Guide AutoDéfense Courriel GPG ✉ 🔐

Trucs et Astuces
#1

Je poste un tutoriel très bien explicite pour ceux qui désirent en connaître plus sur l’usage de mails chiffrés, signés à base d’un client logiciel mails, tel que TB/Icedove, et du module Enigmail, pour la gestion de clés OpenPGP - :

https://emailselfdefense.fsf.org/fr/index.html

Le bot Edward est correctement présenté au chapitre 3A - pour les tests de clés GPG, merci de s’adresser à lui, et uniquement à lui. Il est fonctionnel, et sert à cela !

« Et, vive la FSF … »

Le guide d’autodéfense numérique nous rappelle dans son tome 2 : comment créer et maintenir une clé GPG !

Celui fait par Mozilla « himself ».

Le mini-guide howto fait par gnupg.org

Le guide suivant Bonnes pratiques pour l’utilisation d’OpenPGP contient les bonnes pratiques liées à l’usage de clés GPG ; celles-ci sont :

  1. Avoir à jour son outil GPG !
  2. Configurer son fichier de config pour utiliser correctement un serveur de clé GPG :
  • installer l’outil ‹ gnupg-curl ›
  • Paramétrer son fichier ~/.gnupg/gpg.conf, en commentant/supprimant toutes les options suivantes commençant par keyserver, puis en ajoutant :
     keyid-format 0xlong
     with-fingerprint
  • Paramétrer le fichier ~/.gnupg/dirmngr.conf - le créer au besoin - et y ajouter :
keyserver hkps://keys.openpgp.org

Cette disposition est nécessaire suite à une faille majeure du fonctionnement d’OpenPGP !
Le seul serveur de clé GPG à utiliser est bel et bien : keys.openpgp.org. Des màj ont normalement été faites, depuis Juillet 2019, pour que ce soit le cas. Juste par acquis de conscience, vérifier !

  1. Ne pas utiliser gpg --refresh-keys ou le menu correspondant dans votre logiciel de gestion GPG, mais utiliser l’outil Parcimonie, un démon logiciel qui rafraîchira régulièrement les informations depuis le serveur de clé, de manière anonyme et sécurisée, lentement. (il est dans les dépôts)
  2. Ne pas avoir une confiance aveugle dans les clés que l’on vous fournies, qu’elles viennent du serveur de clé, et/ou différement : vérifier auprès de la personne ; une fois fait, vérifier par ces étapes (entourer l’empreinte de simple, voire double, quotes) :
  • Télécharger l’empreinte de la clé, depuis le serveur : gpg --recv-key 'fingerprint'
  • Vérifier l’empreinte de la clé : gpg --fingerprint 'fingerprint'
  • Signer la, au moins localement : gpg --lsign-key 'fingerprint'
  1. Ne pas avoir confiance dans l’ID de la clé, qu’elle soit courte ou longue ! Utilisez les empreintes digitales des clés : gpg --with-fingerprint keyfile
  2. Pour créer votre propre clé, utiliser un chiffrement fort, tel que sha512, et une longueur de clés à 4096 minimum, avec le chiffrement RSA ; ajouter dans votre fichier de config personnel .gnupg/gpg.conf, les informations suivantes :
    cert-digest-algo SHA512
    default-preference-list SHA512 SHA384 SHA256 SHA224 AES256 AES192 AES CAST5 ZLIB BZIP2 ZIP Uncompressed
    personal-digest-preferences SHA512

6.1. Mettre une date d’expiration à votre clé, pas plus de deux ans !
6.2. Utilisez un calendrier qui vous rappellera de changer à temps votre clé.
7. Générez un certificat de révocation, cela vous aidera si vous avez oublier votre passphrase, et/ou que votre clé privée soit compromise/volée/perdue : gpg --output revoke.asc --gen-revoke 'fingerprint'

Pour finir, il existe un outil pour vérifier visuellement qu’une clé est correcte, à partir de son empreinte, est correcte, c’est l’outil hkt. Il est intégré dans le package hopenpgp-tools, fourni dans les dépôts officiels.
Pour s’en servir, c’est la commande suivante :

hkt export-pubkeys 'fingerprint' | hokey lint
  • Les tests corrects sont affichés en vert.
  • Tout problème avec la clé vérifiée est affiché en rouge !
    Il faut alors IMPÉRATIVEMENT se méfier d’une telle clé, voire la régénérer si c’est la vôtre, après avoir configuré votre fichier de configuration personnelle, avec les recommandations ci-dessus !

C’est outil semble ne pas fonctionner avec GPG 2 !

Serveurs de clés consultables :

  • keys.openpgp.org
    Faire une recherche par mail associé à une clé ou par 0xGPG:ID !
    Il est donc possible de consulter, télécharger une clé publique, relative à une adresse mail, pour l’insérer dans son client mail.

« Et, merci à eux … »

Logiciels qui gèrent :

  1. Multi-OS : Enigmail, GPA - GNU Privacy Assistant
  2. GU/Linux :
  3. Interface web : Roundcube, Rainloop

PS : Je propose un script shell pour gérer les clés GPG à partir des empreintes …

PS 2 : Je ne suis pas le bot Edward, ni ne suis pas non plus la hotline de la FSF. MERCI de NE PAS ME CONTACTER À MOINS QUE je ne vous le propose, ce qui sous-entend que JE vous connais, et/ou que vous vous êtes CORRECTEMENT présenté !

PS 3 : Ce post est en mode wiki ; édition ouverte possible. N’hésitez pas à collaborer !

5 J'aime
Problème de clé de dépôt pour installer Tor
#2

Section 2B du tuto (excellent et clair) :

À partir de maintenant, si quelqu’un souhaite vous envoyer un message chiffré, il peut télécharger votre clef publique depuis Internet. Dans le menu, il y a le choix entre plusieurs serveurs où envoyer votre clef, mais ce sont des copies l’un de l’autre, donc vous pouvez utiliser n’importe lequel. Cependant, il leur faut parfois quelques heures pour s’aligner l’un sur l’autre quand une nouvelle clef est envoyée.

Il serait ptet intéressant de mettre le lien car où télécharger ?

#3

:stuck_out_tongue:

Depuis le serveur de clé … il faut donc que tu l’envoies d’abord sur un serveur de clé :wink:
Ensuite, ton correspondant doit connaître l’ID relatif à ta clé …

#4

Cela avait été fait, envoi vers un serveur de clefs.
Je suis le tuto ligne après ligne et à ce niveau, je ne sais pas qu’indiquer à mes correspondants comme site web à consulter pour obtenir ma clef.

Autre chose :
envoi premier mail de test à Edward mais j’attends sa réponse au bout de 10 bonnes minutes ???

#5

Tu as du mal à comprendre :
Tu donnes à ton correspondant l’ID correspondant à ta clé - puisque tu l’as déjà envoyé sur un serveur de clé
Ton correspondant, une fois qu’il a ton ID correspondant à ta clé GPG, interrogera un des serveurs de clé - n’importe lequel - ce qui lui permettra de l’importer.
Il peut le faire, soit à l’aide d’une interface graphique de gestion des clés GPG, telles que GPA, ou Enigmail, ou en console, à l’aide de l’option ‘–import’ …

À partir de ce moment-là, tu pourras commencer à échanger avec ce correspondant particulier, de manière chiffrée, voire signée.
Un premier mail chiffré pour tester le fonctionnement.
Et, ensuite, un second chiffré … et signé !

À bien comprendre, que tu peux signé n’importe quel de tes mails, même s’ils ne sont pas chiffrés - cela montre que tu as “confiance” en toi-même, en tant que source …

#6

Excuse-moi mais si je dis à un pôv correspondant non linuxien qu’il peut télécharger ma clef publique sur internet, il me demandera, immanquablement l’URL.

Moi-même, il faut que je fouille pour en connaitre une.

#7

Bon, ça y est, edward m’a répondu.
Je passe à la suite du tuto.

#8

Tu lui expliques qu’il existe des interfaces graphiques, telle qu’Enigmail, pour Thunderbird/Icedove, qu’il est nécessaire de les installer.
Et, ensuite, qu’il aille dans le menu « Enigmail > Gestion des clefs », puis dans la fenêtre « Gestion des clefs Enigmail », c’est le menu « Serveurs de clefs > Chercher des clefs », dans lequel il tapera ton ID correspondant …

Pour GPA - GNU Privacy Assistant -, c’est même plus simple, c’est le menu « Serveur > Récupération de clés ».
Ce sont ces menus qui vont interroger les serveurs de clés.

Sinon, pour les « épater », tu ouvres une console sur leur ordi linux, et tu tapes dedans :

gpg --import ID

ID étant bien sûr l’ID relatif à ta clé…

Testes avec mon ID correspondant à mon adresse linux@…, que tu trouves aussi en lisant mon profil :wink:

#9

Je vais faire tout ça après.
La seconde réponse d’edward vient d’arriver, celle avec le message chiffré :
I received your message and decrypted it

Je ne sais pas si je vais avoir le temps de tester avec toi car l’heure de la soupe approche.

Ptet à ce soir, très tard.
Merci.

#10

Je ne demande pas la lune mais simplement une URL qui mène directement à ce serveur, dans lequel je n’ai plus qu’à entrer l’ID.

Ça fait 10 mn que je fouille sur le net et rien ne correspond à ce que tu écris.

Tout ce système semble intéressant mais il faut te mettre à la place de ceux des correspondants qui ne connaissent que windows.
le seule chose qu’ils savent faire, c’est cliquer sur une URL, y entrer quelques lettres/chiffres et c’est tout.
Sinon, ça ne servira qu’à s’amuser entre barbus, point.

EDIT :
autre chose, envoyer un message chiffré et/ou signé, à un windowsien pur qui n’a rien installé de particulier sur sa machin : possible ?

#11

https://emailselfdefense.fsf.org/fr/windows.html
Il te faut impérativement un client mail qui gère !
OU une interface webmail qui gère aussi - telle que RoundCube, ou Rainloop - c’est pour cela qu’il m’intéresse celui-là … mais, là encore, il faut que l’hébergeur qui te donne la possibilité de lire tes mails, par ce biais, est configuré ladite interface web, pour être capable de lire, écrire, signer, etc … une clé GPG.
Et, encore là, se pose la question de la confiance de déposer une clé privée chez un tiers hébergeur - si toi-même, tu n’es pas l’hébergeur !!!

Regarde le premier message :wink:

Non, entre gens qui prennent au sérieux la sécurité, et leur vie privée - et qui sont prêts à y mettre vraiment les moyens, quitte à se rencontrer physiquement, pour au final définir un niveau de confiance dit ‘absolu’ - mais là encore, y’a toujours moyen de se faire passer pour quelqu’un d’autre ; de l’importance, de bien connaître ton correspondant ! :wink:

Ce n’est pas un jouet pour amateur, ou se la pêter !

Regarde l’infographie, à la fin de celle-ci :

Des milliers de personnent utilisent déjà … activites, lanceurs d’alerte, journalistes, ou des gens de tous les jours

C’est tout le soucis : il faut se prendre la main pour utiliser ce système, et une fois formé, prendre la main des autres, pour en faire de même … ça ne te rappelle rien ?!
Le “combat” du Libre !

#12

Premier lien = parfois inaccessible
deuxième lien = parfait
troisième lien = moins bavard ou besoin de cliquer sur la ligne.

Pour les trois liens, il est bon d’ajouter au début le ‘0x’.
Je pense que c’est à préciser dans la présentation de son ID, comme tu l’as fait sur ton profil.

Je continue cet AM.
Bon app.

1 J'aime
#13

Je comprends mieux pourquoi je n’arrivais à rien, en mettant juste l’ID GPG.
Merci

#14

Tu te moques d’un pôv vieux !

#15

Non, non, sérieux !
Je n’y arrivais pas, et je comprenais pas pourquoi, alors qu’avec l’email, ça fonctionn(e|ait) !

#16

Content de t’avoir aidé … pour une fois.
Alors, je viens de passer 40 mn de réflexions en me transformant en Kevin (moi sur mon serveur perso) qui ne connait rien et qui reçoit un mail chiffré et signé de Alex. Lequel Alex a déjà mis du temps à envoyer son mail.
Kevin lit son mail dans Icedove :
"ceci est un message OpenGPG chiffré…"
Afin de pouvoir déchiffrer ce courrier, vous devez installer un module complémentaire OpenGPG. (lien à cliquer).
Ouverture d’une page Mozilla - Enigmail1.9.1 avec un cadre “télécharger maintenant”.
Kevin a confiance (le pauvre) et il TC un fichier einigmail…xpi
Ça n’est pas dit mais il faut retourner sur la page Mozilla pour suivre ce qu’il convient de faire "rechercher le module dans … à côté de … en haut.
Là, il faut retourner dans Icedove
Kevin fouille 3 ou 4 mn et il trouve un truc en croix sur lequel il clique. chance, c’est le bon. il doit installer le module depuis le fichier …xmi.
Il faut retourner sur Mozilla pour connaitre la suite des opérations.

J’arrête mais il y en a encore pour 1/4 d’heure de recherche pour arriver au point final, un fois le fameux module installé.
Super, je vais enfin pouvoir lire ce que m’envoie alex…
Non, car retour dans mon Icedove, j’ai l’annonce suivante :
"Erreur, une clef privée est nécessaire … " sans plus d’explication pour savoir comment la créer.
Kevin en a marre, il laisse tomber, comme le feraient, je suis sûr, 99% des non-barbus.
Faut que je sorte mais dans la soirée, je delanderai à ricardo d’installer cette fameuse clef privée à Kevin :weary:
L

1 J'aime
#17

PTDR !

Tu as une bonne compréhension des raisons pour lesquelles cela semble difficile.
En passant, Enigmail est dans les dépôts !
C’est pourquoi il faut vraiment être convaincu du propos.

#18

Est-ce que je peux je servir d’une clef déjà existante pour que kevin puisse déchiffrer le courrier reçu de Alex ? J’en ai une ou deux qui ne servent plus.
Si oui, je ne trouve pas comment la faire accepter par Enigmail ???
Danke !

EDIT :
Pour pouvoir seulement lire ses mails chiffrés, Kevin doit-il installer obligatoirement Enigmail ou l’installation de l’extension dans Icedove est-elle suffisante ?

#19

Enigmail > Fichier > Importer des clefs depuis un fichier

Au bon vouloir de Kevin … l’un et/ou l’autre fonctionne !
Dans l’espoir que Kevin soit heureux et content :smiley:

#20

En l’occurrence, il s’agit d’une clef PRIVÉE ancienne, dont je n’ai pas l’ID, seulement le fichier qui se trouve dans ~/.ssh
Existe-t-il un moyen avec cette seule indication ?
Sinon, je créerai un nouveau jeu de clefs.