pour Chrome

Posté par  (site Web personnel) .
Étiquettes :
15
3
juin
2014

Bonjour bonsoir,

Comme tout le monde le sait, Internet, c'est à peu près aussi respectueux de la vie privée qu'une carte postale. Si on veut en garder un peu, il n'y a qu'un seul moyen: chiffrer ses communications.

C'est possible, grâce à PGP et tout spécialement GPG, une implémentation libre du protocole qui vise les utilisateurs prêts à mettre les mains dans le cambouis sur leur ordinateur. Les plus fainéants (ou pragmatiques ?) auront certainement installé Enigmail, l'extension Thunderbird (…)

Signing party au salon Solutions Linux le 20 mai 2014

Posté par  (site Web personnel) . Édité par Nÿco, Benoît Sibaud et patrick_g. Modéré par ZeroHeure. Licence CC By‑SA.
17
17
avr.
2014
Sécurité

En ces temps troublés, il est important de sécuriser nos échanges d'information — en chiffrant — ainsi que la distribution de logiciels — en signant les publications.

À cette fin, le salon Solutions Linux, Libres et Open Source sera l'occasion d'une signing party PGP, le 20 mai 2014 à 18h près du stand Debian France. Cette signing party est ouverte à tous les visiteurs et exposants du salon.

Pour faciliter les échanges d'empreintes de clefs en cas d'affluence, il est possible que nous utilisions une liste officielle de participants selon le protocole de Zimmermann-Sassaman. Pour préparer cela, il est demandé aux participants de me contacter en m'envoyant leur clef publique. Selon la méthode de signing party retenue, je publierai ultérieurement des instructions plus précises.

Journal Tout le monde a bien activé TLS sur ses serveurs SMTP ?

Posté par  (site Web personnel) . Licence CC By‑SA.
34
20
fév.
2014

Parce que cela va être obligatoire en France, a annoncé le premier ministre aujourd'hui (dans un premier temps, uniquement pour les services de l'État et pour les FAI). Donc, pour aider les bons français à suivre ces excellentes directives, je suggère de mettre dans les commentaires des liens vers les meilleurs tutoriels sur la configuration et le test (toujours oublié, le test) de TLS sur Postfix, exim, etc.

Merci de ne mettre que des tutoriels récents (en deux coups de (…)