Guide AutoDéfense Courriel GPG ✉ 🔐

Oui, ma question était incomplète, je pensais à le faire via leur webmail Zimbra.
Sinon, j’avais compris qu’il me suffisait d’en installer un compte sur IceDove.

Il n’offre pas la gestion !
(je viens de vérifier)

Par contre, si tu as un serveur, tu peux tenter l’install de Rainloop - produit privateur … qui te permettra d’y avoir accès.
Cela gère officiellement - en mode beta - les clés GPG.
Je l’ai installé, mais je n’ai pas encore testé !

Non, je ne veux pas trop m’éparpiller, c’était juste une question.
De plus, en y réfléchissant mieux, je ne veux même pas installer un compte Free sous IceDove car j’ai un wagon de pourriel qui m’arrivent et ils sont traités comme ils le méritent.

Une autre question :
Peut-on modifier sa phrase sécrète à partir de Enigmail ?

Il l’est toujours ? La version communauté est sous AGPL v3.

1 J'aime

Alors, Enigmail : menu > Gestion des clefs : clic droit sur la clé > Modifier la phrase secrète

Si je ne me trompe pas, tu peux le faire en mode console : ‘–edit-key passwd’

passwd Change the passphrase of the secret key.

OOops, pardon.
Merci d’avoir rectifier :stuck_out_tongue:

Par contre, aucune communauté d’entraide … et, pour trouver des informations, c’est assez “sybillin”.

Impec, merci.

Je n’y crois pas :confused:
Je viens d’être contacté par un certain Y. Dubeau - par correction, je ne mettrais pas son email, ici - qui s’est permis de m’envoyer un mail, sans se présenter, juste la lettre ‘Y’ dans le sujet, et ‘test’ pour tester que ça fonctionne, et parce qu’il ne trouvait pas l’adresse email du bot edward de la FSF !!!

Incroyable !

Donc, ma réponse est le message suivant, que je lui ai adressée - et, elle vau(t|dra) pour tout le monde :

En effet, c’est un attitude qui craint un peu … surtout quand on n’est
pas connu, où l’on ne connaît pas le destinataire. La moindre des
corrections est de se présenter !

Allez, parce que je ne suis vraiment pas méchant, dirigez-vous vers :

Concernant le bot edward, dois-je supposé que vous avez mal lu ?
L’adresse email est donné sur la page de la documentation de la FSF.
Veuillez la relire tranquillement, calmement !

https://emailselfdefense.fsf.org/fr/index.html (Étape 3A).

Bonne soirée.
Et, merci de ne plus me contacter, à moins d’avoir des choses
intéressantes et cordiales à dire ! :smiley:


Je ne suis pas la hotline de la FSF, la moindre des choses est de se présenter, de lire correctement les informations fournies.
Le prochain qui me fait cela, je ne lui réponds même pas !

:rage:

Ajout des informations liées aux bonnes pratiques relatives à l’usage, la création, et la gestion des clés GPG, dans le premier post !


Ajout ce jour en PS, dans le premier post, la référence vers mon script de gestion de clé GPG :

Faites-en bon usage :wink:

Suite à la faille majeure de Juillet 2019, j’ai fait quelques petites modifications sur le sujet.

Pour ceux qui ne seraient pas au courant, de la lecture :

Y’a d’autres failles non màj, dévoilées par un autre dév :

voili, voilou.

Je viens de faire quelques màj importantes. :stuck_out_tongue:

2 J'aime

Tiens @PengouinPdt, je ne sais pas si tu as vu passer cette dépêche sur LinuxFR : Bien démarrer avec GnuPG

Je suis loin d’être un spécialiste du sujet, plutôt un « simple utilisateur », mais je l’ai trouvée vraiment abordable.

1 J'aime

Merci pour la dépêche ; il me semble qu’il donne pas mal d’informations intéressantes.
Le seul point qui me fait achopper est au début où il déclame clairement que :

« C’est l’étape où la plupart des « tutos » consacrés à GnuPG se fourvoient, et noient l’aspirant utilisateur sous une foule de « conseils » mal avisés, inutiles voire dangereux. ».

Tous les articles sérieux que j’ai pu lire en anglais précisent justement le contraire !
Mais depuis le temps, je dois certainement/apparemment me tromper.
Il est vrai que des articles un temps sérieux comme celui de la communauté riseup était à jour, et très sérieusement fait… dans l’état de l’art, aujourd’hui, suivre toutes les recommandations telles quelles peut en effet être inadéquate.

De même que dire que générer une clé 2048 bits suffit, pas besoin de plus… Il loue les paramètres par défaut !

« euh, comment dire ? » oui, c’est vrai, mais c’est un minima.

Quand je vois que SHA1 est autorisé, par défaut - c’est surprenant, même si je sais bien que ce sont les algorithmes plus forts reconnus en premier qui seront utilisés.

L’article de la FSF dit :

Assurez-vous également que votre clé soit d’au moins 2048 bits, ou même 4096 pour une dose de sécurité supplémentaire.

Personnellement, mon choix est vite vu : RSA 4096, par défaut, et je privilégie ed25519 autant que possible. Parfois certains contextes ne le permettent pas.
Je suis étonné de sa manière de générer une clé ed25519 et celle que j’ai apprise.


Aujourd’hui, les serveurs SKS ne sont plus recommandés, il dit pourquoi en effet, mais laisse le choix avec le serveur de clé d’openpgp.org, expliquant aussi pourquoi. Son grand reproche est la centralisation - un seul point d’attaque ; mais c’est aussi vrai pour la génération de certificats TLS avec la référence actuelle qu’est Let’s Encrypt.
Certes, il faut être conscient de cet aspect…


Voilà ce que j’utilise comme configuration actuellement :
https://doc.huc.fr.eu.org/fr/sec/gpg/gpg-usage-securise/


Bref, à chacun de voir, d’y réfléchir et d’utiliser, sachant qu’actuellement, je connais d’aucuns qui ne veulent même plus/pas l’utiliser parce que ce n’est pas simple à utiliser.
Quant à « évangéliser » : au secours, c’est le grand désert ; seuls ceux qui ont un intérêt à la sécurité l’utilise réellement.

1 J'aime