Du coup, pour GnuPG c’est bien ~/.gnupg qu'il faut copier (la méthode brute mais rapide).

Sinon personnellement je préfère utiliser gpg avec « –export-secret-keys ».
Ne pas oublier de prendre les précautions qui s’imposent pour transporter le fichier (si média amovible, penser qu’un effacement du fichier ne détruit pas véritablement les données… voir shred, etc…).

C’est stable. Faut juste penser à supprimer les clés OTR des contacts du fichier ad hoc, au lieu de le faire par Gajim lui-même.

Il y a d’autres programmes qui l’utilisent aussi : http://free.korben.info/index.php/S%C3%A9curiser_ses_conversations

@David
OK je ne savais pas, en fait je ne savais même pas qu’on pouvait retrouver pour qui a été écrit un message chiffré sans cette option. Mais cela ne change rien au fait que seul OTR offre les 4 garanties que sont encryption, authentication, perfect forward secrecy et deniable encryption.

Si on a que la clef de session, on ne peut pas déchiffrer les messages précédents et suivants.

@®om
Oui la clef de session suffit à déchiffrer un message précis.

L’article 230-1 que tu cites n’est pas celui qui importe. Il permet à la justice de faire appels à des personnes/moyens pour déchiffrer un message. Il n’est utile que si le procédé de chiffrement est faible.

En revanche, l’article 434-15-2 est un de ceux qui importe réellement.

Une petite nuance cependant, ce que tu écris dans gajim, c’est chiffré avec la clé de ton interlocuteur, pas signé (je viens de vérifier en écrivant à quelqu’un, avec ma clé non déverrouillée). Dans ce cas, la seule preuve qu’il peut obtenir, c’est que si tu as compris ce qu’il écrivait (ce qu’il a chiffré avec ta clé publique), c’est bien toi…

Dans pidgin c’est OTR qui est utilisé, non? Je n’ai pas testé encore.

Malheureusement, OTR a été abandonnée dans gajim.

Juste pour signaler qu’il n’est pas terrible de chiffrer sa messagerie instantannée avec GPG, mieux vaut le faire avec OTR car il permet en plus de l’authentification et du chiffrement le perfect forward secrecy (si une correspondance est décryptée, les précédentes ne pourront pas l’être pour autant) et la deniable encryption (qui permet de ne pas laisser de preuve de ce que l’on a dit : il faut réserver la non répudiation pour les contrats pas pour la messagerie instantannée, comme dit sur leur site).

Bonne soirée.

Donc si la clé de session suffit pour déchiffrer une donnée, c’est ok. En fait peu importent les moyens, tant qu’ils permettent d’obtenir le message en clair.

Je me permets de mettre un lien sur ce que j’ai fait concernant la sécurisation des échanges :
http://15minutesoffame.be/nico/blog/2009/05/securiser-ses-echanges/

A+

Sur le fait que la justice puisse ordonner systématiquement de fournir une clé privée, je ne suis pas sûr.

Je sais que la justice peut ordonner d’indiquer ce qui est nécessaire pour pouvoir rendre clairs les messages chiffrés.

Or souvent (avec GnuPG), il ne s’agit pas de chiffrement asymétrique mais hybride. Seule une clé symétrique de session est codée avec la clé publique. Donc le système à clé publique/privée n’est au final qu’un moyen de contrôle de droits d’accès.

La clé de session (qui sert au cryptage symétrique) peut être obtenue par ceux qui ont la bonne clé privée. Ils peuvent donc la révéler, et permettre à un non destinataire de déchiffrer le message sans donner leur clé privée.

(Pour la pratique cf le manuel de gpg et les options –show-session-key et –override-session-key)

Pour les aspects de nécessité de sécurité (du pays) mis en avant pour décourager le chiffrement, je n’ai jamais été convaincu.

Des terroristes voulant faire transiter des messages courts et urgents via Internet n’ont qu’à utiliser des phrases clés indécelables postées sur des forums publics connus. C’est facile d’établir de telles conventions, et surtout ça rend difficile pour des enquêteurs et services de renseignement d’établir les réseaux. (Chiffrer les échanges est une chose, mais cela n’empêche pas toujours de savoir qui parle à qui…).

(Note: Mes idées n’ont rien de novatrices et n’apprendront rien aux terroristes, rassurez vous. Des méthodes similaires telles que l’envoi de messages discrets via petites annonces étaient connues avant l’avénément de l’informatique…)

Pour tout ce qui n’est pas estimé comme court et urgent, il n’y a simplement peu d’intérêt à utiliser Internet.

Pour la lutte contre la pédophilie, pour faire court, empêcher le chiffrement sur Internet n’empêchera pas d’utiliser la poste pour transmettre des clés/CDs chiffrées. Pour ce qui est d’empêcher des échanges privés entre des individus qui se connaissent, c’est perdu d’avance.

Si c’est entre individus qui ne se connaissent pas, il y a fort à parier qu’Internet puisse jouer un rôle favorable et crucial, en permettant aux enquêteurs de la police de réussir à s’infiltrer. (La transmission de documents pédophile est un problème très grave, les actes pédophiles non virtuels le sont encore plus.)

Cela ne veut pas dire que ça ne peut pas être lu : si la police a besoin de déchiffrer certaines données chiffrées, dans le cadre d’une procédure judiciaire, elle peut ordonner à l’utilisateur de fournir sa clé privée.

Alors, effectivement, ça serait plus simple pour la police si elle pouvait lire tout ce qui transite sur internet… Tout comme ça serait plus simple si une caméra filmait en permanence l’intérieur du domicile des français, et si tout le monde portait un bracelet électronique pour savoir à n’importe quel instant où toute personne se trouve… Il n’y aurait même plus besoin de passer par un juge, dans un souci d’efficacité (mot très souvent employé en ce moment pour justifier le contournement de l’autorité judiciaire).

Mais il y a un équilibre entre sécurité et liberté… Et pour augmenter un tout petit peu la sécurité (et encore ça reste à prouver), il faudrait sacrifier une grande part de liberté.

Alors certes, le contenu des e-mails a des intérêts économiques (c’est le modèle économique de google, qui lit les mails de tout le monde car l’information ça a de la valeur), mais il faut un moyen pour que la correspondance privée soit privée… surtout à l’heure où le filtrage (la limitation des communications) veut être instauré.