Journal GPG HowTo

Posté par  (site Web personnel) .
Étiquettes : aucune
0
29
sept.
2004
Encore un, et surement pas le meilleur, mais comme je l'ai ecris moi meme j'en fais part aux autres :)

http://fuck.the.world.free.fr/gpg.pdf(...)

A noter un memento a la fin regroupant toutes les commandes de base.

Toute critique suggestive est bien evidemment la bienvenue...

Et si quelqu'un qui n'y connait rien a gpg pouvait l'essayer mon howto, et me dire si c'est clair, j'lui en serai reconnaissant !


Merci
  • # How-to retrouver sa passpharse

    Posté par  . Évalué à 4.

    Rajoute un paragraphe sur comment retrouver sa passphrase quand on l'a perdue :-(
    Sérieusement, ya des script tous faits pour bruteforcer gpg à partir d'une liste d'idées de mots de passe ?

    La meilleure manière de s'en souvenir, cela aurait été de l'utiliser plus souvent...

    /me qui pleure sur son sort
    • [^] # Re: How-to retrouver sa passpharse

      Posté par  (site Web personnel) . Évalué à 3.

      Personnelement j'ai toujours en stock un certificat de revocation "Oubli de mot de passe" :-)
    • [^] # Re: How-to retrouver sa passpharse

      Posté par  (site Web personnel) . Évalué à -2.

      Tu la notes dans un fichier texte.
      • [^] # Re: How-to retrouver sa passpharse

        Posté par  . Évalué à 3.

        Que tu mets avec tes fichiers cryptés, comme ça tu n'as même plus à chercher, c'est très pratique..


        Je suis en train de me demander quelque chose..
        Mais pourquoi je crypte? :p



        Trève de plaisanterie, j'ai adopté la passphrase simple mais que j'ai compliqué par un système tout aussi simple. Une taille d'au moins 10caractères avec des chiffres et des minuscules/majuscules, il faut vraiment en vouloir pour la trouver..
    • [^] # Re: How-to retrouver sa passpharse

      Posté par  . Évalué à 4.

      Ca m'est arrivé une fois. Je me souvenais globalement de la phrase mais pas de l'orthographe ni de l'absence/présence de certains mots.

      Pour bruteforcer j'ai écrit un petit script perl générant toutes les passphrases possibles (à partir de ce dont je me souvenais).

      Ensuite pour les passer à gpg il faut utiliser l'option --passphrase-fd.

      Je me souviens qu'à l'époque j'avais généré un fichier de 50Mo rien que pour les clés, ça avait pris un peu de temps mais j'ai récupérer ma clé :)

      PS : je crois que pour des raisons de perfs je ne lançais pas gpg à partir de perl mais je générais directement un script bash contenant la ligne de commande pour chaque clé, du style
      echo "maclé" | gpg --passphrase-fd 0 unecomande
      echo "maclé" | gpg --passphrase-fd 0 unecomande
      ...
  • # Petite remarque perso

    Posté par  . Évalué à 2.

    Super ton tutorial !

    Je trouve original le fait que tu mette dans 1 certaine couleur ce que le soft affiche et ce que tu tape toi même.

    Rien a dire :)
  • # Je me jette à l'eau

    Posté par  . Évalué à 0.

    allez , gpg m'as toujours interessé de loin ( et on remercieras pirate mag' ) , promis , je m'y met des que j'ai le temps en ne passant que par ton tutoriel , et je te dit quoi...
  • # Version HTML

    Posté par  (site Web personnel) . Évalué à 2.

    Bon mode chieur on : j'aurais bien aimé voir une version HTML, c'est plus pratique à ouvrir qu'un pdf, et là en l'occurrence j'arrive pas à l'ouvrir ni avec gpdf ni avec ggv :(
    • [^] # Re: Version HTML

      Posté par  (site Web personnel) . Évalué à 1.

      la version html est a l'oeuvre :)

      Pour l'ouvrir avec gpdf, ici_ca_marche mais les lettres accentuées disparaissent...
      Aucun probleme en revanche avec xpdf :)
    • [^] # Re: Version HTML

      Posté par  (site Web personnel) . Évalué à 2.

      Ayé, 1ere version HTML dispo sur
      http://fuck.the.world.free.fr/gpg(...)

      Le pdf reste disponible, car bien plus lisible je trouve !!
    • [^] # Re: Version HTML

      Posté par  (site Web personnel) . Évalué à -2.

      T'as qu'à utiliser les bons outils.
      C'est parfaitement lisible avec Acrobat Reader.
      • [^] # Re: Version HTML

        Posté par  (site Web personnel) . Évalué à 2.

        Le politiquement correct est toujours à l'½uvre, c'est très très bien.
        Juste pour dire que j'ai encore jamais vu un PDF correctement lisible sous les autres lecteur que celui d'Acrobat. Alors je sais pas à qui la faute, et qui est-ce qui fait des trucs pas bien. Le lecteur, le générateur, l'auteur du document ? Moi ? Bref, c'est bien dommage, mais pour l'instant, pour lire le format qui appartient à Adobe, le mieux est encore les outils d'Adobe, non ?
  • # et Gnus

    Posté par  (site Web personnel) . Évalué à 1.

    tu peux toujours mettre ces liens:
    http://www.emacswiki.org/cgi-bin/wiki/CategoryGnus(...)
    http://mailcrypt.sourceforge.net(...)

    Pour aider à la configuration de Gnus et gpg
  • # Référence a l'adresse du document

    Posté par  (site Web personnel) . Évalué à 2.

    Salut,

    Tout dabord à première vu ca m'a l'air très bien et assez complet donc merci pour ce travail !
    Tu devrait par contre rajouter pour les gens comme moi l'URL ou l'on peut trouver une version à jour du document ce qui permet aux gens qui impriment ou qui mettent le document parmis tout ceux qu'ils collectent de savoir ou retrouver cette perle pour regarder si il y a eu une mise à jour. La conséquence directe etant de numéroter (par la date par exemple) les versions de ton document.

    Encore merci pour ce document !
  • # Bravo

    Posté par  (site Web personnel) . Évalué à 1.

    Merci, il est vraiment bien ton tuto.
    C'est d'autant plus difficile que GPG est pas vraiment facile à utiliser.
    Quelle est votre politique, pour GPG ? Est-ce que vous chiffrez systématiquement vos mails quand vos correspondant ont une clé ? Ou est-ce que vous signez à chaque fois, au moins ?
    • [^] # Re: Bravo

      Posté par  . Évalué à 2.

      C'est tellement pratique pour chercher dans les archives les mails chiffres....

      Perso, c'est chiffrement entre les serveurs mails, en etant le root du serveur, et basta. La signature bien evidement par contre.
      • [^] # Re: Bravo

        Posté par  (site Web personnel) . Évalué à 2.

        Idem, je crypte très peu, mais je signe a tout va, et mes parents se font plus avoir par les virus qui arrivent en mon nom, ils ont l'habitude que leur outlook leur indique systematiquement la meme piece jointe, et si elle n'y est pas ils savent que c'est pas moi qui envoi :)
  • # Autre doc sur GnuPG

    Posté par  (site Web personnel) . Évalué à 2.

    J'ai écrit y'a quelques temps une autre documentation sur GnuPG, elle est dispo ici :

    En plein de petites pages : http://francoz.net/doc/gpg/gpg.html(...)

    En une grosse page : http://francoz.net/doc/gpg/gpg-entier.xhtml(...)

    Le source docbook pour ceux qui veulent corriger/ajouter quelque chose : http://francoz.net/doc/gpg/gpg-latest.sgml(...)
  • # Quelques remarques

    Posté par  (site Web personnel) . Évalué à 5.

    Quelques remarques et critiques constructives afin d'améliorer le document.

    - L'erreur classique : si on parle bien de cryptographie, les termes cryptage et decryptage sont des anglicismes. En français il faut parler de chiffrement et de déchiffrement. On peut parler à la rigueur de decryptage mais dans ce cas il s'agit de l'action de déchiffrer des données sans connaître la clé de chiffrement.

    - La signature :
    Signer un message, c'est lui joindre un certificat, attestant que la personne qui a envoyÈ le mail, et bien la personne qui apparait dans le champs "From:" (ou "De:" )
    C'est vrai mais ce n'est pas tout. La signature ce n'est pas qu'une simple authentification. En fait une signature numérique fournit 3 choses :

    1 - l'authentification : c'est ce que tu décris, il s'agit de s'assurer de l'identité le l'émetteur.
    2 - l'intégrité : on est assuré que ce message n'a été modifié d'aucune façon depuis qu'il a été signé. Tu le dis plus bas dans la phrase : "Attention, signature invalide, le contenu n'est peut etre pas sûr, ou bien il a été altéré"
    3 - la non-répudiation : l'auteur du message ne peut se rétracter à postériori, la signature prouve qu'il a bien envoyé le message.

    Il est important de souligner que si la non-répudiation implique l'autentification, la réciproque est fausse.
    • [^] # Re: Quelques remarques

      Posté par  (site Web personnel) . Évalué à 1.

      Pour l'intégrité du message j'en parle a un moment, je montre meme par l'exemple que modifier un octet du mail change la validité de la signature

      Sinon pour les termes crypter/chiffrer on m'a déjà prévenu par mail et promis j'vais aller changer tout ca, j'ai déjà pondu un pdf v1.2 hier soir a 3h en tenant compte des commentaires recu par mail :)

      Donc dans la journée le pdf va evoluer sans doute quelques peu...
      • [^] # Re: Quelques remarques

        Posté par  (site Web personnel) . Évalué à 2.

        Pour l'intégrité du message j'en parle a un moment, je montre meme par l'exemple que modifier un octet du mail change la validité de la signature

        Ok, désolé. J'ai lu en diagonale ; comme je ne connais pas assez GPG et les protocoles qu'il utilise pour faire des remarques, je me suis surtout penché sur les passages concernant la crypto.
    • [^] # Re: Quelques remarques

      Posté par  (site Web personnel) . Évalué à 1.

      C'est bon tous les crypter ont été changé en chiffrer :)
  • # Licence du document ?

    Posté par  (site Web personnel) . Évalué à 2.

    Quelle est la licence apposé sur ce document ? (est-il libre ?)

    Je voudrais pouvoir le diffuser (et le diffuser sur des supports offline) pour expliquer à mes proches comment se servir de gnupg. Est-ce possible ?
    • [^] # Re: Licence du document ?

      Posté par  (site Web personnel) . Évalué à 1.

      Oui c'est possible, il suffit simplement de ne pas le modifier, comme je l'ai rajouté juste avant le memento.
      Pour toute modifs, hop un ptit email et je m'y colle :)
  • # Une clé, deux ordinateurs...

    Posté par  . Évalué à 1.

    Bonjour!

    Merci pour ce Howto. Cependant, j'ai un petit souci : je souhaiterai utilisé ma clé sur deux ordinateurs différents. Comment procéder ?
    • [^] # Re: Une clé, deux ordinateurs...

      Posté par  (site Web personnel) . Évalué à 2.

      Les trousseaux de clés sont en fait 2 fichiers situés dans le dossier .gnupg de ton home directory.

      Il est donc facile de copier pubring.gpg et secring.gpg sur un autre ordinateur, là ou c'est moins evident, c'est qu'il faudra mettre les 4 trousseaux a jour en meme temps, ou bien en mettre 2 a jours (les principaux) et ecrabouiller ceux sur le pc secondaire de temps en temps.

      Pour garder les notions de confiance il faudra aussi copier trustdb.gpg

      Puis tant qu'on y est pourquoi pas copier le fichier gpg.conf :)

      Bon bah c'est bon, on a copié tout le dossier .gnupg !
      • [^] # Re: Une clé, deux ordinateurs...

        Posté par  (site Web personnel) . Évalué à 2.

        Il n'y a pas de commandes de gestion (import, export notament) des clé privées?
        Parce que si je veux importé des cle privé sur une machine qui en a deja, je fait comment?
        • [^] # Re: Une clé, deux ordinateurs...

          Posté par  . Évalué à 2.

          Utiliser un shell qui fourni une completion correcte et avoir un peu d'intuition sur l'option/lecture de man permet d'avoir une réponse rapide...

          --export-secret-keys [names]

          --export-secret-subkeys [names]
          Same as --export, but exports the secret keys instead. This
          is normally not very useful and a security risk. The second
          form of the command has the special property to render the
          secret part of the primary key useless; this is a GNU exten-
          sion to OpenPGP and other implementations can not be expected
          to successfully import such a key.

          De plus je ne l'avais pas mentionne pour le moment mais il existe deja une plethore d'HOWTO tres complet sur GnuPG, celui la est un peu léger.
          • [^] # Re: Une clé, deux ordinateurs...

            Posté par  (site Web personnel) . Évalué à 5.

            Et bien la il peut completer sont howto avec ces info.

            Sinon, c'est comme pour les cours, il existe differentes methodes d'expliquer les choses et les personnes ne sont pas receptives de la meme maniere a chaque methode. Donc un de plus permet peut etre de satisfaire de nouvelles personnes (ou lui a permi de mieux apperhender la chose)
          • [^] # Re: Une clé, deux ordinateurs...

            Posté par  (site Web personnel) . Évalué à 1.

            De plus je ne l'avais pas mentionne pour le moment mais il existe deja une plethore d'HOWTO tres complet sur GnuPG, celui la est un peu léger.
            Moi j'l'avais fait :)
      • [^] # Re: Une clé, deux ordinateurs...

        Posté par  . Évalué à 1.

        Merci à toi, cho7, ainsi qu'aux autres, pour l'aide apportée.
    • [^] # Re: Une clé, deux ordinateurs...

      Posté par  . Évalué à 2.

      Bin entendu tu es posseur et unique root des des deux machines ?

      Par ce que simplement tapper sa passphrase (meme logé par ssh) depuis une machine qui ne t'appartient pas c'est pas top :-)

      Autrement comme dit plus haut il suffit de copier ta cle.
    • [^] # Re: Une clé, deux ordinateurs...

      Posté par  (site Web personnel) . Évalué à 1.

      Tu peux mettre ta clef gpg sur une clef USB que tu gardes toujours sur toi.

      Il y a une section là dessus dans ma doc sur GPG : http://francoz.net/doc/gpg/gpg.html(...)
      • [^] # Re: Une clé, deux ordinateurs...

        Posté par  (site Web personnel) . Évalué à 1.

        J'ai rajouté un lien vers ta doc dans ma rubrique liens, si ca te pose problème indique le moi
      • [^] # Re: Une clé, deux ordinateurs...

        Posté par  . Évalué à 2.

        Ca ne change pas le probleme qu'il faut ENTRER sa passphrase sur une machine non securise ! Ma cle privee je peux la mettre sur n'importe quel ordinateur non sur de la terre je m'en fou il faut la passphrase pour la deverouiller.

        1/ Le root n'est pas forcement ton ami
        2/ Les keyloggers ne sont pas forcement tes amis
        3/ Les maichants n'hackers qui ont rootkite la machine ne sont pas tes amis non plus.

        Donc dans ce genre d'utilisation c'est limite. Un systeme correct serait effectivement un media branchable sur l'ordinateur qui identifie lui meme l'utilisateur. L'ordinateur n'est jamais en possession du token secret. Je vois plusieurs solution

        -> les trucs specialises, par exemple empreinte digitale avec DB dans le peripherique mais la ca risque de couter un peu cher
        -> PDA ? Il doit etre facile de faire ca. Perso je me sers parfois d'un PDA pour generer des mots de passes OPIE.
        • [^] # Re: Une clé, deux ordinateurs...

          Posté par  (site Web personnel) . Évalué à 2.


          Un systeme correct serait effectivement un media branchable sur l'ordinateur qui identifie lui meme l'utilisateur. L'ordinateur n'est jamais en possession du token secret.


          Pour que ce soit OK, il faut aussi que ton token fasse les calculs cryptographiques, sinon la clef doit forcement passer dans l'ordi à un moment ou un autre...

          Une carte à puce? le temps de chiffrement risque d'être long...
  • # Howto quoi

    Posté par  (site Web personnel) . Évalué à 2.

    Je pense que tu devrais commencer par dire de quoi tu parle. Pas besoin d'être trop bavard mais quand même définir un minimum gpg et evolution avant de les installer !
    • [^] # Re: Howto quoi

      Posté par  (site Web personnel) . Évalué à 2.

      Je rajouterai lorsque la cléf est générée rajouter explicitement quellle est la clef publique, quelle est la clef privée. D'une maniere générale, un peu plus commenter les sorties du probramme.
    • [^] # Re: Howto quoi

      Posté par  (site Web personnel) . Évalué à 1.

      J'ai rajouté un sous titre au tuto, pour expliquer ca en 1 ligne.
  • # Remarque

    Posté par  . Évalué à 3.

    Je ne critiquerai pas le fond du HOWTO vu qu'après un rapide parcours ça m'a semblé assez bien.
    En revanche, je ne vois pas du tout l'intérêt de la section "préliminaires", pour résumé (un bien grand mot vu la taille de la section), on a droit à :

    - 3 misérables lignes sur le fait qu'il faut installer GPG sur son ordinateur
    - 2 lignes avec apt-get et un petit lien debian

    Quand on ajoute ce genre de section, faite, a priori, pour le débutant soit on va au bout de son idée et on propose un vrai guide d'installation avec les différentes possibilités (comme par exemple les packages pour plusieurs distributions) , soit on la retire car elle ne sert pas l'objectif du document. Moi, cette section me fait penser à "regardez j'utilise debian" (c'est assez drôle cette manie qu'ont certains utilisateurs de toujours faire remarquer à la terre entière qu'ils utilisent debian ...), elle me fait penser à ce domaine méconnu de l'informatique grand public : la frimautique (ou le eleetware) et je trouve que c'est assez dommage par rapport à la qualité du reste du document.
    • [^] # Re: Remarque

      Posté par  (site Web personnel) . Évalué à 1.

      c'est assez drôle cette manie qu'ont certains utilisateurs de toujours faire remarquer à la terre entière qu'ils utilisent debian ...
      En l'occurence c'etait surtout indiqué pour dire que je ne savais pas installer gpg sur une autre distrib car je connais pas le nom des paquets...
      Puis ca me permet aussi de dire que ce tutorial est "garanti théoriquement" sans bleme sur une debian sid, mais que sur autre distrib ayant ses particularités, c'est peut etre différent.
      C'est ce qu'on appelle mettre des reserves, c'est très courant, surtout sur les boites de logiciels (configuration recommandé/requise/etc)
      Bref, après on en pense ce qu'on veut hein...

      Au fait, t'as vu ma page perso là, juste a coté de mon pseudo ? ;-)
  • # ortho

    Posté par  . Évalué à 2.

    dans le sous titre:
    s/souns/sous/
  • # Plugin vim

    Posté par  . Évalué à 2.

    Pour editer directement un fichier crypte sans se prendre la tête sous vim : http://www.vim.org/scripts/script.php?script_id=661(...)
  • # Utilisation de GnuPG sur une machine distante

    Posté par  (site Web personnel) . Évalué à 1.

    Salut,

    Je profite d'un journal sur GPG pour poser ma question. J'utilisais chez moi une clé GPG avec Sylpheed, tout bien. Mais j'ai déménagé et depuis je n'ai plus l'ADSL chez moi. Donc pour envoyer/lire mes mails je me connecte sur une autre machine par ssh, et j'utilise mutt. Ca me convient très bien.

    Par contre, le problème c'est que je ne peux pas signer mes mails ni vérifier les signatures des autres : ça m'ennuie de mettre ma clé privée GPG sur une machine sur laquelle je ne suis pas root (même si j'ai confiance en la personne qui est root).

    Existe-t-il un mécanisme qui me permettrait quand même de signer mes messages en utilisant ma clé ?

    Le top du top, ça serait un système où ta clé GPG est stockée sur une clé USB. La clé USB tu la branches sur le poste sur lequel tu es, et ton mutt distant va aller demander à la machine sur laquelle tu es de signer les mails et de vérifier les signatures. Je ne sais pas dans quelle mesure c'est possible, ni c'est viable au niveau sécurité.

    Et vous, comment faites-vous ?
    • [^] # Re: Utilisation de GnuPG sur une machine distante

      Posté par  . Évalué à 3.

      1/ Pour verifier les signatures tu n'as pas besoin de mettre ta cle privee !
      Quand quelqu'un signe il prouve que c'est bien lui qui a signe. Donc c'est LUI qui a utilise sa cle privee.

      Tu n'as donc aucun probleme de ce cote la

      2/ Pour ce qui est de 2 la plupart des "bons" clients mail te permettent choisir la commande a effectuer pour chiffrer le message. Tu peux donc au lieu d'invoquer gpg directement faire un script wrapper qui va en fait se connecter a ta machine en envoyant le message en clair, le serveur sur ta machine renvois le serveur crypte.

      Ca reste a coder ca doit pas prendre plus d'une heure avec les tests etc.

      Note : pourquoi je pas utiliser mutt sur la machine locale ?!!! C'est aussi simple non ? Bien entendu si la machine locale n'est pas a toi ca ne change rien.

      Note2: une signature sans aucun challenge (comme tu sembles vouloir faire avec ta cle USB) c'est de la connerie amha
      • [^] # Re: Utilisation de GnuPG sur une machine distante

        Posté par  (site Web personnel) . Évalué à 1.

        Okay pour la vérification des signatures, mais bon je voudrais quand même disposer de toutes les fonctionnalités de GPG : chiffrage, déchiffrage, signature, vérification de signature.

        Je peux effectivement imaginer faire un wrapper, mais la connexion SSH risque de demander un mot de passe, tout ça, ça va être compliqué, non ?

        Mutt sur ma machine locale au boulot ? Une bécane Windows que je n'administre pas ? Hum, hum ;-)

        Pour l'histoire de la clé USB, le protocole de discussion entre le client mail distant et la machine locale ayant la clé USB est à discuter. A mon avis, il s'agit pas de faire transiter la clé privée, mais plutôt le hash du message, qu'on signe en local et on renvoie le hash signé là bas. Ou alors autre chose, j'en sais rien ;-)
  • # Memento sur une page

    Posté par  (site Web personnel) . Évalué à 1.

    A la demande de mr_moustache j'ai passé le memento sur 1 page, pas top a l'ecran, mais surement correct a l'impression, quelqu'un pour essayer ?
  • # J'ai un doute la!

    Posté par  . Évalué à 1.

    Je ne suis pas spécialiste et je vais peut-être dire une bêtise mais dans l'Etape1, tu décris le principe des clé public et clé privé mais pour moi, c'est l'inverse, ma clé privé sert a crypter mon message et le message ne pourra être décripté que si Albert a ma clé public.
    Parceque dans gpg il n'y a pas que le cryptage, mais aussi l'autentification par signature. Donc c'est bien la clé privé qui marque ma signature et pas la clé public (qui elle est dictribué librement).
    • [^] # Re: J'ai un doute la!

      Posté par  (site Web personnel) . Évalué à 1.

      Euh non, c'est bien la clé publique du destinataire qui chiffre !!
      Sinon il serait possible d'envoyer un message chiffré a quelqu'un n'ayant pas de clé secrète (n'utilisant pas gpg quoi...)

      De plus, je suis ainsi certain que SEUL albert peut dechiffrer mon message, et pas n'importe qui ayant potentiellement ma clé publique.

      C'est pour ca que si tu vas dans les éléments envoyés de Evolution ou ce que tu veux, tu pourras meme pas lire tes mails chiffrés, car il te reclamera la clé secrete du destinataire et son mot de passe !
      • [^] # Re: J'ai un doute la!

        Posté par  (site Web personnel) . Évalué à 1.

        Toujours dans un soucis de précision :
        si ma clé publique servait a dechiffrer, n'importe qui pourrait intercepter le mail, importer dans son trousseau ma clé publique, et n'aurait plus qu'a trouver mon mot de passe, ce serait vraiment naze niveau sécurité.

        Là seul le destinataire prévu initialement (celui dont j'ai utilisé la clé publique pour crypter mon mail) peut déchiffrer le mail a l'aide de sa clé privée. CQFD
      • [^] # Re: J'ai un doute la!

        Posté par  . Évalué à 1.

        ok, je viens de lire la doc indiqué plus haut ( http://francoz.net/doc/gpg/x356.html(...) ) et la fin du howto. Je comprend mieux maintenant.
        Je pense qu'il serait plus simple (pour quelqu'un comme moi qui n'a que quelques notions) de commencer par parler de la signature d'un message (qui a mon avis est la fonction la plus utilisé dans gpg) et de parler ensuite du cryptage.

        Merci pour ces précisions

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.