Différences
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
|
gnupg [Le 02/12/2014, 09:50] 90.33.25.162 [Clef publique et clef privée] |
gnupg [Le 31/01/2024, 21:38] (Version actuelle) Amiralgaby [Signer et Chiffrer des fichiers avec GnuPG] correction affichage de deux tirets pour une option |
||
|---|---|---|---|
| Ligne 1: | Ligne 1: | ||
| - | {{tag>breezy dapper edgy sécurité}} | + | {{tag>Xenial sécurité}} |
| ---- | ---- | ||
| Ligne 5: | Ligne 5: | ||
| ====== GNU Privacy Guard ====== | ====== GNU Privacy Guard ====== | ||
| - | GPG est l'acronyme de //GNU Privacy Guard//. Il permet le chiffrement et la signature de données. | + | GPG est l'acronyme de //GNU Privacy Guard//. Il permet le chiffrement et la signature de données.\\ |
| + | Vous trouverez dans le présent document la méthode de création de clés GPG en lignes de commande. Pour créer des clés avec une interface graphique reportez-vous à la page [[:Seahorse]]. | ||
| - | ===== Introduction ===== | + | L'application **GnuPG** sert à chiffrer des données : vous pouvez vous en servir pour communiquer en toute sécurité (courriel, messagerie instantanée, etc.) et pour chiffrer vos fichiers (qui pourront d'ailleurs être également déchiffrés sous d'autres systèmes d'exploitation comme Windows). |
| - | Vous trouverez dans le présent document la méthode en passant par les interfaces graphiques, suivie de leur équivalent en lignes de commande. | ||
| - | |||
| - | L'application **GnuPG** sert à chiffrer des données : vous pouvez vous en servir pour communiquer en toute sécurité (courriel, messagerie instantanée, etc.) et pour chiffrer vos fichiers (qui pourront d'ailleurs être également déchiffrés sous d'autres systèmes d'exploitation comme Windows). | ||
| + | ===== Introduction ===== | ||
| - | ===== Concept ===== | ||
| Comment fonctionne le chiffrement ? | Comment fonctionne le chiffrement ? | ||
| - | Il serait dommage d'utiliser GPG sans connaître la différence entre une clef publique et une clef privée (//public key/private key//). Par conséquent, je vous invite à visiter la page [[http://fr.wikipedia.org/wiki/Cryptographie_asym%C3%A9trique|Cryptographie asymétrique]] sur Wikipedia. | + | Il serait dommage d'utiliser GPG sans connaître la différence entre une clef publique et une clef privée (//public key/private key//). Par conséquent, je vous invite à visiter la page [[wpfr>Cryptographie_asymétrique|Cryptographie asymétrique]] sur Wikipédia. |
| À noter qu'on peut également chiffrer en symétrique avec GPG (option « -c »). | À noter qu'on peut également chiffrer en symétrique avec GPG (option « -c »). | ||
| Ligne 28: | Ligne 26: | ||
| La **clef publique** sert à chiffrer un message qui pourra être déchiffré uniquement à l'aide de la **clef privée**. Pour que cela fonctionne, il faut fournir à vos correspondants votre clef publique. Ceux-ci chiffreront leur message avec cette clef, et vous seul pourrez le déchiffrer à l'aide de votre clef privée. | La **clef publique** sert à chiffrer un message qui pourra être déchiffré uniquement à l'aide de la **clef privée**. Pour que cela fonctionne, il faut fournir à vos correspondants votre clef publique. Ceux-ci chiffreront leur message avec cette clef, et vous seul pourrez le déchiffrer à l'aide de votre clef privée. | ||
| + | Ne perdez pas ce mot de passe et ne le divulguez à personne. | ||
| - | La **clef privée** ne doit jamais être divulguée. Pour plus de sécurité, cette clé est chiffrée en symétrique et un mot de passe y est donc associé : ainsi même lorsque quelqu'un a accès à votre clef privée (en accédant à votre ordinateur par exemple), il ne peut utiliser votre clé privée pour déchiffrer vos données. | ||
| - | |||
| - | Une clef publique et une clef privée fonctionnent en inverse. Ce que chiffre l'une, l'autre peut le déchiffrer, et vice versa. Chacune fait une partie du travail. Ainsi, vous pouvez **signer** vos messages à l'aide de votre clef privée en envoyant avec votre message une copie conforme de celui-ci, chiffrée avec votre clef privée. Votre clef publique pourra déchiffrer ce message, attestant ainsi de l'identité de son emetteur. | ||
| - | |||
| - | Un //mot de passe// est associé à la clef privée : il vous sera demandé pour signer ou déchiffrer les fichiers, courriels ou messages. Le chiffrage ne nécessite pas de mot de passe. | ||
| - | |||
| - | Évidemment, ne perdez pas ce mot de passe et ne le divulguez à personne. | ||
| ==== Validité de la clef ==== | ==== Validité de la clef ==== | ||
| - | Lors de la création de la clef publique, une date d'expiration vous sera demandée : c'est la date à partir de laquelle vous et vos correspondants ne pourrez plus utiliser cette clef pour chiffrer des données. | + | Lors de la création de la clef publique, une date d'expiration vous sera demandée : c'est la date à partir de laquelle vous et vos correspondants ne pourrez plus utiliser cette clef pour chiffrer des données. |
| **Note :** Ceci ne vous empêchera pas de relire des données chiffrées avec cette clef publique. Il est aussi possible de modifier cette date d'expiration ultérieurement. \\ | **Note :** Ceci ne vous empêchera pas de relire des données chiffrées avec cette clef publique. Il est aussi possible de modifier cette date d'expiration ultérieurement. \\ | ||
| Si vous entrez "0", la clé n'expirera jamais (cela diminue la sécurité). | Si vous entrez "0", la clé n'expirera jamais (cela diminue la sécurité). | ||
| + | |||
| ==== Certificat de révocation ==== | ==== Certificat de révocation ==== | ||
| Ligne 52: | Ligne 45: | ||
| L'identifiant d'une clef est appelé //uid// //(User IDentifiant)// dans GPG. Il est de la forme « Prénom NOM (commentaire) <adresse de courriel> » (ou « Prénom NOM <adresse de courriel> » si aucun commentaire n'a été spécifié). | L'identifiant d'une clef est appelé //uid// //(User IDentifiant)// dans GPG. Il est de la forme « Prénom NOM (commentaire) <adresse de courriel> » (ou « Prénom NOM <adresse de courriel> » si aucun commentaire n'a été spécifié). | ||
| - | Une clef est composée de différents champs (cf. comment lister les clefs de son trousseau dans la section « [[#gerer_son_trousseau_de_clefs|Gérer son trousseau de clefs]] ») : | + | Une clef est composée de différents champs (cf. comment lister les clefs de son trousseau dans la section « [[#gerer_son_trousseau_de_clefs|Gérer son trousseau de clefs]] ») : |
| - le champ « pub » correspond à la partie publique. | - le champ « pub » correspond à la partie publique. | ||
| - le champ « sub » correspond à une sous-clé. | - le champ « sub » correspond à une sous-clé. | ||
| - le champ « uid » correspond à une adresse email et un nom. | - le champ « uid » correspond à une adresse email et un nom. | ||
| - | La notation « <id> » utilisée dans cette documentation est une chaine de caractères propre à une clé du trousseau. Typiquement, cela peut être le //nom//, ou //un identifiant de la clé// (« pub » ou « uid »), ou encore //l'adresse de courriel//. | + | La notation « <id> » utilisée dans cette documentation est une chaîne de caractères propre à une clé du trousseau. Typiquement, cela peut être le //nom//, ou //un identifiant de la clé// (« pub » ou « uid »), ou encore //l'adresse de courriel//. |
| Ligne 67: | Ligne 60: | ||
| Si l'empreinte ne correspond pas vous devez supprimer la clef publique invalide de votre trousseau. | Si l'empreinte ne correspond pas vous devez supprimer la clef publique invalide de votre trousseau. | ||
| - | **Note :** Les 8 derniers caractères du //fingerprint// correspondent à l'identifiant //pub// de la clé. | + | **Note :** Les 8 derniers caractères du //fingerprint// correspondent à l'identifiant //pub// de la clé. Cette méthode d’identification des clés n’est plus fiable, il est facile de générer une clé avec une empreinte différente mais dont les 8 derniers caractères sont choisis. Cf [[https://evil32.com/]]. |
| ==== Signer une clef publique ==== | ==== Signer une clef publique ==== | ||
| Ligne 73: | Ligne 66: | ||
| Signer une clef publique, c'est certifier que cette clef est bien celle de la personne indiquée par l'identifiant. C'est pour cela qu'il faut faire la vérification d'empreinte //avant// de signer une clef. | Signer une clef publique, c'est certifier que cette clef est bien celle de la personne indiquée par l'identifiant. C'est pour cela qu'il faut faire la vérification d'empreinte //avant// de signer une clef. | ||
| - | Après avoir signé une clef publique vous pouvez la renvoyer sur un serveur. Il est parfois apprécié de ne pas publier directement la clé signée, mais de l'envoyer à son propriétaire afin du lui en laisser le choix.\\ | + | Après avoir signé une clef publique vous pouvez la renvoyer sur un serveur. Il est parfois apprécié de ne pas publier directement la clé signée, mais de l'envoyer à son propriétaire afin de lui en laisser le choix.\\ |
| Votre signature apporte à tous votre garantie sur l'authenticité de cette clef. | Votre signature apporte à tous votre garantie sur l'authenticité de cette clef. | ||
| - | |||
| - | |||
| - | ===== Prérequis ===== | ||
| - | |||
| - | - Fonction « sudo » activée (sinon voir [[sudo#ajout_des_privileges_super-utilisateur_a_un_utilisateur|Ajout des privilèges super-utilisateur à un utilisateur]]). | ||
| - | - Connexion Internet configurée et activée (sinon voir [[:modem]] ou [[tutoriel:comment_configurer_son_reseau_local]]). | ||
| - | - Dépôt //universe// activé (sinon voir [[:depots]]). | ||
| - | |||
| ===== Installation ===== | ===== Installation ===== | ||
| + | Il est nécessaire d'[[:tutoriel:comment_installer_un_paquet|installer le paquet]] **[[apt>gnupg2]]**. | ||
| + | Il existe également diverses interfaces graphiques pour GnuPG. Sous Ubuntu [[:Seahorse]] est installée par défaut. Il existe aussi : | ||
| + | * **[[apt>gpa]]**, tente de devenir l'interface graphique standard de GnuPG, | ||
| + | * **[[apt>kgpg]]** ou **[[apt>Kleopatra]]**, développées pour l'environnement KDE, mais fonctionne également sous Gnome, | ||
| + | * [[https://github.com/ryran/pyrite|Pyrite]]. | ||
| + | Nous favoriserons ici l'usage de gpg en [[:tutoriel:console_ligne_de_commande|ligne de commande]]. | ||
| - | Il existe divers FE (//Front End//, interface graphique) pour GnuPG : | + | **N.B. :** Lorsque vous utilisez GPG pour chiffrer vos messages, c'est transparent pour vous car c'est pris en charge par vos logiciels habituels. |
| - | - KGpg, développé pour l'environnement KDE, mais fonctionne également sous Gnome ; | ||
| - | - GnomeGPG, développé pour l'environnement Gnome mais incomplet ; | ||
| - | - Seahorse (cf. [[:gnupg#Avertissement sur Seahorse]]) ; | ||
| - | - GPA, tente de devenir l'interface graphique standard de GnuPG. | ||
| - | N'ayant peu ou pas testé ces interfaces graphiques (car elles ne sont généralement pas encore très abouties), je détaille dans cette documentation l'usage de GPG en ligne commande. | ||
| - | Si vous ne savez pas encore comment utiliser la ligne commande, allez voir [[:tutoriel:console_ligne_de_commande]]. | + | ===== Utilisation===== |
| - | **N.B. :** Lorsque vous utilisez GPG pour chiffrer vos messages, cela sera transparent pour vous car pris en charge par vos logiciels habituels. | + | Cette section illustre les usages les plus communs de GnuPG. Vous pouvez évidement obtenir d'autres détails en utilisant la commande :<code>gpg2 --help</code> |
| + | ====Vérification intégrité d'un fichier ==== | ||
| - | ==== Installation de GnuPG ==== | + | <note>C'est probablement la première utilisation de gpg dont vous aurez besoin.</note> |
| - | Il faut [[:tutoriel:comment_installer_un_paquet|installer le paquet]] **[[apt://gnupg2|gnupg2]]**. | + | Cette commande vérifie que le fichier MD5SUMS à la même signature que celui qui a été signé par son auteur (dans l'exemple la signature publique est dans le fichier MD5SUMS.sign. Si les noms de fichier ont le même radical, le 2e argument peut être omis): |
| + | <code>gpg2 --verify MD5SUMS.sign MD5SUMS</code> | ||
| - | ==== Installation des interfaces graphiques ==== | ||
| - | === Sous Ubuntu - Gnome === | ||
| - | Dans le menu //Applications -> Ajouter des applications//, ( depuis Lucid aller dans Applications => Logithèque Ubuntu ) : | + | ==== Création d'une clef ==== |
| - | * KGpg : Catégorie //Accessoires -> Plus d'application…// -> KGpg | + | Ouvrez une console et exécutez la commande suivante : <code>gpg2 --full-gen-key</code> qui vous renvoie : |
| - | * GnomePGP : Catégorie //Outils système -> Plus d'application…// -> GnomePGP | + | <code>Sélectionnez le type de clef désiré : |
| - | * Seahorse : Catégorie //Autre -> Encryption Key Manager// | + | (1) RSA et RSA (par défaut) |
| - | * Kleopatra : Catégorie //Accessoires// -> Kleopatra | + | (2) DSA et Elgamal |
| - | + | (3) DSA (signature seule) | |
| - | Vous pouvez aussi faire une recherche dans la barre prévu à cet effet . | + | (4) RSA (signature seule) |
| - | + | Quel est votre choix ? | |
| - | === Via Synaptic ou Adept === | + | </code> |
| - | + | Choisissez //RSA et RSA (par défaut)// en tapant //1//. | |
| - | Il faut installer respectivement les paquets suivants : | + | On vous proposera une clef de 2048 bits, cela vous assurera une bonne protection, appuyez sur //Entrer//. |
| - | * [[http://www.kde.org/applications/utilities/kgpg/ |kgpg]] ou [[http://www.kde.org/applications/utilities/kleopatra/ |Kleopatra]] | + | |
| - | * gpgp ((Paquet disponible seulement sur [[Dapper]].)) | + | |
| - | * **[[apt>seahorse|seahorse]]** | + | |
| - | * **[[apt>gpa|gpa]]** | + | |
| - | + | ||
| - | === Logiciels non présents dans les dépôts === | + | |
| - | + | ||
| - | * [[https://github.com/ryran/pyrite|Pyrite]] | + | |
| - | + | ||
| - | === Avertissement sur Seahorse === | + | |
| - | + | ||
| - | Seahorse est plus complet que GnomePGP et vous permettra de créer de nouvelle paire de clefs (clef publique et privée), à l'inverse de GnomePGP. Par contre, certains utilisateurs ont [[http://forum.ubuntu-fr.org/viewtopic.php?id=21497|mentionné des bugs]] (en décembre 2005). | + | |
| - | + | ||
| - | Seahorse ne permet pas de créer de clef sans passphrass (inutile dans le cas des clefs pour courriel) et ne connait pas le serveur de clef http://keys.gnupg.net/ (novembre 2010) | + | |
| - | + | ||
| - | La ligne de commande vous permettra d'éviter les bugs. | + | |
| - | + | ||
| - | ===== Utilisation et configuration ===== | + | |
| - | + | ||
| - | Cette section illustre les usages les plus communs de GnuPG. Vous pouvez évidement obtenir d'autres détails en utilisant la commande : | + | |
| - | + | ||
| - | gpg --help | + | |
| - | + | ||
| - | <note tip>Le paquet installé précédemment est gnupg2. Il serait donc peut-être plus cohérent d'utiliser la commande gpg2 qui invoque la seconde version de GnuPG et non gpg tout court qui invoque la première version.</note> | + | |
| - | + | ||
| - | ==== Gérer les clefs avec GPG ==== | + | |
| - | + | ||
| - | === Créer une paire de clefs === | + | |
| - | + | ||
| - | == Création de la clef == | + | |
| - | + | ||
| - | Ouvrez une console et exécutez la commande suivante : | + | |
| - | gpg --gen-key | + | <note important>Dans le cas d'une clé RSA, **il est aujourd'hui (2016) vivement recommandé d'utiliser une clé d'une longueur minimale de 4096 bits !** |
| - | Choisissez //DSA and ElGamal (default)// en tapant //1//. | + | Voir << [[https://help.riseup.net/fr/security/message-security/openpgp/best-practices#les-cl%C3%A9s-primaires-devraient-%C3%AAtre-des-cl%C3%A9s-dsa-2-ou-rsa-de-4096-bits-ou-plus-de-pr%C3%A9f%C3%A9rence-rsa|Les clés primaires devraient être des clés DSA-2 ou RSA, de 4096 bits ou plus (de préférence RSA)]] >> ou encore [[http://www.heise.de/ix/artikel/Passivitaet-heisst-sich-abzufinden-1981718.html|l'interview de Phil Zimmermann]] [de], l'inventeur de PGP, qui, en 2013, recommandait déjà une longueur minimale de 3072 bits pour les clés RSA.</note> |
| - | Une clef de 1024 bits vous assurera une bonne protection. | + | |
| Choisissez alors dans combien de temps votre clef expirera. Vous pouvez rentrer //30// comme nombre de jours pour faire vos premiers essais. | Choisissez alors dans combien de temps votre clef expirera. Vous pouvez rentrer //30// comme nombre de jours pour faire vos premiers essais. | ||
| - | Confirmez par //y//. | + | Confirmez par //o//. |
| Vous allez alors créer un //identifiant// pour votre clef : | Vous allez alors créer un //identifiant// pour votre clef : | ||
| - | - Il faut d'abord donner vos //Prénom// et //NOM//. | + | - Il faut d'abord donner le //Nom réel//, c'est-à-dire vos //Prénom// et //NOM//. |
| - | - Remplissez ensuite votre //adresse de courriel// (même si vous utilisez cette clef uniquement pour chiffrer vos fichiers). Cette adresse doit correspondre avec celle que vous utilisez, sans artifice anti-spam. | + | - Remplissez ensuite votre //Adresse électronique// (même si vous utilisez cette clef uniquement pour chiffrer vos fichiers). Cette adresse doit correspondre avec celle que vous utilisez, sans artifice anti-spam. |
| - | - Le //commentaire// est optionnel. | + | - Le //Commentaire// est optionnel. |
| Validez par « O ». | Validez par « O ». | ||
| + | Il faut maintenant fournir une //Phrase de passe// dans la fenêtre qui s'ouvre. Le terminal vous renvoie ceci : <code>De nombreux octets aléatoires doivent être générés. Vous devriez faire | ||
| + | autre chose (taper au clavier, déplacer la souris, utiliser les disques) | ||
| + | pendant la génération de nombres premiers ; cela donne au générateur de | ||
| + | nombres aléatoires une meilleure chance d'obtenir suffisamment d'entropie.</code> | ||
| + | Patientez jusqu'à la fin de l'opération. | ||
| - | Il faut maintenant fournir le //mot de passe//. | + | ==== Création du Certificat de révocation ==== |
| - | **N.B. :** Rien ne s'affiche lorsque vous tapez votre mot de passe dans la console. C'est une question de sécurité. | + | Ouvrez un [[:terminal]], et exécutez la commande suivante : <code>gpg2 --gen-revoke <votre_courriel></code> |
| + | le terminal vous renvoie: <code>Faut-il créer un certificat de révocation pour cette clef ? (o/N) | ||
| + | </code> | ||
| + | Faites « o ». | ||
| + | Il ne vous reste plus qu'à choisir la cause de la révocation. Et à répondre aux dernières questions. | ||
| + | ==== Gérer son trousseau de clefs ==== | ||
| - | == Création du Certificat de révocation == | + | Voici quelques commandes pour gérer son trousseau de clefs : |
| + | * Lister toutes les clefs : <code>gpg2 --list-keys</code> | ||
| + | * Exporter une clef publique sur un serveur de clef : <code>gpg2 --send-key <id> --keyserver <serveur></code> Vous pouvez spécifier un serveur de clef spécifique avec l'option « ''%%--%%keyserver <serveur>'' », c'est aussi bien pour la recherche, l'importation ou exportation de clef. | ||
| + | * Rechercher une clef publique sur un serveur de clef : <code>gpg2 --search-keys <identifiant></code> | ||
| + | * Ajouter une clef publique depuis un serveur de clef : <code>gpg2 --recv-keys <identifiant></code> | ||
| + | * Ajouter une clef publique contenue dans le presse-papier (vous avez reçu la clef publique par courriel par exemple) : <code>gpg2 --import</code> Collez ensuite la clef dans le terminal. et taper Ctrl D | ||
| + | * Supprimer une clef publique : <code>gpg2 --delete-keys <identifiant></code> | ||
| - | Ouvrez une console, et exécutez la commande suivante : | + | ==== Configurer les logiciels pour utiliser GnuPG ==== |
| - | gpg --gen-revoke <mon_id> | + | * Courriel : |
| + | * [[:Thunderbird]], //via// Enigmail : [[:enigmail]] | ||
| + | * Evolution : [[:evolution_gpg|Evolution Gpg]] | ||
| + | * Kmail : [[:kmail_openpgp|KMail Openpgp]] | ||
| + | * [[:Claws-mail]] avec le module [[https://www.claws-mail.org/plugin.php?plugin=gpg|gpg]] | ||
| + | |||
| + | * Jabber : | ||
| + | * [[:Gajim]] | ||
| - | === Gérer son trousseau de clefs === | + | ==== Récupérer ou partager un trousseau de clé déjà existant ==== |
| - | == Lister toutes les clefs == | + | Cela est utile par exemple si votre trousseau de clé a été créé sous Windows. Pour cela il vous suffit de copier tous les fichiers présents dans le dossier du trousseau de clé //keyring// vers le dossier correspondant sous Ubuntu. Vous le trouverez dans le dossier caché **.gnupg**. |
| - | gpg --list-keys | + | Si vous êtes en [[:cohabitation_ubuntu_windows|dual boot avec Windows]] et que vous utilisez GnuPG dans les deux systèmes, il vaut mieux partager le dossier du trousseau de clefs. Pour cela on crée un lien symbolique à la place du répertoire **.gnupg** avec la commande : <code>sudo ln -s <chemin du dossier du trousseau de clé/> /home/<utilisateur>/.gnupg</code> |
| - | == Exporter une clef publique sur un serveur de clef == | + | Exemple : <code>sudo ln -s /media/windowsdata/Mes\ documents/GPGkeys/ /home/toto/.gnupg</code> |
| - | gpg --send-key <id> --keyserver <serveur> | + | ===== Utilisation Avancée ===== |
| - | Vous pouvez spécifier un serveur de clef spécifique avec l'option « ''--keyserver <serveur>'' », c'est aussi bien pour la recherche, l'importation ou exportation de clef. | + | ==== Ajouter ou retirer un « uid » d'une clef ==== |
| - | + | ||
| - | == Rechercher une clef publique sur un serveur de clef == | + | |
| - | + | ||
| - | gpg --search-keys <identifiant> | + | |
| - | + | ||
| - | == Ajouter une clef publique depuis un serveur de clef == | + | |
| - | + | ||
| - | gpg --recv-keys <identifiant> | + | |
| - | + | ||
| - | == Ajouter une clef publique contenue dans le presse papier (vous avez reçu la clef publique par courriel par exemple) == | + | |
| - | + | ||
| - | gpg --import | + | |
| - | + | ||
| - | Collez ensuite la clef dans la console (clic du milieu) | + | |
| - | + | ||
| - | == Supprimer une clef publique== | + | |
| - | + | ||
| - | gpg --delete-keys <identifiant> | + | |
| - | + | ||
| - | === Avancé === | + | |
| - | + | ||
| - | ==Ajouter ou retirer un « uid » d'une clef == | + | |
| Ceci est généralement utilisé par les personnes disposant de plusieurs adresses de courriels. | Ceci est généralement utilisé par les personnes disposant de plusieurs adresses de courriels. | ||
| - | gpg --edit-key <identifiant> | + | <code>gpg2 --edit-key <identifiant></code> |
| - | Gpg vous rend la main en affichant ''Command>'' après avoir affiché des détails sur la clef à éditer. | + | Gpg vous rend la main en affichant ''gpg>'' après avoir affiché des détails sur la clef à éditer. |
| Pour ajouter un //<uid>// : | Pour ajouter un //<uid>// : | ||
| Ligne 232: | Ligne 185: | ||
| - Retirez alors l'//uid// par la commande ''deluid''. | - Retirez alors l'//uid// par la commande ''deluid''. | ||
| - | Quittez avec ''quit'' en validant les modifications par ''y''. | + | Quittez avec ''quit'' en validant les modifications par ''o''. |
| - | == Vérifier le fingerprint== | + | ==== Vérifier l'empreinte ==== |
| - | gpg --fingerprint <identifiant> | + | <code>gpg2 --fingerprint <identifiant></code> |
| - | == Signer une clef publique== | + | ==== Signer une clef publique ==== |
| - | gpg --sign-key <identifiant> | + | <code>gpg2 --sign-key <identifiant></code> |
| - | Validez si vous êtes sûr de l'authenticité de la clef. | + | Validez si vous êtes sûr de l'authenticité de la clef. Vous pouvez alors renvoyer la clef sur un serveur de clef (cf. la section « Gérer son trousseau de clefs »). |
| - | Vous pouvez renvoyez la clef sur un serveur de clef (cf. la section « Gérer son trousseau de clefs »). | + | ==== Changer la date d'expiration d'une clef ==== |
| - | == Changer la date d'expiration d'une clef== | + | <code>gpg2 --edit-key <identifiant> expire</code> |
| - | + | ||
| - | gpg --edit-key <identifiant> expire | + | |
| Vous devez disposer de la clef secrète pour changer cette date. | Vous devez disposer de la clef secrète pour changer cette date. | ||
| - | Vous aurez d'abord à l'écran les informations concernant la clef puis vous pourrez rentrer une durée pour laquelle la clef sera valide en suivant le format indiqué. Validez ensuite par //o//, puis entrez éventuellement votre passphrase. Lorsque la ligne ''Commande>'' apparaît, entrez //quit// et validez les changements. | + | Vous aurez d'abord à l'écran les informations concernant la clef puis vous pourrez rentrer une durée pour laquelle la clef sera valide en suivant le format indiqué. Validez ensuite par //o//, puis entrez éventuellement votre phrase de passe. Lorsque la ligne ''gpg>'' apparaît, entrez //quit// et validez les changements. |
| - | |||
| - | |||
| - | |||
| - | |||
| - | ==== Configurer les logiciels pour utiliser GnuPG ==== | ||
| - | |||
| - | * Courriel : | ||
| - | * Thunderbird, //via// Enigmail : [[:enigmail]] | ||
| - | * Evolution : [[:evolution_gpg|Evolution Gpg]] | ||
| - | * Kmail : [[:kmail_openpgp|KMail Openpgp]] | ||
| - | * Claws Mail : [[:claws-mail]] avec le module [[http://www.claws-mail.org/plugin.php?plugin=gpg|gpg]] | ||
| - | | ||
| - | * Jabber : | ||
| - | * Gajim : [[:Gajim]] | ||
| - | |||
| - | ==== Récupérer ou partager un trousseau de clé déjà existant ==== | ||
| - | |||
| - | (Par exemple votre trousseau de clé créé sous Windows) | ||
| - | |||
| - | Il vous suffit de copier tous les fichiers présents dans le dossier du trousseau de clé (keyring) vers le dossier correspondant sous Ubuntu : | ||
| - | |||
| - | /home/<utilisateur>/.gnupg | ||
| - | |||
| - | Si vous êtes en dual boot avec Windows et que vous utilisez GnuPG dans les deux systèmes, il vaut mieux partager le dossier du trousseau de clé : | ||
| - | Pour cela on crée un lien symbolique à la place du répertoire .gnupg : | ||
| - | |||
| - | sudo ln -s <chemin du dossier du trousseau de clé/> /home/<utilisateur>/.gnupg | ||
| - | |||
| - | Exemple : sudo ln -s "/media/windowsdata/Mes documents/GPGkeys/" /home/toto/.gnupg | ||
| - | |||
| - | (notez les guillemets indispensables à cause de l'espace entre "Mes" et "documents") | ||
| ==== Signer et Chiffrer des fichiers avec GnuPG ==== | ==== Signer et Chiffrer des fichiers avec GnuPG ==== | ||
| - | Ces manipulations sont possibles avec les [[:gnupg#installation_des_interfaces_graphiques|interfaces graphiques]]. | + | * Signer un fichier : <code>gpg2 --clearsign <mon_fichier></code> Votre mot de passe vous est demandé pour vérifier que c'est bien vous qui signez le fichier. Un fichier //mon_fichier.asc// est créé : c'est la signature du fichier //mon_fichier//. |
| - | + | * Chiffrer un fichier : <code>gpg2 --encrypt <mon_fichier></code> L'identifiant du destinataire est demandé : c'est la personne qui pourra déchiffrer le fichier (qui peut très bien être vous). Un fichier //mon_fichier.gpg// est créé, c'est la copie chiffrée de // mon_fichier//. Cependant le fichier "mon_fichier.gpg" reste illisible par un éditeur de texte, il donne une suite corrompue de caractères (car il est sous forme binaire). Pour avoir un fichier directement lisible (sous forme ASCII) que l'on peut envoyer à un destinataire sous forme de texte et non en pièce jointe il faut utiliser la syntaxe suivante: <code>gpg2 --armor --output "mon_fichier_chiffré" --encrypt "mon_fichier"</code> | |
| - | Voici comment les réaliser en ligne de commande avec gnupg : | + | * Déchiffrer un fichier : <code>gpg2 --output <mon_fichier> --decrypt <mon_fichier.gpg></code> Votre mot de passe vous est demandé pour déchiffrer //mon_fichier.gpg//. Le fichier //mon_fichier// est créé et lisible. |
| - | + | ||
| - | == Signer un fichier == | + | |
| - | + | ||
| - | $ gpg --clearsign <mon_fichier> | + | |
| - | + | ||
| - | Votre mot de passe vous est demandé pour vérifier que c'est bien vous qui signez le fichier. | + | |
| - | + | ||
| - | Un fichier //mon_fichier.asc// est créé : c'est la signature du fichier //mon_fichier//. | + | |
| - | + | ||
| - | == Chiffrer un fichier == | + | |
| - | + | ||
| - | gpg --encrypt <mon_fichier> | + | |
| - | + | ||
| - | L'identifiant du destinataire est demandé : c'est la personne qui pourra déchiffrer le fichier (qui peut très bien être vous). | + | |
| - | + | ||
| - | **N.B. :** Il faut bien comprendre ici que c'est là où intervient le mécanisme de clef publique/ clef privés. Vous chiffrez un fichier avec la clef publique de son destinataire et seule sa clef privée pourra le déchiffrer. D'où l'intérêt de ne pas hésiter à diffuser sa clef publique. Ce principe est bien sûr identique pour le mail. | + | |
| - | + | ||
| - | Un fichier « mon_fichier.gpg » est créé : c'est la copie chiffrée de « mon_fichier ». | + | |
| - | + | ||
| - | "mon_fichier.gpg" reste cependant illisible par mousepad ou autre éditeur de texte, il donne une suite corrompue de caractères (car il est sous forme binaire) | + | |
| - | Pour avoir un fichier directement lisible (sous forme ASCII) que l'on peut envoyer à un destinataire sous forme de texte et non en pièce jointe il faut utiliser la syntaxe suivante: | + | |
| - | + | ||
| - | gpg --armor --output "mon_fichier_chiffré" --encrypt "mon_fichier" | + | |
| - | + | ||
| - | == Déchiffrer un fichier == | + | |
| - | + | ||
| - | gpg --output <mon_fichier> --decrypt <mon_fichier.gpg> | + | |
| - | + | ||
| - | Votre mot de passe vous est demandé pour déchiffrer //mon_fichier.gpg//. | + | |
| - | Le fichier //mon_fichier// est créé et lisible. | + | |
| - | + | ||
| - | **N.B. :** Vous pouvez bien sûr chiffrer et signer un fichier : il suffit de mettre les options //--sign// et //--encrypt//. | + | |
| - | + | ||
| + | <note tip>Il faut bien comprendre ici que c'est là où intervient le mécanisme de clef publique/ clef privés. Vous chiffrez un fichier avec la clef publique de son destinataire et seule sa clef privée pourra le déchiffrer. D'où l'intérêt de ne pas hésiter à diffuser sa clef publique. Ce principe est bien sûr identique pour le mail.\\ | ||
| + | Vous pouvez également chiffrer et signer un fichier en même temps, il suffit de mettre les options //%%--sign%%// et //%%--encrypt%%//.</note> | ||
| ===== Liens internes ===== | ===== Liens internes ===== | ||
| - | * [[RetroShare]] est un logiciel friend-to-friend de partage de fichiers, base sur PGP. | + | * [[:RetroShare]] est un logiciel friend-to-friend de partage de fichiers, base sur PGP. |
| ===== Liens externes ===== | ===== Liens externes ===== | ||
| + | * [[https://gnupg.org/|Le site officiel de GnuPG]] [en] | ||
| * [[http://www.francoz.net/doc/gpg/|Utilisation de GnuPG]] | * [[http://www.francoz.net/doc/gpg/|Utilisation de GnuPG]] | ||
| - | * [[http://matrix.samizdat.net/crypto/gpg_intro/index.html]] | + | * L'article [[wpfr>Pretty Good Privacy]] sur Wikipédia |
| - | * [[http://www.gnupg.org/]] | + | * L'article [[wpfr>GNU Privacy Guard]] sur Wikipédia |
| - | * [[wpfr>GPG]] | + | * [[https://gnupg.org/howtos/fr/|"Mini-Howto" plutôt complet !]] |
| - | * [[http://www.gnupg.org/howtos/fr/|"Mini-Howto" plutôt complet !]] | + | |
| * [[http://gpglinux.free.fr/|Télécharger GnuPG HOWTO par cho7]] | * [[http://gpglinux.free.fr/|Télécharger GnuPG HOWTO par cho7]] | ||
| - | * le [HOW-TO] [[http://forum.ubuntu-fr.org/viewtopic.php?id=28207|Créer sa clef PGP]] sur ubuntu-fr | + | * Le HOW-TO [[https://forum.ubuntu-fr.org/viewtopic.php?id=28207|Créer sa clef PGP]] sur le forum ubuntu-fr |
| - | * [[http://blog.rom1v.com/2009/05/gnupg-chiffrer-et-signer-sous-ubuntu-pour-les-nuls/|GnuPG : chiffrer et signer sous Ubuntu pour les nuls (®om's blog)]] | + | * [[https://blog.rom1v.com/2009/05/gnupg-chiffrer-et-signer-sous-ubuntu-pour-les-nuls/|GnuPG : chiffrer et signer sous Ubuntu pour les nuls (®om's blog)]] |
| + | * Un bon tutoriel : [[https://www.mistra.fr/tutoriel-linux-chiffrer-signer-mails-fichiers-gpg.html|Chiffrer et signer ses mails ou ses fichiers avec GPG]] | ||
| + | * Les bons conseils d'utilisation : [[https://help.riseup.net/fr/security/message-security/openpgp/best-practices|Bonnes pratiques pour l'utilisation d'OpenPGP]] | ||
| + | * [[http://laurent.flaum.free.fr/pgpintrofr.htm|Principe du cryptage PGP]] | ||
| ---- | ---- | ||
| - | //Contributeur : [[utilisateurs:Id2ndR]],[[utilisateurs:naoli]].// | + | //Contributeurs : [[utilisateurs:Id2ndR]],[[utilisateurs:naoli]], [[:utilisateurs:l_africain|L'Africain]],[[utilisateurs:illoxx]],--- //[[:utilisateurs:fnx|fnx]] Le 17/08/2019, 11:15//.// |