~rom1v/blog { un blog libre }

GnuPG : chiffrer et signer sous Ubuntu pour les nuls

Ce billet présente l’utilisation de GnuPG sous Ubuntu pour chiffrer ses fichiers, ses mails ou sa messagerie instantanée. Tout ceci sans jamais passer par la ligne de commande.

Principe

Je ne vais pas expliquer comment fonctionne le chiffrement, c’est déjà bien expliqué sur wikipedia. Il est important de comprendre le principe.

Pour résumer, si A possède une clé publique Apub et une clé privée Apriv, si B possède une clé publique Bpub et une clé privée Bpriv. et si A envoie un message à B :

  • A peut chiffrer son message pour B en utilisant Bpub ;
  • A peut signer son message en utilisant Apriv ;
  • B peut déchiffrer le message reçu de A en utilisant Bpriv ;
  • B peut vérifier la signature du message reçu de A en utilisant Apub.

Créer sa paire de clés

menu_chiffrement

Pour créer sa paire de clés (une clé publique et une clé privée) :

  • ouvrir Applications → Accessoires → Mots de passe et clés de chiffrement ;
  • dans la fenêtre qui s’ouvre, cliquer sur Fichier → Nouveau… (Ctrl+N) ;
  • choisir « Clé PGP (utilisée pour chiffrer les courriels et les fichiers) » et cliquer sur Continuer.

Quelques informations sont demandées :

gpg_new_key

Personnellement, je préfère décocher « N’expire jamais », et faire expirer la clé au bout de deux ans, au cas où la clé serait perdue…

Il ne reste plus qu’à cliquer sur Créer, une phrase de passe (un long mot de passe) est demandée, et les clés sont générées. Une nouvelle ligne apparaît alors dans « Mes clés personnelles » :

seahorse

Si vous avez plusieurs e-mails et/ou adresses Jabber, vous pouvez les rajouter en cliquant droit sur votre clé, Propriétés, Noms et signatures.

Une fois créée, je vous conseille de garder une copie du répertoire ~/.gnupg, qui contient votre clé privée, sur un support externe (une clé USB).

Déverrouiller la clé privée durablement

Il est possible de laisser la clé déverrouillée pendant un certain temps après avoir tapé la phrase de passe. Cela évite de la retaper à chaque fois.

Pour changer ce comportement, il faut aller dans Système → Préférences → Chiffrement et trousseaux, dans l’onglet « Phrases de passe PGP » :

gpg_unlock

Exporter sa clé publique

Maintenant que nous avons créé notre paire de clés, il faut que notre clé publique soit accessible à ceux avec qui nous souhaitons communiquer.

Il suffit pour cela de sélectionner la clé et de cliquer sur le bouton Exporter… : la clé publique sera alors exportée dans un fichier portant l’extension .asc. Il ne reste plus qu’à donner ce fichier à notre contact, qui n’aura qu’à double-cliquer dessus (à partir du navigateur de fichiers) ou l’importer dans Fichier → Importer… (Ctrl+I).

Il est également possible de l’exporter dans le presse-papier, pour pouvoir la coller n’importe où avec Ctrl+V, sans passer par un fichier : il suffit pour cela de cliquer-droit sur la clé, puis de cliquer sur Copier.

Pour une diffusion plus globale, il existe des serveurs de clés : ils répertorient les clés publiques de tout le monde. Par exemple, il est possible de publier sa clé sur pgp.mit.edu, en y copiant le contenu du fichier .asc exporté.

Attention : une clé publiée ne sera jamais supprimée du serveur, elle pourra simplement être révoquée, en créant un certificat de révocation, indiquant à tous que votre clé est invalide. Ne publiez donc que votre clé “définitive”.

Il est également possible de configurer le gestionnaire de clés pour qu’il les publie et synchronise directement, en activant dans Édition → Préférences → Serveurs de clés → Publier les clés sur….

Grâce à ces serveurs de clés, il est facile de trouver la clé publique d’une personne directement dans le gestionnaire de clés. Il faut cliquer sur le bouton « Chercher des clés distantes… » et taper le nom de la personne, son mail ou l’identifiant de sa clé (la suite de 8 caractères hexadécimale qui apparaît dans la liste des clés) :

gpg_search

Et le résultat :

gpg_results

(la première est barrée car c’était mon ancienne clé, que j’ai révoquée lorsque mon ordinateur a été volé)

Il ne reste plus qu’à cliquer sur Importer.

Signer les clés obtenues de confiance

Une fois la clé d’un contact récupérée, il est possible de la signer pour indiquer qu’on a confiance en cette clé. Certains logiciels n’acceptent d’ailleurs que les clés de confiance. Pour cela, dans l’onglet « Autres clés obtenues » du gestionnaire de clés, il faut cliquer-droit sur une clé, puis « Signer la clé… » :

gpg_sign_key

Avant de signer une clé, il est très important de comparer l’empreinte affichée dans les détails de la clé que vous avez récupérée avec celle de votre contact. Cela permet de détecter la récupération d’une fausse clé.

Voilà, maintenant tout est en place, nous pouvons commencer à chiffrer et à signer.

Chiffrer et signer des fichiers

C’est très simple : il suffit de cliquer-droit sur un fichier, et de choisir Chiffrer ou Signer :

gpg_contextual_menu

Ces fonctions nécessitent le paquet seahorse-plugins, qui n’est plus installé par défaut dans Ubuntu 9.10).

Chiffrer

L’outil de chiffrement demande les destinataires qui pourront déchiffrer le fichier (avec leur clé privée). Tous ceux n’étant pas dans la liste des destinataire n’auront aucun moyen de déchiffrer le fichier. En particulier, il peut être utile de s’ajouter en destinataire.

Il est également possible de signer le fichier en même temps (pour que celui qui le déchiffre soit sûr de l’identité de celui qui l’a chiffré).

gpg_encrypt

Il ne reste plus qu’à cliquer sur Valider. Lorsque l’on choisit de signer le fichier en même temps, la phrase de passe de la clé privée est demandée. Ensuite, le fichier est chiffré dans un nouveau fichier portant l’extension .pgp (alors qu’en ligne de commande, cela crée un fichier .gpg, mais peu importe).

Pour le déchiffrer, il suffit de double-cliquer dessus.

Signer uniquement

L’outil de signature demande avec quelle clé nous souhaitons signer (utile si plusieurs utilisateurs utilisent chacun une clé), demande ensuite la phrase de passe (pour déverrouiller la clé), et crée la signature dans un fichier portant l’extension .sig.

Pour vérifier la signature, il suffit de double-cliquer sur ce .sig, une notification indiquera si la signature est valide :

gpg_verif_sign

Si le fichier est assez volumineux, cela peut prendre un moment (20 ou 30 secondes), et parfois aucune fenêtre ne s’ouvre indiquant que la vérification est en cours, ce qui est assez perturbant ; mais le processeur, lui, tourne bien à plein régime pour vérifier la signature.

Chiffrer et signer des e-mails (avec Evolution)

Dans Evolution (le gestionnaire de mails par défaut sous Ubuntu), il faut associer la clé que nous avons créée avec le compte mail. Pour cela, ouvrir le menu Édition → Préférences → Comptes de messagerie, sélectionner le compte de messagerie auquel associer la clé, et cliquer sur Édition. Dans l’onglet « Sécurité », recopier l’identifiant de la clé en question, et valider.

Ensuite, lors de la rédaction d’un message, il est possible d’activer la signature et le chiffrement :

gpg_evolution_mail

Pour que le chiffrement fonctionne, il faut évidemment avoir dans le trousseau de clés les clés publiques de tous les destinataires du mail.

Lorsque nous recevons un message chiffré et/ou signé, Evolution vérifie la signature et déchiffre le mail. Pour l’illustrer, je me suis envoyé à moi-même un message chiffré et signé, lorsque je l’ouvre, Evolution me demande la phrase de passe (pour déchiffrer le message), et ensuite me l’affiche de cette manière :

gpg_evolution_received

Chiffrer ses communications Jabber (avec Gajim)

Il est préférable d’utiliser OTR pour la messagerie instantanée, GPG n’est pas approprié.

Dans gajim (le client Jabber de référence), il faut associer la clé avec le compte Jabber. Pour cela, ouvrir le menu Édition → Comptes, sélectionner le compte, et dans l’onglet « Informations personnelles », choisir la clé à associer. Au passage, activer la case « Utiliser un Agent GPG ».

Une fois la clé associée au compte, gajim va toujours se connecter en signant la présence. Et qui dit signature dit déverrouillage de la clé privée, et donc demande de la phrase de passe à chaque démarrage de gajim. Il est possible de désactiver la signature de la présence : Édition → Préférences, onglet « Avancées » → « Éditeur de configuration avancé » → Ouvrir… et faire passer gpg_sign_presence à Désactivé.

Ensuite, il faut avoir les clés publiques des contacts avec qui nous souhaitons communiquer de manière chiffrée. Ces clés doivent être de confiance. Pour assigner une clé à un contact Jabber, il faut cliquer-droit sur ce contact, Gérer le Contact → Assigner une clé OpenPGP… :

gpg_gajim_assign

Ensuite, lors de la conversation, il est possible d’activer le chiffrement :

gpg_gajim_enable

Inutile de vous dire que pour la messagerie instantanée, il vaut mieux avoir configuré le trousseau pour que la clé soit déverrouillée durablement, afin de ne pas retaper la phrase de passe à chaque message.

Seahorse-applet : l’applet Gnome

Un applet Gnome permet de chiffrer, déchiffrer et signer le presse-papier. Sachant que le presse-papier contient ce qui est surligné avec la souris (ou ce qui est copié avec Ctrl+C), c’est parfois bien pratique. Pour l’ajouter, il faut cliquer droit sur un panel de Gnome (la barre du haut par exemple), puis « Ajouter au tableau de bord… », et l’ajouter :

gpg_gnome_applet

gpg_import_key

Petit plus, lorsque le presse-papier contient une clé, l’applet permet de l’importer directement dans le trousseau de clés. Une fois que vous avez ajouté l’applet, essayez de sélectionner tout le texte de ma clé publique.

Ensuite, cliquez sur le bouton de l’applet : vous pourrez importer ma clé directement.

Merci à cyril pour cette astuce :-)

Aller plus loin

Pour plus d’infos sur l’outil gpg, rendez-vous sur le site officiel (en anglais) ou sur la doc ubuntu-fr.

Vous pouvez également consulter man gpg pour l’utiliser en ligne de commande.

Commentaires

Très bonne introduction à GnuPG :-)

Pour ceux qui utilisent Thunderbird pour lire leurs mails, il existe l’extension Enigmail pour intégrer GnuPG. Ici, un petit tutoriel pour Thunderbird/Enigmail : http://www.jpfox.fr/?post/2008/10/09/235-envoyer-des-messages-signes-et-chiffres-avec-thunderbird-enigmail-et-gnupg-sous-ubuntu

RaMuS

merci pour ce petit tuto, sous ubuntu je chiffrais quelques documents personnels. Par contre je suis passé sous xubuntu et je n’ai pas chiffrer dans le clique droit… Comment faire ? (en interface graphique si possible)

Excellent article. Merci

korbé

Excellent tuto.

Ça mériterai d’être dans la Doc d’Ubuntu-fr.

Exceptionnel ! depuis le temps que je me disais que j’allais m’y intéresser, les explications m’ont toujours parues inutilement techniques, et passant à côté de l’essentiel !

Merci beaucoup !

Yan

Merci super fort j’ai tout pijé

En ces temps d’hadopi et de Loppsi ce genre de pratique est à généraliser le plus possible. En plus sous Gnu/Linux quasiment tout les bons clients mail intègrent facilement ces fonctionnalités.

Loyl

Un petit détail a été oublié dans l’article à propos de l’expiration des clés. Que faire une fois sa clé expiré, faut-il en recréer une autre ? La republié ? Que deviennent tous les fichiers chiffrer avec l’ancienne clé ?

Salut,

Super tuto, tu m’as piqué mon idée :D Je me permets tout de même de mettre un lien vers ce que j’ai fait.

une intro sur la cryptographie et l’anonymat :

http://15minutesoffame.be/nico/blog/2009/05/securite-et-anonymat-quelques-elements-de-cryptographie/

De quoi protéger ses données perso, notamment avec TrueCrypt :

http://15minutesoffame.be/nico/blog/2009/05/securite-et-anonymat-proteger-ses-donnees-personnelles/

Tutur

Merci, très clair ce tuto, j’avais déjà quasi tout fait “à la main” mais c’est vrai que c’est aussi simple avec les interfaces, en tout cas plus intuitif.

®om

@Loyl

Une fois sa clé expirée, il faut en recréer une autre et la publier. Mais l’ancienne reste toujours utilisable pour déchiffrer et vérifier des signatures (mais plus pour chiffrer ou signer).

sandrew

Excellent article !!! Mais reste une question. Apres avoir chiffre un document via nautilus, est il possible de le detruire automatiquement ? Jusque la, l’original reste et il faut manuellement le mettre a la poubelle, puis vider la poubelle.

®om

@sandrew

A priori, il reste. Je ne sais pas si c’est possible de le faire automatiquement lors du clic sur Chiffrer (mais c’est plus sûr comme ça, imagine tu chiffres et tu oublies de t’inclure dans les destinataires…). Après pour éviter d’avoir à vider la corbeille, ne le mets pas à la corbeille mais supprime-le directement (Maj+Suppr).

Bravo pour ce tuto, j’en avais écrit un aussi mais le tien est vraiment très très complet et très simple à lire.

Je me permets de le citer, je pense que tu n’as rien contre, mais si cela pose un quelconque problème, fais le moi savoir.

Laurent.

id clef publique : 9178CEF8

VV666

Très bon tuto, cependant n’oubliez pas que la meilleur façon d’attirer le regard sur soit, c’est de crypter ses échanges… Vous croyez pas plus sécurisé avec un cryptage, actuellement, ce sont les premier échange analysé. ;)

Pour le moment, le seul moyen de communication encore sur est le courrier postal !

®om

@superpapalolo

Aucun problème :-)

@VV666

Ce n’est pas grave d’attirer le regard sur soi, on n’a rien à cacher… Mais ce n’est pas parce qu’on a rien à cacher qu’on doit tout rendre public.

Le chiffrement des messages, c’est simplement l’équivalent pour le courrier postal de mettre une enveloppe autour d’une carte postale, pour éviter que tout le monde le lise (ce qui est fait de manière massive pour les mails par exemple).

Eikasia

Salut

Très bon tuto, clair et efficace. Tu devrais le mettre dans le wiki d’ubuntu-fr. Il le mérite amplement.

VV666

Je comrpends très bien ta position, je sais qu’on à rien à caché (enfin, moi pas… quoi que mon activisme sur les caténaires… oops, je me tais ! ^^), mais en cryptant massivement nos échanges on permet à des gens malintentionnée de ce fondre dans la foule d’échange crypté…

C’est le gros problème des réseaux “parallèle” comme TOR ou FreeNet.

@VV666

en cryptant massivement nos échanges on permet à des gens malintentionnée de ce fondre dans la foule d’échange crypté…

Envisagerais-tu de déconseiller aux gens d’utiliser la Poste sous prétexte de des gens malintentionnés utilisent leurs services ?

Le problème, si on va dans ce sens, c’est qu’on peut justifier tous les filtrages et interdictions sous prétexte que des gens “malintentionnés” utilisent tel ou tel outil. De plus, il faut relativiser : on n’a pas attendu l’arrivée massive de la cryptographie dans les mails pour commettre des actes odieux.

Finalement, le plus gros problème dans tout ça, c’est le manque d’anonymat qu’offre le web. Dans la vraie vie, il est assez difficile de suivre quelqu’un à la trace, ce qui est très facile sur le web. Dans la vraie vie, ta voiture ne dévoilera jamais tous les endroits que tu as visité. Ton historique de navigation ou ton FAI, si.

VV666

Non, je ne déconseillerai pas d’utiliser La Poste, tout comme je ne déconseille pas de crypter ces mails.

Et j’encourage encore moins le filtrage massif ! Avec les centaines de mails anti-hadopi que j’ai envoyé, ce serait un comble.

Mais croire que le cryptage une solution ma parait un peu simpliste.

@Wacken

Non, on a pas attendu la cryptographie pour faire des truc dégueulasse, mais serais-tu capable de permettre à un gros salopard de ce fondre la foule uniquement pour que tu protège ton courrier personnel ? Moi non…. Internet, mail, tchat, etc N’EST PAS ANONYME, c’est public. c’est comme discuter à la terrasse d’un café, donc en partant de ce principe, je me contrefiche que mes échange ne soit pas crypter, car y a rien à trouver de dans.

Dans la “vrai vie”, c’est difficile d’espionner quelqu’un, mais Internet N’EST PAS LA VRAI VIE… donc, on peux pas faire d’analogie. Comportons nous différemment.

Personnellement, en dehors du ssh, des mot de passe crypter et des transaction bancaire sécurisé, je n’utilise pas de cryptage, pas de GPG, pas de TOR, ni de FreeNet…. Le gain est trop faible par rapport au inconvénient.

Il n’y a pas si longtemps je pensais comme vous, puis plusieurs discutions avec ds amis (flic, militaires, syndicaliste, informaticien, etc) m’ont fait changer d’avis.

VV666

arf, dsl pour l’orthographe et les mots oubliés… j’ai tapé trop vite. :/

@VV666

Internet, mail, tchat, etc N’EST PAS ANONYME, c’est public. c’est comme discuter à la terrasse d’un café, donc en partant de ce principe, je me contrefiche que mes échange ne soit pas crypter, car y a rien à trouver de dans.

Moi j’estime qu’on a droit à l’anonymat sur le net. De plus, le Net n’est pas totalement déconnecté de la “vraie vie”, pour preuve les e-mails qui remplacent la correspondance postale.

Je ne parle pas de crypter systématiquement tous ses échanges, ce qui est ridicule, mais bien de crypter ce qui est personnel. Par exemple, j’ai pas spécialement envie que mon FAI soit au courant de mes hypothétiques problèmes de santé car j’ai écrit un mail à une connaissance.

®om

@VV666

Je ne suis pas d’accord, la correspondance privée est privée, et non publique.

Cela ne veut pas dire que ça ne peut pas être lu : si la police a besoin de déchiffrer certaines données chiffrées, dans le cadre d’une procédure judiciaire, elle peut ordonner à l’utilisateur de fournir sa clé privée.

Alors, effectivement, ça serait plus simple pour la police si elle pouvait lire tout ce qui transite sur internet… Tout comme ça serait plus simple si une caméra filmait en permanence l’intérieur du domicile des français, et si tout le monde portait un bracelet électronique pour savoir à n’importe quel instant où toute personne se trouve… Il n’y aurait même plus besoin de passer par un juge, dans un souci d’efficacité (mot très souvent employé en ce moment pour justifier le contournement de l’autorité judiciaire).

Mais il y a un équilibre entre sécurité et liberté… Et pour augmenter un tout petit peu la sécurité (et encore ça reste à prouver), il faudrait sacrifier une grande part de liberté.

Alors certes, le contenu des e-mails a des intérêts économiques (c’est le modèle économique de google, qui lit les mails de tout le monde car l’information ça a de la valeur), mais il faut un moyen pour que la correspondance privée soit privée… surtout à l’heure où le filtrage (la limitation des communications) veut être instauré.

@Rom:

Sur le fait que la justice puisse ordonner systématiquement de fournir une clé privée, je ne suis pas sûr.

Je sais que la justice peut ordonner d’indiquer ce qui est nécessaire pour pouvoir rendre clairs les messages chiffrés.

Or souvent (avec GnuPG), il ne s’agit pas de chiffrement asymétrique mais hybride. Seule une clé symétrique de session est codée avec la clé publique. Donc le système à clé publique/privée n’est au final qu’un moyen de contrôle de droits d’accès.

La clé de session (qui sert au cryptage symétrique) peut être obtenue par ceux qui ont la bonne clé privée. Ils peuvent donc la révéler, et permettre à un non destinataire de déchiffrer le message sans donner leur clé privée.

(Pour la pratique cf le manuel de gpg et les options –show-session-key et –override-session-key)

Pour les aspects de nécessité de sécurité (du pays) mis en avant pour décourager le chiffrement, je n’ai jamais été convaincu.

Des terroristes voulant faire transiter des messages courts et urgents via Internet n’ont qu’à utiliser des phrases clés indécelables postées sur des forums publics connus. C’est facile d’établir de telles conventions, et surtout ça rend difficile pour des enquêteurs et services de renseignement d’établir les réseaux. (Chiffrer les échanges est une chose, mais cela n’empêche pas toujours de savoir qui parle à qui…).

(Note: Mes idées n’ont rien de novatrices et n’apprendront rien aux terroristes, rassurez vous. Des méthodes similaires telles que l’envoi de messages discrets via petites annonces étaient connues avant l’avénément de l’informatique…)

Pour tout ce qui n’est pas estimé comme court et urgent, il n’y a simplement peu d’intérêt à utiliser Internet.

Pour la lutte contre la pédophilie, pour faire court, empêcher le chiffrement sur Internet n’empêchera pas d’utiliser la poste pour transmettre des clés/CDs chiffrées. Pour ce qui est d’empêcher des échanges privés entre des individus qui se connaissent, c’est perdu d’avance.

Si c’est entre individus qui ne se connaissent pas, il y a fort à parier qu’Internet puisse jouer un rôle favorable et crucial, en permettant aux enquêteurs de la police de réussir à s’infiltrer. (La transmission de documents pédophile est un problème très grave, les actes pédophiles non virtuels le sont encore plus.)

Salut,

Je me permets de mettre un lien sur ce que j’ai fait concernant la sécurisation des échanges :

http://15minutesoffame.be/nico/blog/2009/05/securiser-ses-echanges/

A+

®om

@David

L’Article 230-1 du code de procédure pénale dit :

lorsqu’il apparaît que des données saisies ou obtenues au cours de l’enquête ou de l’instruction ont fait l’objet d’opérations de transformation empêchant d’accéder aux informations en clair qu’elles contiennent ou de les comprendre, le procureur de la République, la juridiction d’instruction ou la juridiction de jugement saisie de l’affaire peut désigner toute personne physique ou morale qualifiée, en vue d’effectuer les opérations techniques permettant d’obtenir la version en clair de ces informations ainsi que, dans le cas où un moyen de cryptologie a été utilisé, la convention secrète de déchiffrement, si cela apparaît nécessaire.

Donc si la clé de session suffit pour déchiffrer une donnée, c’est ok. En fait peu importent les moyens, tant qu’ils permettent d’obtenir le message en clair.

Geek87

Salut,

Juste pour signaler qu’il n’est pas terrible de chiffrer sa messagerie instantannée avec GPG, mieux vaut le faire avec OTR car il permet en plus de l’authentification et du chiffrement le perfect forward secrecy (si une correspondance est décryptée, les précédentes ne pourront pas l’être pour autant) et la deniable encryption (qui permet de ne pas laisser de preuve de ce que l’on a dit : il faut réserver la non répudiation pour les contrats pas pour la messagerie instantannée, comme dit sur leur site).

Bonne soirée.

®om

@Geek87

Ah merci, effectivement je n’avais pas pensé à cet inconvénient de GPG pour la messagerie instantanée.

Une petite nuance cependant, ce que tu écris dans gajim, c’est chiffré avec la clé de ton interlocuteur, pas signé (je viens de vérifier en écrivant à quelqu’un, avec ma clé non déverrouillée). Dans ce cas, la seule preuve qu’il peut obtenir, c’est que si tu as compris ce qu’il écrivait (ce qu’il a chiffré avec ta clé publique), c’est bien toi…

Dans pidgin c’est OTR qui est utilisé, non? Je n’ai pas testé encore.

Malheureusement, OTR a été abandonnée dans gajim.

@Geek87

GPG permet d’encrypter un message pour quelqu’un sans qu’on puisse savoir pour qui il a été encrypté (à moins de tester avec la bonne clef privée) : il s’agit de l’option “-R” (au lieu de “-r”).

Si on a que la clef de session, on ne peut pas déchiffrer les messages précédents et suivants.

@®om

Oui la clef de session suffit à déchiffrer un message précis.

L’article 230-1 que tu cites n’est pas celui qui importe. Il permet à la justice de faire appels à des personnes/moyens pour déchiffrer un message. Il n’est utile que si le procédé de chiffrement est faible.

En revanche, l’article 434-15-2 est un de ceux qui importe réellement.

Geek87

@®om

Oui il s’agit bien d’OTR. Effectivement s’il n y a pas de signature des messages il n y a pas non répudiation mais il n y a plus de réelle authentification, il faut se baser sur le principe que tu donnes.

@David

OK je ne savais pas, en fait je ne savais même pas qu’on pouvait retrouver pour qui a été écrit un message chiffré sans cette option. Mais cela ne change rien au fait que seul OTR offre les 4 garanties que sont encryption, authentication, perfect forward secrecy et deniable encryption.

tux03

salut !

C’est super moi qui cherchait un tuto simple pour ce type de chiffrement me voila ravi !

Serait il possible que tu mette un pdf en ligne pour ce tuto ?

Merci et bonne soirée

Merci Romain pour l’astuce du plugin de seahorse (dans ta mise à jour du 4/10). Je me suis retrouvé comme un âne bâté à me demander pourquoi je n’avais plus l’option chiffrer/signer dans le clic droit malgré la présence de seahorse dans Karmic.

Xibine

Il y a une branche OTR pour Gajim.

C’est stable. Faut juste penser à supprimer les clés OTR des contacts du fichier ad hoc, au lieu de le faire par Gajim lui-même.

Il y a d’autres programmes qui l’utilisent aussi : http://free.korben.info/index.php/S%C3%A9curiser_ses_conversations

Philippe

Bonjour,

j’ai suivi le tuto et je me suis crée une clef privée. Cependant, je l’ai crée sur mon portable, et je voudrais avoir la même sur mon PC principal. Lorsque je l’exporte, je n’exporte que la clef publique, qui permet de déchiffrer. Est-ce que je dois forcément avoir deux clef privée différentes sur 2 PC différents, ou bien y a t’il un moyen pour la dupliquer ?

Merci bien.

®om

Tu peux simplement copier le fichier ~/.ssh/id_rsa (qui est ta clé privée) sur ton autre pc.

Mais faut faire attention de ne pas écraser le fichier de l’autre PC aussi… (D’autant plus que là c’est pour ssh et non gnupg…)

Sinon personnellement je préfère utiliser gpg avec “–export-secret-keys”.

Ne pas oublier de prendre les précautions qui s’imposent pour transporter le fichier (si média amovible, penser qu’un effacement du fichier ne détruit pas véritablement les données… voir shred, etc…).

®om

Oulà, effectivement, j’ai lu un peu vite le commentaire, j’étais persuadé que c’était dans mon billet sur SSH.

Du coup, pour GnuPG c’est bien ~/.gnupg

qu’il faut copier (la méthode brute mais rapide).

Kasi

Moi j’ai une petite question sur la hiérarchisation des clés.

Dans l’aide de seahorse j’ai pu lire :

Chaque clé OpenPGP dispose d’une clé principale unique utilisée seulement pour signer. Les sous-clés sont utilisées pour chiffrer et également pour signer. Ainsi, si une sous-clé est compromise, vous n’avez pas besoin de révoquer votre clé principale.

Admettons une clé cléparent qui a les sous clés cléfille1 et cléfilles2.

Si une personne accorde sa confiance à la clé cléfille2 et que je la révoque, est-ce qu’une cléfille3 aura directement la confiance de l’ancienne ? je pense que non mais dans ce cas quel est l’intérêt des sous clés ?

[…] Pour utiliser le chiffrement pour des communications plutôt que pour le stockage des données, vous pouvez consulter GnuPG : chiffrer et signer sous Ubuntu pour les nuls. […]

[…] la cryptographie, ça fonctionne bien et c’est accessible à tous très simplement. Pourquoi donc un tel logiciel ne peut pas […]

cedmuche

Bonjour,

Merci pour ces explications. J’ai suivi ton tuto et quand je lance gajim (sur ubuntu) il me répond :

Votre mot de passe est incorrect

Vous avez configuré Gajim pour qu’il utilise un agent GPG, mais aucun agent GPG n’est lancé ou il a renvoyé un mauvais mot de passe.

Vous êtes actuellement connecté sans clé OpenPGP.

Aurais-tu idée d’où vient ce problème ?

Jacques le Malade

Au fait, j’ai regardé ça :

http://www.securite-informatique.gouv.fr/autoformations/signature_elec/co/mod01_chap01_scha01_cu06.html

On y raconte :

La Clef publique

Pour permettre aux autres de lire vos documents, vous leur remettez une copie de votre clé de déchiffrement. Ils peuvent aussi se la procurer auprès de l’organisme de confiance qui vous l’a délivrée. Nous l’appellerons “clé publique”.

C’est une grosse bêtise, non ? Et c’est sur gouv.fr…

®om

@Jacques le Malade

Effectivement, c’est au moins très mal dit.

Mais c’est dans leur logique de signer = chiffrer :

Dans le monde numérique, votre marque personnelle, c’est une clé de chiffrement. Pour signer un document, vous le chiffrez.

Après peut-être que les vidéos expliquent mieux, mais je n’y ai pas accès (il faut Flash).

[…] : si vous souhaitez transmettre vos messages sans qu’ils puissent être lus par des tiers, le chiffrement avec PGP reste le meilleur moyen de vous masquer (et surtout masquer le contenu). En effet, vos messages, […]

[…] http://blog.rom1v.com/2009/05/gnupg-chiffrer-et-signer-sous-ubuntu-pour-les-nuls/ […]

Les commentaires sont fermés.