Chiffrage basique (mots de passe) et GnuGPG
Ces infos sont tirées, entre autre, de Crypter vos données avec GnuPG sous Linux Ubuntu. Voir aussi Chiffrez vos messages avec GnuPG. Ces tutos donnent toutes les infos pour appliquer ; je résume ici ce que j'en comprends et les commandes les plus utiles pour moi.
GnuGPG est un outil de base, autant l'exploiter. Une “clé” c'est le machin sous forme de texte qui identifie quelqu'un comme étant lui-même.
Intérêt d'avoir une clé publique et de signer ses messages
Ça permet de dire “c'est bien moi”. Ce n'est pas simple à contrefaire (y'a des moyens de vérifier si la clé a été volé, est de confiance, etc).
Bien que signer sur des messages anodins ne paraisse pas “vital”, cela amène une bonne habitude et en cas de message suspect (genre le pote qui demande par mail qu'on lui file de l'argent), le fait que ce soit signé ou non est déjà un indice en soit.
Avoir sa propre clé
Avoir sa propre clé, c'est le début. Elle va servir pour diverses choses personnelles :
- Se connecter à son serveur de façon sécurisé (en lui disant “c'est bien moi”)
- Pouvoir chiffrer ses fichiers sensibles
- Gérer ses mots de passe sur diverses applications
Elle sert aussi au niveau social :
- Permettre aux autres de savoir que c'est bien avec “nous” qu'ils communiquent
Pour générer une clé :
gpg --gen-key
Dans l'absolu il faudrait aussi copier sa clé, ainsi qu'un certificat de révocation, à ce moment-là. Dans la pratique, je me suis un peu perdue dans les explications.
Ce serait pas mal de faire une application graphique, spécialement à l'usage des “nuls”, pour guider sur tout le processus… Bon c'est assez clair en console, mais l'ensemble reste compliqué.
Identité multiple
Là, je ne sais pas trop comment ça marche, je crois qu'on génère plusieurs clés, pour chaque identité. Sur le net, il vaut mieux avoir des identités différentes suivant ce qu'on expose de sa vie. Pour le travail, j'utilise mon nom officiel ; sur les jeux vidéos, un pseudo qui, même s'il est moins “officiel”, m'identifie tout autant. Mon nom de plus, Lyz Lach'lan, est aussi une identité “réelle”.
Réseau de confiance
Lorsque qu'on reçoit une clé de quelqu'un, on peut se dire plus ou moins sûr que “c'est bien lui”. Par exemple, si sur IRC, quelqu'un me dit “Je m'appelle Jean Dupont et voilà ma clé”, je peux être sûre que la clé est bien à l'individu mais pas sûre qu'il soit vraiment Jean Dupont, j'ai donc une confiance minime. Si je vois mon frère, et qu'on échange nos clés “en direct”, je suis sûre de l'identité de la personne qui vient de me donner la clé, la confiance est grande.
Chiffrer des fichiers
Tout fichier contenant des données sensibles devrait être crypté.
Si ma clé est Nom mail@mail.org
La commande pour chiffrer est
gpg -r mail@mail.org --encrypt-files *.png
Ou bien
gpg -r "Nom" -r --encrypt-files *.png
Un fichier chiffré, en .gpg, va être généré. Effacer le fichier en clair (maj+suppr) !
Quelqu'un aillant accès à la machine et sachant où chercher devrait pouvoir retrouver le fichier en clair. Mais bon, ça commence à faire beaucoup de “si”, d'efficacité et de malveillance. Ne stocker pas des fichiers sensibles là où vous n'avez pas le contrôle (genre sur Dropbox, Gmail…).
Pour déchiffrer (il faut avoir la bonne clé sur son ordi et connaitre son mot de passe) :
gpg --decrypt-files *.gpg
Trousseau de clé
Pour gérer les clé en mode graphique mais aussi pour débloquer sur l'ordi ce qui est chiffré avec la clé (très pratique avec les messages dans Thunderbird), le plus simple est d'installer un trousseau de clé. Personnellement j'aime bien Seahorse.
Une fois seahorse installé, le lancer ; il devrait déjà voir les clés qu'on a dans le dossier .gnupg
. Clique sur le “+” ou faites Fichier>Nouveau, sélectionnez “Trousseau de mot de passe”, trouvez un bon mot de passe. Par la suite, la plupart des applications de bureau qui demandent d'entrer un mot de passe vous proposeront de le stocker dans le trousseau de clé ; dites oui.
Après cela, le déverrouillage du trousseau de clé déverrouillera tout du même mot de passe.
Il semble qu'il faille libgnome-keyring et gnome-keyring en plus pour que nextcloud fonctionne avec ?