Chiffrage basique (mots de passe) et GnuGPG

Ces infos sont tirées, entre autre, de Crypter vos données avec GnuPG sous Linux Ubuntu. Voir aussi Chiffrez vos messages avec GnuPG. Ces tutos donnent toutes les infos pour appliquer ; je résume ici ce que j'en comprends et les commandes les plus utiles pour moi.

GnuGPG est un outil de base, autant l'exploiter. Une “clé” c'est le machin sous forme de texte qui identifie quelqu'un comme étant lui-même.

Intérêt d'avoir une clé publique et de signer ses messages

Ça permet de dire “c'est bien moi”. Ce n'est pas simple à contrefaire (y'a des moyens de vérifier si la clé a été volé, est de confiance, etc).

Bien que signer sur des messages anodins ne paraisse pas “vital”, cela amène une bonne habitude et en cas de message suspect (genre le pote qui demande par mail qu'on lui file de l'argent), le fait que ce soit signé ou non est déjà un indice en soit.

Avoir sa propre clé

Avoir sa propre clé, c'est le début. Elle va servir pour diverses choses personnelles :

  • Se connecter à son serveur de façon sécurisé (en lui disant “c'est bien moi”)
  • Pouvoir chiffrer ses fichiers sensibles
  • Gérer ses mots de passe sur diverses applications

Elle sert aussi au niveau social :

  • Permettre aux autres de savoir que c'est bien avec “nous” qu'ils communiquent

Pour générer une clé :

gpg --gen-key

Dans l'absolu il faudrait aussi copier sa clé, ainsi qu'un certificat de révocation, à ce moment-là. Dans la pratique, je me suis un peu perdue dans les explications.

Ce serait pas mal de faire une application graphique, spécialement à l'usage des “nuls”, pour guider sur tout le processus… Bon c'est assez clair en console, mais l'ensemble reste compliqué.

Identité multiple

Là, je ne sais pas trop comment ça marche, je crois qu'on génère plusieurs clés, pour chaque identité. Sur le net, il vaut mieux avoir des identités différentes suivant ce qu'on expose de sa vie. Pour le travail, j'utilise mon nom officiel ; sur les jeux vidéos, un pseudo qui, même s'il est moins “officiel”, m'identifie tout autant. Mon nom de plus, Lyz Lach'lan, est aussi une identité “réelle”.

Réseau de confiance

Lorsque qu'on reçoit une clé de quelqu'un, on peut se dire plus ou moins sûr que “c'est bien lui”. Par exemple, si sur IRC, quelqu'un me dit “Je m'appelle Jean Dupont et voilà ma clé”, je peux être sûre que la clé est bien à l'individu mais pas sûre qu'il soit vraiment Jean Dupont, j'ai donc une confiance minime. Si je vois mon frère, et qu'on échange nos clés “en direct”, je suis sûre de l'identité de la personne qui vient de me donner la clé, la confiance est grande.

Chiffrer des fichiers

Tout fichier contenant des données sensibles devrait être crypté.

Si ma clé est Nom mail@mail.org

La commande pour chiffrer est

gpg -r mail@mail.org  --encrypt-files *.png

Ou bien

gpg -r "Nom" -r --encrypt-files *.png

Un fichier chiffré, en .gpg, va être généré. Effacer le fichier en clair (maj+suppr) !

Quelqu'un aillant accès à la machine et sachant où chercher devrait pouvoir retrouver le fichier en clair. Mais bon, ça commence à faire beaucoup de “si”, d'efficacité et de malveillance. Ne stocker pas des fichiers sensibles là où vous n'avez pas le contrôle (genre sur Dropbox, Gmail…).

Pour déchiffrer (il faut avoir la bonne clé sur son ordi et connaitre son mot de passe) :

gpg --decrypt-files *.gpg

Trousseau de clé

Pour gérer les clé en mode graphique mais aussi pour débloquer sur l'ordi ce qui est chiffré avec la clé (très pratique avec les messages dans Thunderbird), le plus simple est d'installer un trousseau de clé. Personnellement j'aime bien Seahorse.

Une fois seahorse installé, le lancer ; il devrait déjà voir les clés qu'on a dans le dossier .gnupg. Clique sur le “+” ou faites Fichier>Nouveau, sélectionnez “Trousseau de mot de passe”, trouvez un bon mot de passe. Par la suite, la plupart des applications de bureau qui demandent d'entrer un mot de passe vous proposeront de le stocker dans le trousseau de clé ; dites oui.

Après cela, le déverrouillage du trousseau de clé déverrouillera tout du même mot de passe.

Il semble qu'il faille libgnome-keyring et gnome-keyring en plus pour que nextcloud fonctionne avec ?

CC Attribution-Noncommercial-Share Alike 4.0 International Driven by DokuWiki
pratique/informatique/cryptage1.txt · Dernière modification : 30/11/2020 10:36 de 127.0.0.1