Hors ligne
Dernière modification par Nab (23 août 2016 à 02:51)
Hors ligne
Hors ligne
Hors ligne
Yog-Sothoth a écrit
La meilleure solution, ça serait d'installer tails (voir note en bas du post) sur une clé USB bootable à partir du site officiel. D'une façon générale d'ailleurs, je vous recommande d'utiliser tails quand vous voulez naviguer sur internet, qu'il soit question de commander de la drogue ou pas. gpg est installé par défaut sur tails.
Méthodique, j'ai donc essayé d'installer Tails sur une clef usb. Il est vrai que c'est avec mon portable de bureau, depuis chez moi. Il faut avoir Universal USB installer pour pouvoir transformer l'image" iso de tails " en "tails intermédiaire". Mais mon ordi me demande un privilège administrateur que je n'ai pas pour pouvoir exécuter Universal USB installer.
Bref je vais dans un cyber point demain pour télécharger ce logiciel et continuer.
A suivre.
Dernière modification par Bootspoppers (24 août 2016 à 01:21)
Hors ligne
Hors ligne
#
# This is an implementation of the Riseup OpenPGP Best Practices
# https://help.riseup.net/en/security/mes … -practices
#
#-----------------------------
# default key
#-----------------------------
# The default key to sign with. If this option is not used, the default key is
# the first key found in the secret keyring
#default-key 0xD8692123C4065DEA5E0F3AB5249B39D24F25E3B6
#-----------------------------
# behavior
#-----------------------------
# Disable inclusion of the version string in ASCII armored output
no-emit-version
# Disable comment string in clear text signatures and ASCII armored messages
no-comments
# Display long key IDs
keyid-format 0xlong
# List all keys (or the specified ones) along with their fingerprints
with-fingerprint
# Display the calculated validity of user IDs during key listings
list-options show-uid-validity
verify-options show-uid-validity
# Try to use the GnuPG-Agent. With this option, GnuPG first tries to connect to
# the agent before it asks for a passphrase.
use-agent
#-----------------------------
# keyserver
#-----------------------------
# This is the server that --recv-keys, --send-keys, and --search-keys will
# communicate with to receive keys from, send keys to, and search for keys on
keyserver hkps://hkps.pool.sks-keyservers.net
# Provide a certificate store to override the system default
# Get this from https://sks-keyservers.net/sks-keyservers.netCA.pem
keyserver-options ca-cert-file=/usr/local/etc/ssl/certs/hkps.pool.sks-keyservers.net.pem
# Set the proxy to use for HTTP and HKP keyservers - default to the standard
# local Tor socks proxy
# It is encouraged to use Tor for improved anonymity. Preferrably use either a
# dedicated SOCKSPort for GnuPG and/or enable IsolateDestPort and
# IsolateDestAddr
keyserver-options http-proxy=socks5-hostname://127.0.0.1:9050
# Don't leak DNS, see https://trac.torproject.org/projects/tor/ticket/2846
keyserver-options no-try-dns-srv
# When using --refresh-keys, if the key in question has a preferred keyserver
# URL, then disable use of that preferred keyserver to refresh the key from
keyserver-options no-honor-keyserver-url
# When searching for a key with --search-keys, include keys that are marked on
# the keyserver as revoked
keyserver-options include-revoked
#-----------------------------
# algorithm and ciphers
#-----------------------------
# list of personal digest preferences. When multiple digests are supported by
# all recipients, choose the strongest one
personal-cipher-preferences AES256 AES192 AES CAST5
# list of personal digest preferences. When multiple ciphers are supported by
# all recipients, choose the strongest one
personal-digest-preferences SHA512 SHA384 SHA256 SHA224
# message digest algorithm used when signing a key
cert-digest-algo SHA512
# This preference list is used for new keys and becomes the default for
# "setpref" in the edit menu
default-preference-list SHA512 SHA384 SHA256 SHA224 AES256 AES192 AES CAST5 ZLIB BZIP2 ZIP Uncompressed
Afficher le trousseau de clés (voir premier post) :
gpg --list-keys
Création d'une paire de clé (À faire après avoir modifié le fichier gpg.conf) :
Step 1 : gpg --gen-key
Step 2 : Sélectionnez "RSA et RSA"
Step 3 : 4096 bits, surtout pas moins
Step 4 : (facultatif, mais conseillé) : rentrez une date d'expiration
Step 5 : Rentrez un identifiant, une adresse mail si vous le souhaitez, et pas de commentaires (moins on en dit, mieux on se porte. D'ailleurs, notez que contrairement à Windows, Il n'y a que le nom qui est obligatoire)
Step 6 : Rentrez un mot de passe FORT (cf Windows). Répétez votre passphrase
Step 7 : Générez de l'entropie en utilisant l'ordinateur pour faire autre chose. La création de la paire de clé peut prendre plusieurs minutes.
Exportation de votre clé publique (reprise de l'exemple du 1er post) :
gpg --armor --output ma_cle_publique --export tuto_gpg (le fichier ma_cle_publique se trouve dans le répertoire courant)
Importation de la clé publique d'un correspondant :
Step 1 : Copiez collez la clé publique dans un éditeur de texte (par exemple gedit) et sauvegardez le (par exemple sous le nom de cle_publique_tartempion)
Step 2 : Rendez vous à l'aide de la commande cd dans le répertoire où se trouve cle_publique_tartempion
Step 3 : gpg --import cle_publique_tartempion
Signer et chiffrer : Mettons que vous voulez écrire à tuto_gpg. On fait ça en 2 temps :
Step 1 : écrire le message dans un éditeur de texte et le sauvegarder, par exemple sous le nom de adresse_postale
Step 2 (Signature) : gpg --armor --output adresse_postale_signee --clearsign adresse_postale Rentrez le mot de passe qui protège votre clé privée (je vous rapelle que la signature consiste à joindre au message une copie chiffrée avec votre clé privée. Il faut donc la dévérouiller)
Step 3 (chiffrement) : gpg --armor --output adresse_postale_signee_chiffree --recipient tuto_gpg --encrypt adresse_postale_signee
Step 4 : Ouvrez le fichier adresse_postale_signee_chiffree avecun éditeur de texte et copiez le dans la boîte de dialogue de votre interlocuteur
Déchiffrer :
Step 1 : Copiez collez le message chiffré que vous avez reçu dans un éditeur de texte (Par exemple sous le nom de encrypted_message)
Step 2 : Rendez vous dans le répertoire dans lequel se trouve encrypted_message à l'aide de la commande cd
Step 3 : gpg --output message_clair --decrypt encrypted_message
Step 4 : ouvrir avec un éditeur de texte le fichier nouvellement créé message_clair
Quelques conseils de bonne pratique :
- Les clés publiques, c'est bien, mais ça peut servir à vous identifier. Si vous fréquentez plusieurs market sous différents pseudos, mais que vous affichez la même clé publique dans vos différents proflils, il est facile de deviner qu'il s'agit de la même personne. Je vous recommande d'utiliser une paire de clés différente par market.
- Etant donné que les vendeurs mettent souvent à disposition leurs clés publiques, évitez de donner la votre en clair, ce qui pourrait également vous être préjudiciable si un pirate ou les flics voient passer la même clé publique que vous donneriez à plusieurs personnes. Lorsque vous écrivez le premier message, joignez votre clé publique et chiffrez le tout avec la clé publique du vendeur. Ainsi, votre clé ne circule pas en clair et ne peut pas servir à vous identifier par corrélations.
- Chiffrer son disque dur est une sécurité supplémentaire (Linux Ubuntu propose de chiffrer tout le contenu du disque dur à chaque extinction). S'il y a une descente de flic chez vous et qu'ils mettent la main sur votre matériel informatique, vos clés publiques peuvent servir à faire le lien entre vous et vos profils sur les market du deep web si vous les y avez publiées.
Je ferai peut être plus tard un tuto pour Mac, mais plus compliqué pour moi parce que je ne l'utilise pas du tout. Ceci dit, des démo que j'ai vu, c'est assez similaire à Windows.
Dernière modification par Yog-Sothoth (25 août 2016 à 02:29)
Hors ligne
Hors ligne
Hors ligne
Hors ligne
Hors ligne
Bootspoppers a écrit
Bonsoir
Finalement j'ai réussi à actionner le wifi sous tails! C'était une bête question de clavier azery passé en qwerty...avec un mot de passe masqué.
Reste à faire le reste!
GG !
Note que tails usurpe par défaut les adresses MAC. Ça peut poser des problèmes si tu veux te connecter à une wifi qui filtre les adresses mac. mais c'est un paramètre qu'on peut changer au démarage.
Hors ligne
Hors ligne
Dernière modification par bloodistory (23 novembre 2016 à 14:12)
Hors ligne
bloodistory a écrit
Si t’as un peu de temps pour me donner un coup de main, merci.
A ton service. N'hésite pas à me MP !
bloodistory a écrit
EDIT : sinon j’ai l’alternative BOOT CAMP, histoire de faire tourner mon USB Tails dessus, mais je ne trouve pas un lien de download correct pour récupérer Windows 7.
Si tu as un lien pour down Windows 7 propre, je prends. Merci.
Je n'ai pas compris ce que tu me demandes. Si tu as une clé tails, on s'en fout du système d'exploitation qui est installé sur ta machine. Tu as juste à booter sur ta clé usb à partir du BIOS et point barre.
De toute façon, je vais bientôt réécrire un nouveau tuto sur gpg et tails parce que j'ai appris pas mal de truc récemment qui valent la peine d'être partagés.
Dernière modification par Yog-Sothoth (02 décembre 2016 à 01:52)
Hors ligne
Dernière modification par bloodistory (09 décembre 2016 à 02:27)
Hors ligne
Dernière modification par bloodistory (09 décembre 2016 à 12:26)
Hors ligne
Hors ligne
Dernière modification par Yog-Sothoth (09 décembre 2016 à 15:02)
Hors ligne
Hors ligne
Dernière modification par bloodistory (09 décembre 2016 à 18:45)
Hors ligne
hkt export-pubkeys id_clé | hokey lint
On commence maintenant avec un florilège des clés les plus pourries que j'ai pu trouver :
Voici la clé publique d'un vendeur de coke et d'ecstasy. En important la clé comme je l'ai indiqué, on obtient son identifiant dans le trousseau. (Pour afficher tout le trousseau, c'est la commande gpg –list-key)
- Déjà , première faille, il y a un commentaire sur sa clé publique qui indique la version de GnuPG qu'il utilise ainsi que son système d'exploitation. C'est pas une grosse faille en soi, mais ça donne des informations à un attaquant qui pourra dès lors orienter ses attaques.
- 2ème faille, c'est une clé DSA 1024 bits, soit beaucoup trop faible et crackable facilement par la force brute. De base, cet algorithme propose naturellement des clés trop petites. Il a subi plusieurs révisions, mais aujourd'hui, il n'est pas possible de faire des clés supérieures à à peu près 3000 bits, ce qui est limite. Il a été officiellement déclaré obsolète par le National Institute for Standards and Technology (NIST) des états unis.
- 3ème faille : La clé publique a une auto-signature qui utilise l'algorithme sha1. Comme je l'ai expliqué en début de post, cet algorithme est de plus en plus dépassé par la technologie et ça n'ira pas en s'arrangeant. Le risque, c'est qu'un attaquant usurpe cette clé publique en se créant lui même une clé publique et en générant une collision pour que sa clé aie le même haché, donc impossible à distinguer de la clé publique véritable. L'attaquant peut alors mener une attaque de type usurpation d'identité.
- 4ème faille : les algorithmes de hachages utilisés pour les signatures sont trop peu nombreux (3). En plus, l'algorithme prioritaire est le plus faible des 3 (sha1).
- 5ème faille : Pas de date d'expiration. Si la clé est perdue, les interlocuteurs n'ont pas de moyens de savoir que la clé ne doit plus être utilisée.
Comme vous pouvez le constater, ce vendeur a une excellente réputation avec presque 4000 commentaires positifs. Donc faites attention : ce n'est pas parce qu'un vendeur a l'air sérieux et de bonne foi qu'il est sécurisé niveau informatique !
On continue notre palmarès des clés pourries avec celle d'un vendeur de cocaïne/héroïne/crystal meth qui n'y a même pas de pseudo.
- Présence d'un commentaire sur la clé publique
- Algorithme RSA (Ça, c'est bien par contre)
- Taille 2048 bits : dangereux
- Auto-signature en SHA1
- Même pas de possibilité de signer car pas d'algorithmes de hachages spécifiés
- Pas de date d'expiration
Et enfin, la palme de la clé pourrie revient à ce vendeur de GHB :
- Présence d'un commentaire sur la clé publique
- Algorithme DSA
- Taille 1024 bits
- Auto signature en SHA1
- Même pas de possibilité de signer car pas d'algorithmes de hachages spécifiés
- Pas de date d'expiration
Notez que les deux dernières clés ont été créé avec le logiciel BCPG (entête des clés publiques). Un tel logiciel est réputé pour être une véritable usine à clés merdiques, et ça se vérifie par l'analyse des clés. Donc si vous voyez un vendeur qui vous met à disposition une clé publique générée à partir de BCPG, déjà , ça pue !
Voici à contrario une clé d'un vendeur de LSD qui n'est pas trop mal, mais qui possède quand même des failles de sécurité :
- Présence d'un commentaire sur la clé publique
- Algorithme RSA
- Taille de 4096 bits, le maximum autorisé par GPG
- Faille : auto-signature en SHA1
- Algorithmes de hachages pas trop mal, mais la priorité est merdique par contre : sha1, le plus faible, est en deuxième position, et SHA512, le plus fort, est en 4ème position.
- Faille : Pas de date d'expiration.
Vous trouverez malheureusement difficilement mieux que ce genre de clé sur le deep web. Mais ça vaut toujours mieux que les clés trouées de certain vendeurs.
Voici maintenant la clé publique de Drogué Zeureux créée sur Tails (-:
- Pas de commentaire
- RSA
- 4096 bits
- Auto-signature en SHA512
- Algorithmes de hachage forts avec priorité aux plus forts.
- Date d'expiration
Note importante : Dans chacune de ces clés, même celles qui sont pourries, vous constatez grâce à la commande de test indique que la version de openPGP est V4. Si vous tombez sur une clé qui n'utilise pas V4, mais des versions antérieures, n'utilisez pas la clé quelles que soient ces autres caractéristiques car il s'agit là d'une faille de sécurité critique.
Voilà ! Cette fois, vous avez quasiment tout ce dont vous avez besoin. Si vous avez des questions, n'hésitez pas à poster !
Dernière modification par Yog-Sothoth (13 décembre 2016 à 22:48)
Hors ligne
Hors ligne
Hors ligne
Hors ligne
mikykeupon a écrit
Est-ce-qu'il serait possible de faire ça avec les os des smartphones et tablettes ?
En ce qui concerne Tails, il est à ma connaissance impossible actuellement de le faire booter sur un smartphone. Pour les tablettes, j'ai réussi à le faire booter deux fois, mais il y a des problèmes. Notamment, Tails ne trouve pas la carte réseau. Pour un système qui est concu pour la navigation internet, c'est embêtant.
En ce qui concerne GPG, j'ai vu qu'il était possible de l'installer sur les smartphones et les tablettes, mais c'est la version propriétaise qui est disponible (c'est à dire PGP*).
* : GnuPG (Gnu Privacy Gard) et PGP sont les deux mêmes logiciels. La seule différence, c'est que GPG est libre et open source alors que PGP est propriétaire. Je sais, c'est bizarre, même moi, j'ai jamais réussi à comprendre pourquoi il y a une version propriétaire payante et une autre gratuite et open source, alors qu'à priori, c'est la même chose. ¯\_(·Ë™âˆ• )_/ ¯
Hors ligne
Dernière modification par pioupiou (20 janvier 2017 à 16:01)
Hors ligne
pioupiou a écrit
Il est possible de lire le message d'un vendeur sur alpha juste avec sa clé publique?
Non.
Tout ce que tu peux faire avec la clé publique d'un autre, c'est :
- Chiffrer un message pour lui.
- Vérifier une signature.
Dernière modification par Yog-Sothoth (20 janvier 2017 à 17:45)
Hors ligne
Yog-Sothoth a écrit
pioupiou a écrit
Il est possible de lire le message d'un vendeur sur alpha juste avec sa clé publique?
Non.
Tout ce que tu peux faire avec la clé publique d'un autre, c'est :
- Chiffrer un message pour lui.
- Vérifier une signature.
Merci pour ta reponse c'est bien ce que je pensais du coup je vois pas trop l'interet du message crypté que le vendeur joint a la confirmation d'envoie avec le numero de suivi etant donné que celui ci est illisible pour moi
Hors ligne
Hors ligne
![]() |
[ Forum ] Tutoriel Tails
|
75 |
![]() |
[ Forum ] Tutoriel électrum !!!!malware!!!!
|
10 |
120 |
Psychoactif | Concours de dessins : Superdroggy qui écrase la stigmatisation |
Il y a 3j | Annonce de Equipe de PsychoACTIF |
Psychoactif | L'analyse de drogue à distance : Psychoactif en a révé.. et l'a fait ! |
13 mars 2023 | Annonce de Equipe de PsychoACTIF |
Appel à témoignage | Quelles sont les précautions que vous prenez pour baser à l'amoni... |
Il y a 3j | Commentaire de Poutinos (6 réponses) |
Appel à témoignage | "Arrêtez votre conso de drogues d'abord, je vous ausculte après",... |
Il y a 8j | Commentaire de Agartha (38 réponses) |
Appel à témoignage | Les poussières liées à l'injection : demande de témoignages |
Il y a 2h | Commentaire de marvin rouge (23 réponses) |
Forum UP ! | Drogue info - Renseignements sur achat dw |
Il y a 1j | Discussion sans réponse depuis 12h |
Forum UP ! | Dépistage - Huile de cannabis et tests salivaire |
Il y a 1j | Discussion sans réponse depuis 12h |
Forum | Sniffer - Effets secondaires étranges 3mmc après plusieurs semaines |
Il y a moins d'1mn | Commentaire de Agartha dans [Research Chemicals (R...] (7 réponses) |
Forum | Interaction & Mélange - Interaction Xanax Libération prolongée 2g + tramadol |
Il y a 6mn | Nouvelle discussion de ExEco11 dans [Tramadol...] |
Forum | Première fois - Avis sur Recette ayahuasca |
Il y a 17mn | Commentaire de Kavabidiol dans [DMT, changa et ayahua...] (29 réponses) |
Forum | Effets secondaires - Nouvveau : peur irrationelle de mourir après prise de cocaine |
Il y a 24mn | Commentaire de prescripteur dans [Cocaïne-Crack...] (1 réponse) |
Forum | Baser - Quel est le meilleur faço de fumer |
Il y a 45mn | Nouvelle discussion de SOSOCH dans [Cocaïne-Crack...] |
Forum | Social - Demande d'AAH : doit on mentionner ses addictions ? |
Il y a 1h | ![]() (8 réponses) |
Forum | Usage thérapeutique - Dépression et psilocybine |
Il y a 2h | Commentaire de Pesteux dans [Psilocybe - Champigno...] (5 réponses) |
Forum | Poussière / Choc septique - Les poussières liées à l'injection : demande de témoignages |
Il y a 2h | ![]() (23 réponses) |
Blog | J'ai arrêté les opiacés grâce au protonytazepyne (bjr la réa) |
Il y a 2h | Commentaire de Unposcaille dans le blog de Unposcaille (3 commentaires) |
Blog | L'étoile qui ne savait pas qu'elle brillait |
Il y a 6h | ![]() (5 commentaires) |
Blog | Ils sont toujours ici |
Il y a 1j | Nouveau blog de GordReno.C17 dans [Tranche de vie] |
QuizzZ | Evaluer votre dépendance au cannabis |
Dernier quizzZ à 17:39 |
PsychoWIKI | 3-CMC, effets, risques, témoignages |
Topic epinglé | Neurchi 2 Psychoactif |
Nouveaux membres | Cartman_VaaaaN, CPartiEnCouilles, Flow17, psychonautemama, Ricau nous ont rejoint et se sont présentés les trois derniers jours. |