Introduction à GnuPG

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
16
oct.
2001
Sécurité
A la suite de l'abandon par sa maison mère de PGP, GPG devient de plus en plus une solution intéressante pour la crytographie dans les organismes et les entreprises. Mais l'utilisation sous linux peut etre assez "cryptique" (huhu).

J'ai donc redigé une introduction a l'utilisation de GnuPG, la mise en route et les operations de bases sont couvertes.

Note du modérateur: N'oubliez pas non plus le document de Loïc, qui est très complet.

Aller plus loin

  • # tres bien

    Posté par  . Évalué à 10.

    tres bonne initiative... d autant plus que GPG est la seule alternative .. recommandé par Phil Zimmerman.

    A lire également : "la cryptographie decryptee" chez campus press

    • [^] # Re: tres bien

      Posté par  (site web personnel) . Évalué à 10.

      A propos de bouquin sur la crypto, il y a "Applied cryptography" de Bruce Schneier http://www.counterpane.com/applied.html(...) qui est quand même l'indispensable introduction... Par contre je sais pas si en France (en province...) c'est facilemement trouvable.

      • [^] # Re: tres bien

        Posté par  . Évalué à 3.

        Oui, ca se trouve plutôt facilement. Il a même été traduit. Par contre, la traduction http://www.counterpane.com/applied-french.html(...) est bourrée de fautes, ca en rend la lecture très énervante. Donc, si vous avez un bon niveau en anglais, l'original est préférable. Il est facile de le commander sur Amazon UK http://www.amazon.co.uk/exec/obidos/ASIN/0471117099/o/qid=/sr=8-1/r(...) (prix et délai raisonnables).

      • [^] # Re: tres bien

        Posté par  . Évalué à 4.

        Il existe en francais sous le titre "Cryptographie appliquee" chez Vuibert. Il est dispo chez Eyrolles et dans toutes les bonnes librairies.

      • [^] # Re: tres bien

        Posté par  (site web personnel) . Évalué à 10.

        Parlons littérature, parlons cryptographie, je reviens à la charge avec l'excellentissime, le fabuleux, le magnifique Cryptonomicon (en 3 volumes) de Neal Stephenson (Aavon Books pour les Anglophiles, Payot SF pour les Francophiles).

        Où l'on apprends tout sur les machines Enigma, le code Purple (WW2), Counterpane, PGP, le pourquoi du comment de la crypto et pas mal d'autres gags (notamment c'est la première fois que je vois un script perl dans un roman, en plus il marche...)

        plus d'info générales (en anglais) : http://www.cryptonomicon.com(...)
        La FAQ de l'auteur (Frequently Anticipated Questions) plus technique et plus sympa pour nous les geeks (toujours dans la langue de RMS):
        http://www.well.com/user/neal/cypherFAQ.html(...)
        D'ailleurs, pour les moules, voici le lien vers la page principale de l'auteur, ce qui vous évitera, le cas échéant de supprimer à la main 14 caractères dans votre barre d'adresse (évidemment c'est dans la langue d'ESR):
        http://www.well.com/user/neal/(...)
        Enfin une dernière url : un site de news sur la cryptographie (interface partiellement francisée) :
        http://www.cryptonomicon.net/index.php?newlang=french(...)

        Neal stephenson est aussi l'auteur de "Snow Crash" (en français "Le Samouraï Virtuel") un roman à pisser de rire à propos de virus sémantiques, de réalité virtuelle, de rock'n roll et de pizza garanties livrées en moins de 30 min... et de "The Diamond Age" ("L'age de Diamant") un roman de prospective sur le monde merveilleux qui nous attends avec l'arrivée des nano-technologies. Ces deux là sont sortis chez "Le Livre de Poche SF" et le premier est une pure merveille.

        • [^] # Re: tres bien

          Posté par  . Évalué à 0.

          Ah ah... Un confrère fan de Neal Stephenson? Puis-je me permettre d'évoquer également l'essai 'In the Beginning was the Command Line' du même auteur, qui parle de Linux et que l'on trouve notamment avec ce lien direct http://bang.dhs.org/be/beginning.html(...) ?

    • [^] # Re: tres bien

      Posté par  (site web personnel, Mastodon) . Évalué à 1.

      La seule alternative recommandé par Zimmerman ? J'aimerais savoir où tu as vu ça (je l'ai vu aussi mais j'aimerais savoir où justement :)

      • [^] # Re: tres bien

        Posté par  . Évalué à 0.

        salut fabien,
        c est dans le mail qu a diffusé zimmerman quand il est pasti de NAI apres la mise en closed source de PGP (enfin il me semble)
        A+

    • [^] # Re: tres bien

      Posté par  (site web personnel) . Évalué à 3.

      A lire aussi : handbook of applied cryptography (en anglais) dont les chapitres sont disponibles a cette adresse

      http://cacr.math.uwaterloo.ca/hac/(...)
      (Attention a la license)

      Ca ressemble beaucoup a Applied Cryptography et c'est assez technique

      PS : ceux qui aiment les maths, regarder le chapitre II

  • # GPG et LDAP

    Posté par  . Évalué à 10.

    Quelqu'un sait si c'est possible de patcher/configurer ou quoi que ce soit d'autre pour pouvoir récupérer des clés gpg dans un annuaire LDAP ?

    J'avais vu quelques posts à ce propos sur les ML de gpg et de openldap, mais rien de bien précis, et ça datait de l'année dernière...

  • # limitations cryptographiques en france

    Posté par  . Évalué à 10.

    Y a pas des limitations sur la taille des clés que l'on peut utiliser en France ?
    Si oui, est-ce que c'est légal d'utiliser gpg ?

    • [^] # Re: limitations cryptographiques en france

      Posté par  . Évalué à 10.

      Il me semble qu'en gros, seul le chiffrement est reglementé (la signature est légale dans tout les cas et même reconnue par loi au même titre qu'un acte notarié).
      Pour ce qui est du chiffrement, il est libre pour usage individuel avec des clés de taille inférieure à 128 bits. Dans le cadre non privé le logiciel doit avoir été déclaré par son fournisseur auprès du SCSSI. Pour plus de renseignements, voir la page du SCSSI : http://www.scssi.gouv.fr(...)

    • [^] # Re: limitations cryptographiques en france

      Posté par  . Évalué à 8.

      Y a pas des limitations sur la taille des clés que l'on peut utiliser en France ?

      Si, si, y en a... les clés de cryptage sont limitées à 128 bits (mais on va certainement régresser à 56 ou 40, comme avant, suite aux événements que tout le monde connait...)

      Si oui, est-ce que c'est légal d'utiliser gpg ?

      Non... idem pour ssh...

      • [^] # Re: limitations cryptographiques en france

        Posté par  . Évalué à 8.

        Ca veut dire quoi une taille de clé ?
        128 pour des clés symétriques c'est pas du tout la meme "puissance" que 128 bits avec des clés assymétriques.Plus de détail sur linuxfr on en a déjà parlé, cf http://linuxfr.org/topic/Securite/5136,0,-1,0,1.php3(...)

        • [^] # Re: limitations cryptographiques en france

          Posté par  . Évalué à 0.

          La limitation de 128 bits est formulée pour une clef symétrique (clef secrète), il y a un flou sur la longueur de la clef asymétrique autorisée pour crypter cette même clef.

          • [^] # Re: limitations cryptographiques en france

            Posté par  . Évalué à 1.

            Il n'y a pas vraiment de flou, car s'il est vrai que pour les clefs asymétriques la notion de 128 bits n'est pas claire (pour RSA par exemple, est-ce la longueur de la clef ? L'un des 2^128 premier nombres respectant les critères RSA ? Autre chose ?), elle n'a pas d'importance pour l'utilisation qu'en fait PGP/GPG puisqu'on peut considérer que la clef de session est un mot de passe, et non pas un message, et qu'il n'est donc pas soumis à restrictions.

          • [^] # Re: limitations cryptographiques en france

            Posté par  . Évalué à -2.

            Autant que je me souviennes, dans la loi la longueur de 128 bits n'est pas la longueur la clé, mais le nombre de boucle nessessaire pour retrouver le message codé sans avoir la clef.

            En fait, quand on parle de limitation a 128 bits, cela signifie que le code doit nesseciter 2^128 itérations pour la retrouver.

            • [^] # Re: limitations cryptographiques en france

              Posté par  . Évalué à 3.

              Ca y est j'ai retrouvé, c'est le decret 99-200 du 17 mars 1999.
              Le bidule dit juste:"... Matériels ou logiciels offrant un service de confidentialité mis en oeuvre par un algorithme dont la clef est d'une longueur supérieure à 40 bits et inférieure ou égale à 128 bits"
              Si vous voulez voir par vous même, allez jeter un coup d'oeil sur http://www.legifrance.gouv.fr(...) , le décret y est.
              Personnellement, je ne pense pas que gpg soit légal, la clef symétrique étant cryptée avec une clef dont la longueur n'est pas réglementaire, mais bon, ce sont des questions techniques, et ça ne m'empechera pas de l'utiliser.

      • [^] # Re: limitations cryptographiques en france

        Posté par  . Évalué à 1.

        on va certainement régresser à 56 ou 40.

        Ca va nous ramener au bon vieux temps de DES :) Et la NSA qui n'attend que ca. Avec du materiel dedie et quelques moyens, on casser ce genre de cles en quelques heures.

  • # C'est bien mais...

    Posté par  . Évalué à 10.

    Malheureusement, on ne discute ici que des aspects techniques de la chose (comment installer GPG, générer ses clefs, gérer son trousseau, configurer son mailer, etc...). J'aimerais trouver des informations sur le côté légal de l'utilisation de GPG: Quels sont usages autorisés sans déclaration, quels sont les usages autorisés sur simple déclaration, quels sont les usages qui demandent une autorisation?

    Les lois sur la cryptographie sont très mouvantes en ce moment. Le gouvernement semblait aller dans le sens d'une plus grande libéralisation après des années d'interdiction totale. Mais les événements du 11 septembre risquent de provoquer une volte-face sur le sujet.

  • # FAQ ?

    Posté par  (site web personnel) . Évalué à 7.

    J'ai une question que j'ai retrouvée sur plusieurs faq, mais sans reponse.

    Comment fait ton si on as 3 emails, par exemple
    toto@vrai-email.com
    webmaster@secondaire.com
    moi@societe.com

    Si j'utilise adduid, il me mets comme email par defaut moi@societe.com, et si je change de societe, je fait comment ?

    De plus, lorsque je signe ou cryptre, et que l'on verifie qui à signé, il indique signé par moi@societe.com, je voudrais qu'il affiche toto@vrai-email.com

    Donc comment fait t'on pour changer l'uid par defaut indiqué par un ".", pour que je puisse signer avec toto@vrai-email.com ?

    Merci

    • [^] # Re: FAQ ?

      Posté par  . Évalué à 1.

      A prendre au conditionel ...
      Je crois, si mes souvenirs sont bon, que tu fais un gpg edit-key tonnom pour rentrer dans la gestion de ta clé

      et ensuite tu fais uid numero, ou numero est le numero de l'adresse que tu desires utiliser

      Bon, je suis pas sur, je me mets -1 en anonyme :)

      • [^] # Re: FAQ ?

        Posté par  (site web personnel) . Évalué à 1.

        Je crois aussi que si mes souvenirs son bon, c'est juste pour selectionner l'id de la clef afin defaire des modifications, par exemples changer l'email ou le nom. Je me trompe ?

  • # orthographe

    Posté par  . Évalué à 3.

    sans vouloir passer pour un rabat-joie, je trouve ça SCANDALEUX de mettre en ligne un document qui se veut sérieux, TRUFFÉ de FAUTES d'ORTHOGRAPHE !!!
    et je ne parle même pas des accents !

    Je n'ai même pas continué à lire jusqu`à la fin.

    Je veux bien être tolérant, mais là faut pas exagérer !

    • [^] # Re: orthographe

      Posté par  . Évalué à 4.

      Si tel est le cas, tu peux envoyer des patch à l'auteur. C'est ca aussi l'esprit du libre.

      • [^] # Re: orthographe

        Posté par  . Évalué à 1.

        L'auteur pourrait aussi juste utiliser un correcteur, c'est pas plus cher et cela fait plus sérieux ...

    • [^] # Re: orthographe

      Posté par  . Évalué à 0.

      Ouep je sais que l'orthographe francaise est loin d'etre mon fort et que j'ai tendance a ne pas mettre d'accents (en plus j'ai qu'un qwerty). Mais si ca te derange tant que ca, tu peut me soumettre une version corrigée ce qui te permettra de lire jusqu'a la fin ;)

    • [^] # Message Perso

      Posté par  . Évalué à -1.

      Raff, OK pour le 24. J'attends ton mail essplicatif.

      • [^] # Re: Message Perso

        Posté par  . Évalué à -1.

        Salut Eric !
        je mets l'e-invitation a tout le monde des que je connais l'heure, ca commence a etre chaud. En tout cas c'est bien le 24 apres-midi....
        (PS : j'ai pas encore fini l'exposé :(((( )

  • # Bonne librairie ?

    Posté par  . Évalué à 1.

    Est-ce-que quelqu'un connaitrais une bonne lib (càd. API stable et complete et souple, ouais rien que ça ;) pour signer/encrypter/decrypter... C'est pour ajouter le support GPG à Balsa.
    Merci

  • # Quel est l'intérêt de cette doc ?

    Posté par  . Évalué à 1.

    - Tu n'abordes que les éléments techniques sans te pencher sur la partie la plus intéressante et la moins évidente à appréhender, ie les réseaux de confiance. Toute intro à GnuPG, ne serait-ce que le mini-howto du site GnuPG, parle déjà de ceci.
    - Tu dois savoir qu'une telle doc est déjà parue dernièrement sur ce sujet. Pourquoi ne m'as-tu pas contacté afin d'améliorer cette doc, plutôt que de recommencer à zéro pour rien et qui plus est de reprendre le même titre ?

    Leto, qui ne comprend pas à quoi cela sert ...

    • [^] # Re: Quel est l'intérêt de cette doc ?

      Posté par  . Évalué à 3.

      Tout simplement parce que je ne connaisait pas l'existence de ta doc.
      Et je l'ai ecrite une nuit ou je m'ennuyait.
      C'est aussi simple que ca ;)

      • [^] # Bah alors...

        Posté par  . Évalué à 1.

        Faut lire Linuxfr ^_^

        La doc de Loïc est aussi passée dans le Linux Mag France du mois dernier. (C'est sympa de l'avoir sur papier sous les yeux pendant qu'on découvre)

    • [^] # Re: Quel est l'intérêt de cette doc ?

      Posté par  . Évalué à 1.

      et pis j'aborde effectivement les reseaux de confiance, relis un peu ;)

    • [^] # Re: Quel est l'intérêt de cette doc ?

      Posté par  . Évalué à 0.

      Ne te plains pas
      Il aurait pu faire "mieux".

      Pomper integralement ta doc et mettre son
      nom à la place

      P.S
      Comment on fait pour utiliser mes cles GPG avec des blaireaux qui utilisent IE?

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.