[ Internet ]
Tutoriel GPG et notions de cryptographie

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

Ceci est un exemple de message signe avec ma cle privee ECC.

L'interet d'une signature, c'est de prouver que le message a bien ete ecrit par le signataire.

Par exemple, supposons que tu veuilles communiquer avec moi. Qu'est ce qui te prouve que je suis bien Yog-Sothoth et pas un michant pirate qui a hacke le compte du vrai Yog-Sothoth ? Le fait de signer un message permet de se premunir contre les attaques de type usurpation d'identite.

Lorsque tu signes un message avec GPG, le logiciel va commencer par calculer un hash du message. Un hash, c'est une fonction a sens unique qui, pour toute donnee en entree, va associer un nombre qui est sense etre unique et representatif des donnees entrees.

Par exemple, le hash du mot "psychoactif" selon l'algorithme sha512 est BB3FE1EE883A6CE7D9512B401334AFD199BD8DACC4E8F10CD08A698586B3D8EB418FB8AD3B50DACAFB1FBA16E38B46BF8A209762571DEABDA57509429CC577BB

Ce gros pate de chiffres et de lettres est un (tres grand) nombre ecrit en hexadecimal

Une fois que le hash du message est calcule, GPG va chiffrer ce hash avec la cle privee de l'emetteur. C'est le hash chiffre qui constitue la signature. Concretement, dans ce message, c'est le gros pate de caracteres random qui se trouve entre les balises "BEGIN PGP SIGNATURE" et "END PGP SIGNATURE.

Lorsque le correspondant recoit le message, GPG va utiliser la cle publique de l'emetteur pour dechiffrer la signature et recuperer le hash. Ensuite, il va ensuite calculer le hash du message signe de son cote et verifier que les deux hash sont identiques. S'ils le sont, la signature est verifiee.

Si la verification echoue, ca peut etre pour deux raisons :

- - Soit il y a une attaque de type usurpation d'identite : un attaquant essaie de se faire passer pour le correspondant legitime. Dans ce cas, le processus de dechiffrement echouera car seul le correspondant legitime possede la cle privee associee a la cle publique qui sert a la verification

- - Soit quelqu'un a modifie les donnees apres l'apposition de la signature. Dans ce cas, c'est le processus de verification des hash qui echouera.

La vulnerabilite de ce processus repose dans le fait que tu dois faire confiance en la cle publique de ton correspondant. Ici, sur psychoactif, c'est relativement verifie car 3 personnes ici peuvent temoigner que la cle ECC qui est affichee sur mon profil m'appartient bien.

Si tu veux t'entrainer, tu peux essayer de copier coller l'integralite de ce post (depuis "BEGIN PGP MESSAGE" jusqu'a "END PGP MESSAGE"), de telecharger ma cle publique depuis n'importe quel serveur de cle et de verifier la signature.


-----BEGIN PGP SIGNATURE-----

iHUEARYKAB0WIQT7obAM7VN2mzAAAg1L8v4vH0/YRQUCWk3+vwAKCRBL8v4vH0/Y
RZclAQCNaIoxJS9GfiHnrKyGxJZzOArRxtSFS8LokMwUTyCbBwEAiLNKcg5l53Fn
CVu/1IXArFsAEkC6VVR6AFdp5vUUzw8=
=LdcB
-----END PGP SIGNATURE-----

Tourne-toi vers Ubuntu. C'est ce qu'il y a de mieux pour un néophyte.

bonsoir j'ai un problem avec kleopatra quand je veut me crée une clés gpg et que j'arrive au option avances l'option chiffrement et certification reste clair et il m'est impossible de les cocher,pourriez vous m'orienter sur mon problem,d'avance merci et bonne soirées a tous.

Bonjour.

Peux tu s'il te plaît décrire plus précisément ton problème ?  C'est à dire décrire point par point ce que tu fais depuis le début et poster des captures d'écrans ?

Bonne soirée.

L'option RSA+ permet d'ajouter une sous-clé de chiffrement à ta clé maîtresse. Sans cette option, c'est ta clé maîtresse qui aurait servi au chiffrement.

Donc lorsque tu cliques sur cette option, ça active par définition l'option "chiffrement". C'est pour ça qu'elle apparaît en gris, mais néanmoins cochée. Tu n'as qu'à faire l'expérience : tu décoche l'option, et ensuite, tu coches RSA+. Tu verras que l'option "chiffrement" se recoche toute seule et se met en gris.

Voilà, j'espère que ça répond à ta question.

EDIT : Fait attention quand tu postes des images ou des captures d'écran : Avec ce que tu as mis, on peut connaître ton prénom, ton nom de famille, ton addresse email et savoir que tu tournes sous Windows 10 et que tu utilises edge pour ta navigation internet.

Dernière modification par Yog-Sothoth (08 mars 2018 à  19:32)

Salut !

Personnellement, je n'utilise GPG que sous des systèmes d'exploitation oritenté sécurité (Tails ou QubesOS), et je n'utilise quasiment jamais d'interface graphique. Je chiffre tout en ligne de commande. Je trouve qu'il n'est pas RdR de chiffrer/stocker ses clés sur des systèmes d'exploitation comme Windows ou d'utiliser des interfaces graphiques comme kleopatra, parce que le code n'est pas forcément open-source, et que ça rajoute de la complexité, donc potentiellement des failles.

Donc non, je ne connais pas GPG4USB. Mais si tu me dis que ça tourne sur Windows, déjà, ça commence mal...

Concrètement, la seule solution qui offre une bonne sécurité tout en restant utilisable pour un néophyte, c'est d'utiliser le GPG qui est nativement installé dans Tails. C'est selon moi la seule solution valable. Je déconseille tout le reste, et surtout si ça tourne sur Windows.

Dernière modification par Yog-Sothoth (11 mars 2018 à  16:01)

ouf je suis découragé !!!! je sais que c'est un préjugé de dire ça mais.... êtes vous sûr que vous êtes des drogués ... lolol les 3 ou 4 premier paragraphes ça allait mais après j'ai commencé à avoir le vertige...

Ça peut faire ça avec certains sites qui utilisent une version pas à jour de GPG. Ça le fait surtout avec les clés à courbes elliptiques. C'est quoi comme algo que tu utilises ? RSA ou ECC (courbes elliptiques) ?

Et tu as essayé sur d'autres services cachés ?

Après, j'ai envie de te dire que si tu arrives à manipuler ta clé sur tails et sur Windows, c'est le site qui a un problème. Et là, on n'y peut pas grand chose.

Enfin, si : ne pas utiliser le site...

Bonjour Yog, si j'ai bien compris, Tails est un OS à part entière donc indépendant de windows et totalement safe. Si j'installe tails je n'aurait pas à passer par windows puisque tails contient tor et gpg est-ce bien celà ?

Dernière modification par Tramaboy (13 mai 2018 à  16:14)

Bon au final j’ai résolu le problème c’était tout bête ! J’ai juste sélectionné ma clé et fais ctrl + c et ça a fonctionné. C’est assez bizarre mais ça fonctionne ! :)

Bon j'ai essayé de faire au mieux, le problème est que le tails green ne s'affiche pas, je suis en bios uefi.

Si je lance en mode tails ça marche pas (écran ou noir ou bleu avec juste la date en haut...)

En mode troubleshooting mode, j'ai tails mais ultra zoomé et je ne peux pas défiler les page ouvertes donc je ne peux pas cliquer sur install pour la deuxième clé usb, j'ai essayé de redimensionner la page regardez dans les paramètre rien y fait

Soit je bidouille la ligne de commande en bas, la mienne ne ressemble pas à celle du tuto https://tails.boum.org/doc/first_steps/ … ptions.png il y a des trucs en plus du genre "page_poison=1" (WTF) ou d'autres qui devrait y être comme "quiet" et qui n'y sont pas

J'ai suivi l'autre tuto et supprimer un une ou deux commande dont je ne me souviens plus bien sur et magie le green tails est apparu en tout petit mais impossible de cliquer dessus, bref à chaque fois que je résous un problème il y en a un autre, c'est désespérant

Dernière modification par Tramaboy (15 mai 2018 à  18:13)

Je suis sur un asus de 2015

Processeur : intel pentium 2.41GHz

Ram : 8GB

64bit operating system, x64-based processor

Non j'ai pas d'autres ordi à risque, peut-être que c'est du à la config bios ou le fait que je suis en uefi. Au pire quand j'ai accès aux MP je peux te contacter par skype ou autre si ça te dérange pas, je mettrais juste mon écran à la caméra et tu peux affiche pas la tienne, juste le micro pour me guider

Mais pourtant c'est un 64 Bits, je suis sûr que le problème vient des réglages, peut-être si je te mets des photos de mon bios ?

Salut Yog, j'ai réussi à lancer tails, configurer un volume persistant (une très longue phrase, possible de la changer ?) et une apire de clé, mais depuis que j'ai fait ça, à chaque fois que je lance tor mon tails arrête pas de planter, je peux juste bouger la souris mais ne plus cliquer nul part...

Peut-être je dois repartir de zéro ?