Étiquette : GnuPG

GnuPG Faut-il signer ou chiffrer ses mails

1 170 mots, temps de lecture 6 minutes.

Suite au billet « GnuPG Renouveler sa clé de chiffrement » j’ai reçu un courriel me posant cette question :

Intéressant, mais je ne comprends rien à tout ça. Est-ce que tu peux nous expliquer à quoi ça sert, ça, et pourquoi tu le fais ? (:-)

Sachant de qui vient ce message, je soupçonne qu’il connaît déjà les réponses. Cela dit, c’est une belle opportunité d’y répondre de manière plus accessible et humaine, en évitant le jargon technique. Quoi que… je serais tout de même obliger d’employer quelques termes techniques. Désolé!

Il est vrai qu’à une époque, je communiquais en chiffré avec certaines personnes, notamment des participants aux Cafés Vie Privée. Aujourd’hui, j’ai perdu contact avec la plupart d’entre eux, et il est désormais assez rare que j’aie des échanges chiffrés. Alors…

À quoi ça sert ?:

Continuer la lecture de « GnuPG Faut-il signer ou chiffrer ses mails »

GnuPG Renouveler sa clé de chiffrement

1 654 mots, temps de lecture 9 minutes.

Il était temps que je renouvelle ma clé de chiffrement, en effet je n’avais pas mis de date d’expiration et par procrastination dont je suis un spécialiste je reculais la date de cette tâche de jour en jour pour ne pas dire d’année en année. Ce week-end je m’y suis collé et c’est l’occasion de créer un billet pour blog.

Trouvant les interfaces graphiques limitées dans les options, j’ai utilisé la ligne commande bien plus riche.

Faut-il communiquer qu’en mode chiffré ou pas… ce sera le sujet d’un autre article !

Avant tout, qu’est-ce que GnuPG ?

Continuer la lecture de « GnuPG Renouveler sa clé de chiffrement »

Chiffrement GnuPG et messagerie Protonmail

Tuto – Chiffrement GnuPG et messagerie Protonmail

Je n’ai pas de messagerie Protonmail par contre j’utilise GnuPG pour signer et chiffrer mes mails et pièces jointes.

J’avais un souci pour récupérer les clés publiques de mes correspondants sous Protonmail. Je mets donc ici les problèmes rencontrés et leurs résolutions.

Si cela peut servir à d’autres, cela me servira de toute façon de pense-bête.

Problème de récupération des clés GnuPG publiques Protonmail.

adressemail@protonmail.com est une adresse fictive pour ne pas mettre ici l’adresse réellement recherché, c’est pour l’exemple hein !

Lorsque j’essaie de récupérer une clé publique GnuPG Protonmail j’ai le message d’erreur suivant :
Quelle que soit la commande :

gpg --search-keys adressemail@protonmail.com

ou :

gpg2 –recv-keys adressemail@protonmail.com

J’ai le message d’erreur suivant :

gpg: WARNING: Tor is not running

gpg: error searching keyserver: Connexion refusée

gpg: échec de recherche au sein du serveur de clefs : Connexion refusée

On voit déjà que j’ai un souci de connexion lié à la configuration de mon GnuPG

Je commence donc par corriger cela :
Dans /home/user/.gnupg/dirmngr.conf j’ai commenté la ligne « use-tor » et toujours dans

###+++--- GPGConf ---+++###

# use-tor

Dans /home/user/.gnupg/gpg.conf j’ai modifié (dans la partie « keyserver ») le serveur par défaut et commenté l’ancien :
Remplacé « keyserver hkp://keys.gnupg.net » par « keyserver hkps://keys.openpgp.org »

#-----------------------------

# keyserver

#-----------------------------

# This is the server that --recv-keys, --send-keys, and --search-keys will

# communicate with to receive keys from, send keys to, and search for keys on

# keyserver hkp://keys.gnupg.net

keyserver hkps://keys.openpgp.org/

Deuxième tentative de récupération de la clé publique.

gpg --search-keys adressemail@protonmail.com

Et toujours rien, il ne trouve pas la clé ?…
Je vais sur les serveurs de clés en ligne rien de plus…

Je me renseigne et on me dit que les clés publiques Protonmail ne sont pas sur les serveurs publics habituels mais voir les renseignements sur :
https://blog.prokop.dev/posts/gpg-retrieve-public-key-proton-mail/ (Merci Syst)

Dernière tentative après avoir les informations sur le lien ci-dessus :

Et tout fonctionne à nouveau correctement :

gpg --keyserver hkps://api.protonmail.ch --search-key adressemail@protonmail.com

gpg: data source: https://api.protonmail.ch:443

(1)    systd@protonmail.com <adressemail@protonmail.com>

      2048 bit RSA key 0x2AB4A510999264D7, créé : 2017-07-25

Keys 1-1 of 1 for "adressemail@protonmail.com".  Entrez le ou les nombres, (S)uivant, ou (Q)uitter > 1

gpg: clef 0x2AB4A510999264D7 : clef publique « adressemail@protonmail.com <adressemail@protonmail.com> » importée

gpg: Quantité totale traitée : 1

gpg:               importées : 1

Ensuite je n’ai plus qu’à signer la clé et lui donner un niveau de confiance.
Terminé !

PS : le numéro de la clé est faux aussi, c’est pour l’exemple.

Le billet Tuto – Chiffrement GnuPG et messagerie Protonmail est apparu en premier sur le blog de Sima78.

Humeur – Sentiment de solitude avec GnuPG

Humeur – Sentiment de solitude avec GnuPG

Je n’envisageais pas écrire un billet sur le sujet. Faire un Tuto sur GnuPG ? Certains en ont fait d’excellents et je ne vois pas ce que je peux y ajouter.

C’est un billet de ChezIceman « Tuto – Le mail sécurisé c’est pas si facile, sauf si… » qui m’a décidé de parler de mon expérience.

J’utilise GnuPG depuis déjà un certain temps.

J’ai plusieurs PC, tous sous linux, j’utilise sur tous GNOME Evolution (bah oui, j’aime bien) comme messagerie sauf sur l’un sur lequel j’utilise Thunderbird, car le pc a moins de ressource et Thunderbird est moins lourd qu’évolution… Me semble-t-il.

Je n’ai aucune expérience sur ordiphone puisque je ne communique pas par mail depuis mon ordiphone, je n’ai donc aucune expérience sur le chiffrement depuis ces appareils. J’ai bien une messagerie configurée dessus, mais elle est dédiée uniquement à recevoir mes log « Logwatch » et « Fail2ban » de mon serveur. Je n’envoie pas de message depuis cette messagerie.

J’ai bien une messagerie sur mon ordiphone professionnel, mais pas chiffrée et uniquement pro… Enfin, j’avais… depuis qu’il est cassé il y a 4 mois ils me l’ont remplacé par un téléphone à clapet, manque de budget, du temporaire paraît-il, entre-temps ils ont payé un ordiphone tout neuf (plus de 400 €) pour qu’une partie de mes équipes vérifient les Pass Sanitaires du public… Mais bon, ça c’est une autre histoire.

Bref, j’utilise GnuPG !

Il y a toujours un début à tout.
Je ne saurais pas dire depuis quand, mais assez tôt, lorsque j’ai découvert GnuPG (début des années 2000), je me suis documenté, créé mes clés, etc.

Wouaa Sima, mais alors tu communiques en chiffré depuis longtemps ! Hola, on se calme.[1]

Au tout début, j’étais donc seul à détenir une paire de clés, personne d’autre dans mon entourage, ce qui ne sert strictement à rien, car il faut au moins être deux pour communiquer en chiffré. Mais le sujet m’intéressait, j’apprenais et signais mes messages même si je savais que personne de l’autre côté pouvais vérifier ma signature… Ça ne servait donc à rien sauf pour ma culture personnelle.

Quand il y a un début, c’est qu’il y a une suite.
Puis j’ai rencontré (On Line) trois blogueurs qui utilisaient GnuPG avec qui j’ai communiqué en chiffré. Enfin, je pouvais tester mes connaissances, mettre en pratique la théorie acquise et j’en étais heureux, je pense que la joie était partagée, il y avait si peu de personnes qui utilisaient GnuPG.

Le hasard de la vie fait que l’on sait perdu de « vue », en fait ils ont arrêté de bloguer et nous n’avons plus communiqué. Puis il y a eu les « Café Vie Privée » (qui ne fonctionnent plus vraiment), j’ai participé à certains, j’en ai organisé dans les Yvelines avec d’autres libristes et dans ce contexte j’ai rencontré d’autres personnes qui communiquaient en chiffré, et des personnes qui s’y intéressaient. Ce qui me fait un peu sourire aujourd’hui, c’est que j’ai connu des personnes avec des discours défendant de façon abrupte la nécessité d’échanger en chiffré, faisant presque culpabiliser ceux qui ne le faisaient pas… Et qui aujourd’hui sont retournés à leurs messageries (FAI) sans chiffrement…
Toujours est-il qu’il a eu une période où j’ai échangé un peu plus en chiffré.

Puis c’est retombé comme un soufflé mal cuit.
Il faut dire qu’utiliser GnuPG, n’est pas si simple, cela demande une certaine rigueur (la rigueur n’est pas ma qualité première), tenir à jour ses clés, les synchroniser, être vigoureux pour le réseau de confiance, etc. Il faut reconnaître que c’est un peu une usine à gaz et je me suis retrouvé un peu seul, je n’ai que de rares personnes dans mon entourage utilisant le chiffrement pour communiquer. Sentiment de solitude !

Démocratisation et retour timide du chiffrement.
Alors bien sûr il y a la médiatisation, mais je pense que la sensibilisation est plutôt liée à l’actualité et aux nouvelles formes de communiquer de façon plus sécurisée : SMS via Silence, réseau Signal, Element, Telegram et autres. Et ce sont, AMHA, ceux qui communiquent via ces applications qui s’intéressent à la messagerie chiffrée, ce qui en fait une continuité et il y a des propositions « grand public » comme Prontomail et autres sauf que la grande majorité de ceux qui l’utilisent n’ont pas une réelle connaissance de ce qu’est une clé privée et clé publique et utilisent donc Prontomail de la façon la plus basique.

Dernièrement j’ai un collègue qui me dit : moi aussi Sima je communique en crypté (hou, ça fait mal aux oreilles), j’utilise Prontomail. Bah non, tu ne communiques pas en chiffré, en tout cas pas avec moi. Il ne faut pas oublier que Protonmail, comme d’autres, est une messagerie qui PERMET de communiquer de façon chiffrée, en cela j’ai vraiment apprécié le tutoriel d’Iceman « Tuto – Le mail sécurisé c’est pas si facile, sauf si… » que je conseille aux utilisateurs de Protonmail.

On va peut-être finir par savoir communiquer par mails chiffrés.

Deux excellents tutoriels GnuPG

Gnu Privacy Guard (GnuPG) Mini Howto (Français)

et l’excellent « Bien démarrer avec GnuPG »

Précision de dernière minute: alors que le billet était déjà écrit et programmé pour sa publication j’ai souhaité tester l’application OpenPGP-Applet sous ubuntu20.04 pour gérer mes clés depuis une interface graphique. Une application qui par le passé ne m’a jamais convaincu par son fonctionnement hasardeux. Je l’installe, la lance et rien ne se passe, rien ne s’affiche… Pourtant avec un « ps aux » je vois que le processus est lancé, mais rien! Bon, je retourne à mes lignes de commande, mais le chiffrement conviviale pour l’utilisateur lambda n’est pas pour demain.

PS : avertissement pour ceux qui utilisent GnuPG sous Evolution, les pièces jointes ne sont pas chiffrées, il faut préalablement les chiffrer avant envoi.

Note(s)

  1. ^ Oui, ceux qui me lisent, les rares, savent qu’il m’arrive souvent de faire les questions réponses, en plus d’être dyslexique, je dois avoir une pointe de schizophrénie non diagnostiquée, je me sens moins seul devant l’écran 🙂

GnuPG – Signature électronique – chiffrer ses mails et pièces jointes

Chiffrer et déchiffrer des mails avec GnuPG
Le but de ce billet n’est pas d’être un tutoriel GnuPG (pour cela, je donnerai, plus bas, plusieurs liens) mais plutôt d’essayer d’expliquer le principe de la signature électronique et de chiffrage avec GnuPG.

Bref ! Une initiation pour débutant en m’appuyant sur une présentation que j’avais fait, vous trouverez plus bas la présentation à télécharger.

À savoir!
Lorsque vous envoyez un courriel (mail), c’est comme si vous envoyez une carte postale. Il peut être lu par tout le monde et rien ne certifie l’expéditeur (pas même l’adresse mail de l’expéditeur sur l’en-tête du message, hé oui… Mais ce sera peut-être le sujet d’un autre billet). Imaginez s’il s’agit d’un courriel confidentiel… Il ne vous viendrait pas à l’idée d’envoyer une chaude déclaration d’amour par carte postale…

En utilisant régulièrement GnuPG (GPG) ou PGP, vous pourrez signer vos messages, vérifier les signatures des courriers que vous recevrez, envoyer des messages chiffrés… D’accord, mais comment ça fonctionne?

Les principes du chiffrage de mails, ce qu’est une signature électronique, chiffrer ses mails, pièces jointes… Chiffrer des fichiers pour soi… Alors lisez la suite…

Les bases du fonctionnement des échanges de mails chiffrés avec GnuPG.

Billets de présentation sur le site de Root66.net « Chiffrer n’est pas jouer !!! »
Fichier téléchargeable au format pdf : Initiation à GnuPG en pdf

Tout ce fait par messagerie, sauf le chiffrage et déchiffrage de fichier, alors, juste deux commandes de base

Pour chiffrer un fichier

$ gpg --output mon-fichier.odt.gpg --encrypt --recipient monmail@fai.fr mon-fichier.odt

–output est la sortie du fichier chiffré qui se nommera mon-fichier.odt.gpg dans cet exemple
–encrypt pour le chiffrage
–recipient monmail@fai.fr pour le choix de la clé publique pour chiffrer un fichier, si c’est pour soi, c’est notre clé publique:-), nom du fichier chiffré dans cet exemeple mon-fichier.odt

Pour déchiffrer un fichier

$ gpg --output mon-fichier.odt –decrypt mon-fichier.odt.gpg

Le mot de passe de votre clé privée sera demandé !
–output est la sortie du fichier déchiffré qui se nommera mon-fichier.odt dans cet exemple
–decrypt pour déchiffrer le fichier mon-fichier.odt.gpg

Les liens pour aller plus loin :
Mini Howto en Français, mini mais il fait déjà le maximum.
GnuPG, Download, documentation etc. sur le site officiel
Ma première clé PGP, expérience de GuiGui’s show sous forme d’un tutoriel assez complet et allant à l’essentiel.
Ce qu’est Gnupg sur Wikipédia.

Révoquer une clé GnuPG

Révoquer une clé GnuPG

Je me suis rendu compte aujourd’hui qu’une de mes clés dont j’étais persuadé avoir révoqué… Elle ne l’était pas.

Je vérifie en éditant la clé que j’avais toujours avec « gpg –edit-key » et je constate qu’elle avait bien expirée mais n’était pas révoquée.

Je décide donc dans la foulée de la révoquer et d’envoyer la révocation au serveur de clés

Attention, cette méthode fonctionne que si vous avez toujours votre clé et votre mot passe…

$ gpg --edit-key moi@fai.fr
Vous avez un message similaire, avec à la fin un invité de commande (commande>)
gpg (GnuPG) 1.4.10; Copyright (C) 2008 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

La clé secrète est disponible.

pub  2048R/BEA7AAC9  créé: 2011-03-03  expiré: 2013-03-01  utilisation: SC
                     confiance: ultime        validité: expirée
sub  2048R/380CF796  créé: 2011-03-03  expiré: 2013-03-01  utilisation: E
[ expirée ] (1). trucmuche1 (trucmuche1) <moi@fai.fr>
[ expirée ] (2)  trucmuche2 <moi2@fai.fr>
[ expirée ] (3)  trucmuche3 (trucmuche3) <moi3@fai.fr>

Commande>

Entrez un serveur de clés, dans mon exemple pgp.mit.edu

Commande> keyserver
Entrez l'URL de votre serveur de clés favori: http://pgp.mit.edu/
Vous avez besoin d'une phrase de passe pour déverrouiller la
clé secrète pour l'utilisateur: « trucmuche1 (trucmuche1) <moi@fai.fr> »
clé de 2048 bits RSA, ID BEA7AAC9, créée le 2011-03-03

pub  2048R/BEA7AAC9  créé: 2011-03-03  expiré: 2013-03-01  utilisation: SC
                     confiance: ultime        validité: expirée
sub  2048R/380CF796  créé: 2011-03-03  expiré: 2013-03-01  utilisation: E
[ expirée ] (1). trucmuche1 (trucmuche1) <moi@fai.fr>
[ expirée ] (2)  trucmuche2 <moi2@fai.fr>
[ expirée ] (3)  trucmuche3 (trucmuche3) <moi3@fai.fr>

Commande>

On révoque avec la commande « revkey » et l’adresse mail que vous souhaitez révoquer, on répond aux questions…

Commande> revkey moi@fai.fr
Voulez-vous vraiment révoquer la clé entière ? (o/N) o
choisissez la cause de la révocation: 
  0 = Aucune raison spécifiée
  1 = La clé a été compromise
  2 = La clé a été remplacée
  3 = La clé n'est plus utilisée
  Q = Annuler
Votre décision ? 3
Entrez une description optionnelle ; terminez-là par une ligne vide:
>

Cause de révocation: La clé n'est plus utilisée
(Aucune description donnée)
Est-ce d'accord ? (o/N) o

Vous avez besoin d'une phrase de passe pour déverrouiller la
clé secrète pour l'utilisateur: « trucmuche1 (trucmuche1) <moi@fai.fr> »
clé de 2048 bits RSA, ID BEA7AAC9, créée le 2011-03-03

Cette clé a été révoquée le 2013-12-09 par la clé RSA BEA7AAC9 trucmuche1 (trucmuche1) <moi@fai.fr>
pub  2048R/BEA7AAC9  créé: 2011-03-03  revoqué: 2013-12-09  utilisation: SC  
                     confiance: ultime        validité: revoquée
Cette clé a été révoquée le 2013-12-09 par la clé RSA BEA7AAC9 trucmuche1 (trucmuche1) <moi@fai.fr>
sub  2048R/380CF796  créé: 2011-03-03  revoqué: 2013-12-09  utilisation: E   
[ revoquée] (1). trucmuche1 (trucmuche1) <moi@fai.fr>
[ revoquée] (2)  trucmuche2 <moi2@fai.fr>
[ revoquée] (3)  trucmuche3 (trucmuche3) <moi3@fai.fr>

Commande>

On sauvegarde et on envoie la clé de révocation.

Commande> save

$ gpg --send-keys BEA7AAC9
gpg: envoi de la clé BEA7AAC9 au serveur hkp keys.gnupg.net

Modification du 07/02/2017

La dernière commande « gpg –send-keys BEA7AAC9 » ne fonctionnait plus à cette date. J’ai donc fait :

$ gpg --export -a BEA7AAC9

Voilà, c’est fait!

Pour aller plus loin: Tutoriel de Julien Francoz