Gnupg
Par Minitux le mercredi, juillet 1 2009, 14:53 - Sécurité - Lien permanent
Les échanges d'informations sur le réseau soulèvent des problèmes de confidentialité.
En effet, certains courriers électroniques peuvent facilement être lus par des personnes malveillantes... En outre, comment être sûr de la provenance d'un e-mail ?
Il est, de nos jours, possible d'utiliser des procédés cryptographiques. GnuPG est l'un des outils utilisant un système à clés asymétriques.
1 - Installation de GnuPG
Vérifions que gnupg est installée sur votre pc.
# aptitude install gnupg
Remarquez tout d'abord que vous disposez d'un répertoire .gnupg/ sur votre home.
2 - Création des clefs
Pour créer votre clef, il suffit de taper la commande :
$ gpg --gen-key
Diverses questions vous sont posées, choisissez les propositions par défaut.
Renseignez ensuite votre nom réel, votre adresse e-mail et un commentaire.
Enfin, un mot de passe vous est demandé. Il sera utile lorsque vous souhaiterez signer et/ou chiffrer vos e-mails.
Lister les clés :
$ gpg –list-key
/home/minitux/.gnupg/pubring.gpg
pub XXXXX/XXXXXXXX 2009-01-04 El minitux (Société) <minitux@blog.free.fr >
sub XXXXX/XXXXXXXX 2009-01-04
La série de X représente une série de nombre quelconque.
Le deuxième nombre de la ligne pub, composé de 8 chiffres et caractères, constitue les derniers termes de votre fingerprint (l'empreinte de votre clef) et constitue l'identifiant (ou ID) de votre clef.
Vous pouvez exporter votre clé sur un serveur de clés “subkeys.pgp.net”:
$ gpg –keyserver subkeys.pgp.net –send-keys #KEYID#
3- Ajouter des clefs à son trousseau
Vous pouvez interroger le serveur de clefs (par défaut dans gpg.conf). Toutes les clés publiques au nom de Dupont s'affichent à l'écran. Elles peuvent être en cours d'utilisation ou supprimées (revoked).
$ gpg --search-keys dupont
Maintenant, il vous faut télécharger sa Clef Publique :
$ gpg --recv-key XXXXXXXX
Puis, vous vérifiez le fingerprint :
$ gpg --fingerprint XXXXXXXX
Si ces nombres sont identiques, vous pouvez signer la clef, c'est-à-dire approuver avec certitude que cette clef est bien celle de votre ami :
$ gpg --sign-key XXXXXXXX
répondez que "oui, vous avez vérifié très soigneusement"
Pour supprimer la clef publique de votre trousseau via la commande :
$ gpg --delete-keys XXXXXXXX
Exporter votre clé publique:
$ gpg –armor –export #KEYID#
Importer une clé :
$ gpg –import filename
4 - Création du Certificat de révocation
Si un jour votre clef est compromise, si quelqu'un vous vole votre clef privée, il sera utile de pouvoir supprimer cette clef. Il faut donc créer ce que l'on appelle un "certificat de révocation".
Pour cela, entrez la commande suivante :
$ gpg --gen-revoke XXXXXXXX > revoke_XXXXXXXX
(remplacez XXXXXXXX par la série de 8 chiffres et caractères de la ligne pub).
Cette commande génère un fichier, nommé revoke_XXXXXXXX, contenant la signature pour la révocation de votre clef (si besoin). À nouveau, acceptez les propositions par défaut à chaque question posée et choisissez bien " votre clé a été compromise ". Enfin, vérifiez que le fichier n'est pas vide.
5- Interfaces graphiques disponibles
Seahorse, interface graphique de l'environnement Gnome
Kgpg, interface graphique de l'environnement KDE
Certains clients de mail disposent d'un outil intégré pour gérer les clefs de cryptage. Thunderbird dispose du plugin Enigmail.