Mettre le «assez bon» dans PGP

[ware_item id=33][/ware_item]

Pretty Good Privacy (PGP) est le premier programme de cryptage fiable et testé. Il peut être utilisé pour crypter du texte, des fichiers, des e-mails ou des disques entiers.


Il a été créé en 1991 par Phil Zimmermann et a été publié en tant que standard ouvert appelé OpenPGP en 1997. Il existe également une implémentation de PGP, publiée sous une licence GPL appelée GNU Privacy Guard (GPG) depuis 1999.

Zimmermann était un activiste antinucléaire connu dans les années 80 et 90 qui voulait un moyen de stocker des fichiers et des informations hors de portée du gouvernement. Zimmerman a créé PGP et a publié le logiciel gratuitement pour tout le monde, et a inclus le code source dans chaque version.

Au début des années 90, les logiciels de chiffrement étaient encore classés comme munitions militaires et leur exportation était strictement interdite. Pour contester ces réglementations, Zimmermann a imprimé le code source dans des livres, puis les a distribués dans le monde entier. Le raisonnement était que, alors que les munitions étaient strictement contrôlées, le texte était protégé par le premier amendement. Les États-Unis ont enquêté sur Zimmermann pendant trois ans, mais ont abandonné toutes les accusations en 1996.

PGP est un système pseudonyme. Les principales utilisations sont de garder le contenu de vos données privé et d'assurer l'authenticité de toutes les communications et fichiers. Lorsqu'il est utilisé avec des logiciels comme Tor, il peut grandement améliorer l'anonymat. Cependant, la fonction de signature PGP fait exactement le contraire de vous garder anonyme, elle est utilisée pour prouver numériquement que vous avez écrit une déclaration ou examiné un fichier.

En raison de ces normes ouvertes, il est devenu possible de créer une variété de logiciels pour tous les appareils qui peuvent interagir avec un autre.

Dans PGP, chaque utilisateur doit créer une clé publique et une clé privée. La clé privée reste sur l'ordinateur de l'utilisateur et la clé publique peut être téléchargée en toute sécurité sur le Web ou remise à d'autres utilisateurs. Il n'a pas besoin d'être connecté à votre véritable identité ou adresse e-mail, mais la prudence est de mise, afin de ne pas confondre les clés!

Supposons que vous receviez la clé publique d'Alice, vous pouvez l'utiliser pour créer des fichiers ou du texte qui ne sont lisibles que par Alice. Vous pouvez également vérifier les signatures d'Alice, pour confirmer qu'un fichier provient vraiment d'elle ou qu'elle a vraiment fait une déclaration publique qui lui est attribuée.

D'un autre côté, si vous avez la clé privée d'Alice, vous pouvez l'utiliser pour accéder à des fichiers qui ne lui étaient destinés. Vous pouvez également l'utiliser pour signer des fichiers et des déclarations en tant qu'Alice. C'est pourquoi vous devez garder votre clé privée privée et pourquoi cela peut être dangereux si votre ordinateur est compromis. Si quelqu'un accède à votre ordinateur, il peut également accéder à votre clé privée.

Bien que les calculs derrière PGP soient considérés comme à l'épreuve des balles, il existe de nombreux exploits possibles. Le plus gros problème est de savoir comment authentifier au mieux les clés publiques. Étant donné que n'importe qui peut télécharger et distribuer une clé sous n'importe quel nom, une vérification est nécessaire pour s'assurer que la clé que vous utilisez appartient vraiment à la personne à laquelle vous pensez qu'elle appartient..

PGP essaie de résoudre ce problème avec ce qu’ils appellent «le Web de la confiance». L'idée est que même si vous n'avez peut-être pas rencontré la personne avec laquelle vous interagissez, il se peut que l'un de vos amis de confiance l'ait fait. Ou un ami de confiance de votre ami de confiance, etc. Pour recréer cette chaîne de confiance, chaque utilisateur signerait la clé de son ami. Cependant, ce processus peut révéler des informations privées et compromettantes, et est un processus assez fatigant. Par conséquent, le réseau de confiance n'est pas suffisamment utilisé pour le rendre utile.

Installer

Pour configurer PGP sur votre appareil, vous devrez installer un programme et créer votre clé PGP. Il existe de nombreux programmes pour des besoins différents, mais nous ne nous concentrerons que sur les plus utilisables.

Mac

Mac OS X: GPGTools https://gpgtools.org/

iOS

iOS: iPGMail https://ipgmail.com/

les fenêtres

Windows: GPG4Win https://gpg4win.org/

Android

Android: Guardian Project https://guardianproject.info/code/gnupg/

Linux

Ubuntu: Seahorse https://wiki.gnome.org/Apps/Seahorse/
Ubuntu: Enigmail https://www.enigmail.net/home/index.php

Créez votre clé et sauvegardez-la

Pour utiliser PGP, vous devez créer une clé PGP. Le programme PGP que vous avez choisi vous demandera un nom et une adresse e-mail. Même si l’identité que vous choisissez n’importe pas, il sera beaucoup plus facile d’intégrer PGP à votre programme de messagerie si vous utilisez une adresse e-mail que vous possédez..

ExpressVPN recommande de définir une date d'expiration sur votre clé, pour environ 2-3 ans à l'avenir. Vous pouvez toujours modifier cette date, tant que vous n'avez pas perdu l'accès à votre clé PGP.

ExpressVPN recommande également de créer une clé avec la taille maximale (au moins 2048 bits) et de définir un mot de passe long et compliqué (que vous pouvez générer avec notre générateur de mot de passe aléatoire).

Si vous perdez le mot de passe, vous perdrez également l'accès à votre clé PGP et vous ne pourrez pas décrypter les fichiers qui lui sont associés. Assurez-vous de bien le sauvegarder et si vous ne vous faites pas confiance pour mémoriser le mot de passe, sauvegardez-le séparément. Vous pouvez l'enregistrer dans votre gestionnaire de mots de passe, ou simplement l'écrire et le conserver dans un endroit sûr.

Vous avez maintenant votre clé PGP! Félicitations! Vous pouvez maintenant le télécharger sur un serveur public afin que les gens puissent voir que vous utilisez PGP et trouver votre clé.

Certificat de révocation

L'étape suivante consiste à créer un certificat de révocation. Ne vous inquiétez pas de la sécurité de votre certificat de révocation. En fait, vous voulez le garder aussi accessible que possible! Envoyez-le-vous en tant que pièce jointe à un e-mail, placez-le dans votre répertoire Dropbox et conservez-le sur votre lecteur standard. Si jamais vous perdez votre clé privée, oubliez votre mot de passe, ou pire, si quelqu'un d'autre y a accès, vous pouvez révoquer la clé avec le certificat de révocation. La révocation de la clé privée garantira que les autres utilisateurs ne vous enverront plus de fichiers avec cette clé. Cela empêche également deux clés valides de vous flotter, une autre source de confusion.

Sauvegarde

La sauvegarde de votre clé est plus délicate. Vous souhaitez que votre sauvegarde soit aussi sécurisée que possible. J'espère que vous n'aurez pas trop à vous soucier de son accessibilité.

Assurez-vous toujours de sauvegarder la clé PGP et son mot de passe séparément. Par exemple, vous pouvez choisir de conserver votre mot de passe dans le gestionnaire de mots de passe et de stocker la clé sur une clé USB dans votre coffre-fort ou votre dépôt bancaire.

Si vous avez configuré des sauvegardes automatiques pour vos données ordinaires, vous pouvez les conserver ensemble, mais assurez-vous qu'elles sont correctement cryptées!

La sécurité et l'accessibilité sont souvent en conflit. Plus votre clé vous est accessible, plus elle sera également accessible aux autres. Pensez à vos préférences en matière de risque lorsque vous prenez des décisions concernant la complexité des mots de passe et l'emplacement de vos sauvegardes. Quelqu'un en fuite d'un gouvernement autoritaire devrait mettre plus d'efforts dans sa sécurité qu'un citoyen ordinaire qui veut simplement faire respecter son droit à la vie privée en ligne.

Obtenez les clés

Vous devrez recevoir les clés PGP publiques de vos contacts avant de pouvoir leur envoyer des messages cryptés ou vérifier vos fichiers, et vous devrez également publier les vôtres.

Vous pouvez télécharger votre clé PGP sur un serveur de clés, qui est probablement l'endroit le plus pratique pour que vos contacts la reçoivent. Vous pouvez également l'héberger sur votre site Web, y créer un lien dans votre bio Twitter ou utiliser un service dédié comme keybase.io. Vous pouvez même télécharger votre clé PGP sur votre page Facebook.

Une clé PGP peut être identifiée avec un ID utilisateur (un nom ou une adresse e-mail), un ID de clé (comme 0x0BACE776) et une empreinte digitale (comme 509E 7B97 D266 A283 DC10 5E6F 57ED 72A2 0BAC E776). Alors que l'ID de la clé et l'empreinte digitale sont tous deux calculés à partir de la clé PGP elle-même, l'ID de la clé est un peu trop court pour identifier de manière unique la clé, donc l'empreinte digitale est préférée à la place. Pourquoi ne pas l'imprimer sur votre carte de visite pour renforcer votre identité et votre statut en ligne en tant qu'individu soucieux de la confidentialité?

Chiffrer des fichiers

Pour crypter des fichiers, vous aurez besoin de la clé publique de la personne à laquelle vous souhaitez envoyer les fichiers cryptés. Vous pouvez également choisir votre propre clé publique ou utiliser plusieurs clés PGP différentes.

Vous pouvez utiliser PGP pour stocker facilement votre portefeuille Bitcoin sur une clé USB. Les avantages sont nombreux et vous n'aurez pas à vous soucier de savoir qui a accès à la clé USB ou si elle a pu être copiée à votre insu. Vous n'aurez pas non plus besoin de mémoriser un mot de passe ou de le communiquer au destinataire prévu du fichier, ce qui est souvent impossible sans canaux cryptés.

Un logiciel moderne vous permet de crypter et de décrypter facilement des fichiers. Souvent, c'est aussi simple qu'un clic droit sur le fichier en question. Sélectionnez une clé et le processus créera un fichier .gpg ou .pgp qui peut être envoyé en toute sécurité sur Internet, stocké sur une unité de stockage externe ou conservé dans le cloud.

Signer des fichiers

N'importe qui peut crypter un fichier et vous l'envoyer. Même si le fichier provient de l'adresse e-mail de votre contact, il n'est pas garanti que le fichier ait bien été envoyé par lui. PGP offre la possibilité de signer des fichiers, ce qui prouve sans aucun doute que le fichier provient de votre contact.

Vous pouvez choisir de crypter et de signer un fichier, simplement de le crypter ou simplement de le signer. Vous pouvez utiliser cette fonction pour signer des déclarations publiques ou pour signer des versions de logiciel. Il est très courant parmi les projets de logiciels open source de signer n'importe quel code et programme.

Si le logiciel n'était pas signé, il serait très difficile de vérifier son authenticité, car un attaquant aurait pu introduire des portes dérobées au logiciel à l'insu des développeurs..

Ces fichiers de signature portent généralement le même nom que les fichiers qu'ils représentent, plus les terminaisons .asc ou .sig.

Dans certains logiciels, vous pouvez vérifier une signature en double-cliquant simplement sur le fichier de signature ou en exécutant la commande gpg –verify file.sig

Vous aurez besoin de la clé PGP du signataire pour vérifier la signature.

Bien qu'il soit impossible pour un attaquant de modifier un fichier chiffré sans que le propriétaire ne le sache, il pourrait être très utile pour l'attaquant de savoir qui a chiffré le fichier en premier lieu. Les personnes qui recherchent l'anonymat doivent créer soigneusement de nouvelles clés PGP pour chacun de leurs contacts, ce qui peut être compliqué et sujet aux erreurs. Dans de tels cas, il pourrait être plus approprié d'utiliser la technologie des messages cryptés comme OTR, qui offre un cryptage et une authentification fiables.

Signer et crypter du texte

—–BEGIN PGP SIGNÉ MESSAGE—–

Hachage: SHA1

Avec PGP, vous pouvez signer et crypter à peu près n'importe quoi. Dans certains logiciels, il suffit d'écrire simplement votre texte dans un éditeur de texte, puis de le signer ou de le chiffrer avec un clic droit.

Voici à quoi ressemblera votre signature PGP. Il peut être publié dans un commentaire Reddit, un article de blog ou un e-mail, pour prouver que c'est vraiment vous qui faites un commentaire:

—–BEGIN PGP SIGNATURE—–

Version: GnuPG v1

iQIcBAEBAgAGBQJWVXw0AAoJEIMuYyhAgNc6wKoP / AwSaInjpoSQKUBPukE + TY4vXWnoh1dCiOcLzCsbAz7IvLmtoILlGxfLwi0XUhAUQTKEAHxpWKbUTY / 5MNFA1UUscHSH4t + aCtlFxNk4mMCtZO7c3JPh91U1rgN1K9J5YE9flpk + P5F5fdEhF4iD05P67uf4 + t / k5cupD + pZv8pGnB + 5rpPPe7ODE5ptA3DyI3i8srrvKVkictxYub9RDknqYJAaE / xxFZ7 + mAZxM64gnN8Rwf + euDqdrf3PqiIUW6kcdvqJOyx7WZt + ows84kEze8AR3QhS1FBJfP3xAhsibBfy0sUSJopyl9kKIEDCcfGDf9Mthe3kzVUUayxz8AOrGC5ce6isg3YN4Nsi8K7idhPQyPgjBWtKWfuuYSUG + dPObVD + pFUkgOnrm07Qhp4ZVXKbuOnqf4swqc4vnW9C / 9ADwk2 / fat071fik8ohDzF9l4Cpm + iLj5w7Pv5iivvfe2oz0WCxnr6wj4XX5MsDTNOmMmObCWbnla + uYEJtDlbWse8XOq7q / DiMT9p + ZtHkSwrQ + 3TLNHxxJK7UJJFdlfZUZqC06LsSb2yEBh7rJytoN2PrpjB5H7Zx99DC5v + i1klr4hbrLeHtd + fVl1AGrMz + agcO6YQGpHJ0hhJXVrRruJjLJzOhJkzUU3o0rHeHRk69jKdAKpsOqABsunt5 = / QHs

—–END PGP SIGNATURE—–

Crypter les e-mails

Lorsque vous écrivez des e-mails privés, ce n'est pas une bonne idée de les écrire dans le dossier brouillon de votre fournisseur de messagerie. Tout ce que vous faites dans ce dossier est sauvegardé pour toujours et vous ne savez pas qui y a accès. Une alternative consiste à écrire vos e-mails dans le bloc-notes, à crypter le texte, puis à coller le texte crypté dans l'e-mail. Écrire des e-mails dans le bloc-notes peut être fatigant et copier et coller les versions cryptées encore plus. Heureusement, il existe des plugins pour les logiciels de messagerie tels que Thunderbird (Enigmail) et Apple Mail (GPGTools) qui facilitent le processus de décryptage et de cryptage. C'est une très forte protection de la vie privée contre les adversaires même les plus sophistiqués.

Une grande chose que vous pouvez faire instantanément est de télécharger votre clé PGP sur Facebook et de recevoir toutes les mises à jour et notifications sous forme cryptée. Ceci est particulièrement utile pour les informations sensibles à la sécurité comme la réinitialisation d'un mot de passe. L'utilisation d'un PGP sur Facebook empêcherait un pirate de pirater votre compte Facebook via votre compte de messagerie.

Métadonnées et sécurité

PGP est conçu pour masquer le contenu des fichiers et des messages, mais il ne protège pas vos métadonnées. Les métadonnées peuvent inclure des noms de fichiers, des tailles de fichiers, des en-têtes d'e-mails, des dates de création et des destinataires. Un pirate informatique pourrait apprendre beaucoup de ces connaissances, il est donc important de rester prudent sur ce que vous partagez - même lors de l'utilisation de PGP.

Il est également facile pour quiconque possède un fichier crypté de voir pour qui il est crypté et qui l'a signé. PGP n'offre pas de secret en amont, donc si votre clé est compromise, un attaquant peut accéder à toutes vos communications cryptées de fichiers. Ils peuvent tout décrypter, compromettant potentiellement des années d'e-mails et de transferts de fichiers.

C'est pourquoi vous devez crypter vos clés avec un bon mot de passe, utiliser plusieurs clés dans plusieurs situations et remplacer régulièrement vos clés PGP.

Il est également important de savoir que PGP ne crypte pas les noms des fichiers ou les en-têtes des e-mails. Faites donc attention à ce que vous y écrivez!

Mettre le «assez bon» dans PGP
admin Author
Sorry! The Author has not filled his profile.