J’ai d\u00e9cid\u00e9 de m’int\u00e9resser plus s\u00e9rieusement \u00e0 la cryptographie et plus particuli\u00e8rement au standard PGP (Pretty Good Privacy) et \u00e0 son impl\u00e9mentation GNU Privacy Guard (GnuPG ou GPG). Voici donc certains points \u00e0 consid\u00e9rer; en vrac, pour commencer \u00e0 d\u00e9fricher le sujet.<\/p>\n
Les cl\u00e9s viennent par paire, une priv\u00e9e, l’autre publique. Il existe plusieurs types de cl\u00e9s, en particulier, la cl\u00e9 de signature (signing key) et la cl\u00e9 de chiffrement (encryption key), la premi\u00e8re servant \u00e0 signer un mail (ou un contenu) et la seconde, \u00e0 le chiffrer.<\/p>\n Afin de s’assurer au maximum de la suret\u00e9 de ses cl\u00e9s, l’id\u00e9al est de g\u00e9n\u00e9rer les cl\u00e9s sur une machine n’ayant jamais \u00e9t\u00e9 connect\u00e9e au r\u00e9seau et sur un syst\u00e8me d’exploitation d\u00e9di\u00e9, \u00e0 jour et dont on aura au pr\u00e9alable v\u00e9rifi\u00e9 la somme de hashage du fichier iso utilis\u00e9 pour installer l’OS (il me semble que le point faible se situe alors dans le m\u00e9dia utilis\u00e9 pour r\u00e9aliser l’installation de l’OS, cl\u00e9 USB, CD, carte SD. CD et carte SD me semble moins susceptible d’\u00eatre compromis en amont, ou lors d’une utilisation sur un PC v\u00e9rol\u00e9.). Il est indispensable de v\u00e9rifier les sommes de hashage apr\u00e8s \u00e9criture de l’OS sur le support. Sur cette machine isol\u00e9e du r\u00e9seau, il convient alors de g\u00e9n\u00e9rer un ensemble de cl\u00e9 et plusieurs sous-cl\u00e9s (subkey). La cl\u00e9 ma\u00eetresse sera sauvegard\u00e9e sur plusieurs supports chiffr\u00e9s<\/strong>. Seul les sous-cl\u00e9s seront utilis\u00e9es. Enfin, l’id\u00e9al semble \u00eatre d’exporter les sous-cl\u00e9s sur une smartcard telle qu’une YubiKey. A d\u00e9faut d’une machine d\u00e9di\u00e9e \u00e0 la g\u00e9n\u00e9ration des cl\u00e9s, on pourra se limiter \u00e0 un syst\u00e8me live charg\u00e9 en RAM et coup\u00e9 du r\u00e9seau.<\/p>\n A priori, il semble envisageable et possible d’exporter les cl\u00e9s sur 2 smartcard : les sous-cl\u00e9s sur l’une des smartcards et la cl\u00e9 ma\u00eetresse sur l’autre. Cela pourrait peut-\u00eatre permettre de simplifier la signature de cl\u00e9s (implications en termes de s\u00e9curit\u00e9 de la cl\u00e9 ma\u00eetre ?). N\u00e9anmoins, je n’ai pas \u00e9t\u00e9 en mesure de trouver un t\u00e9moignage de l’utilisation d’une telle configuration lors de mes recherches.<\/p>\n Apr\u00e8s lecture de plusieurs articles sur le sujet, je commence \u00e0 avoir une vue d’ensemble du fonctionnement et de l’utilisation des clefs GPG. Il me reste donc \u00e0 passer \u00e0 la phase d’exp\u00e9rimentation et de mise en place afin de valider ma compr\u00e9hension du sujet et de v\u00e9rifier que rien n’a \u00e9t\u00e9 oubli\u00e9. GPG : comment cr\u00e9er une paire de clefs presque parfaite<\/a> – NextInpact J’ai d\u00e9cid\u00e9 de m’int\u00e9resser plus s\u00e9rieusement \u00e0 la cryptographie et plus particuli\u00e8rement au standard PGP (Pretty Good Privacy) et \u00e0 son impl\u00e9mentation GNU Privacy Guard (GnuPG ou GPG). Voici donc certains points \u00e0 consid\u00e9rer; en vrac, pour commencer \u00e0 d\u00e9fricher le sujet. Cl\u00e9 publique, cl\u00e9 priv\u00e9e Les cl\u00e9s viennent par paire, une priv\u00e9e, l’autre publique. … Continuer la lecture de « PGP – Premi\u00e8re exploration »<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[377],"tags":[46],"class_list":["post-3150","post","type-post","status-publish","format-standard","hentry","category-crypto","tag-cryptographie"],"_links":{"self":[{"href":"https:\/\/www.unicoda.com\/index.php?rest_route=\/wp\/v2\/posts\/3150","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.unicoda.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.unicoda.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.unicoda.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.unicoda.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3150"}],"version-history":[{"count":11,"href":"https:\/\/www.unicoda.com\/index.php?rest_route=\/wp\/v2\/posts\/3150\/revisions"}],"predecessor-version":[{"id":3224,"href":"https:\/\/www.unicoda.com\/index.php?rest_route=\/wp\/v2\/posts\/3150\/revisions\/3224"}],"wp:attachment":[{"href":"https:\/\/www.unicoda.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3150"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.unicoda.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3150"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.unicoda.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3150"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}La cl\u00e9 priv\u00e9e est \u00e0 \u00ab\u00a0prot\u00e9ger\u00a0\u00bb car celle-ci sert aux op\u00e9rations de d\u00e9chiffrement et de signature<\/del> (Maj: Incorrect, voir commentaire).<\/p>\nType de cl\u00e9<\/h6>\n
Confidentialit\u00e9 et g\u00e9n\u00e9ration des cl\u00e9s<\/h6>\n
Terminologie<\/h6>\n
\n
Limitations<\/h6>\n
\n
\u00c9tapes \u00e0 v\u00e9rifier<\/h6>\n
\n
Conclusion<\/h6>\n
\nAux lecteurs avis\u00e9s et sp\u00e9cialistes du sujet, n’h\u00e9sitez pas \u00e0 pointer d’\u00e9ventuelles erreurs ou zones d’ombre qui m’aurait \u00e9chapp\u00e9, et \u00e0 partager\u00a0 les ressources incontournables sur le sujet.<\/p>\nSources<\/h6>\n
\nClefs GPG :\u00a0 comment les stocker et les utiliser via une clef USB OpenPGP Card ?<\/a> – NextInpact
\nOffline GnuPG Master Key and Subkeys on Yubikey NEO Smartcard<\/a> – Simon Josefsson
\nGuide to using YubiKey as a SmartCard for GPG and SSH<\/a> – drduh
\nEmail Encryption with the Yubikey-NEO, GPG and Linux (Part 1<\/a>, Part 2<\/a>) – ankitrasto<\/p>\n","protected":false},"excerpt":{"rendered":"