GnuPG

DerniĂšre mise Ă  jour : 21/08/2003

    Voici un petit article pour vous initier aux joies de GnuPG qui vous permet de certifier (dans une certaine mesure) vos emails par une signature et meme de crypter ceux-ci. Le nom ne sera pas sans vous rappeller un autre produit : PGP. Vous vous en doutez, il ne s'agit pas d'un hasard. Je vais donc tenter de vous guider dans la procĂ©dure de paramĂ©trage et d'installation de GnuPG ainsi que son utilisation de base (signature, cryptage, etc ...). Vouis pouvez trouver le site officiel de GPG chez Gnu Ă  l'adresse suivante : http://www.gnupg.org/. Vous pouvez utiliser GnuPG sous Unix, Linux, Mac et Microsoft Windows. Cet article a bĂ©nĂ©ficiĂ© d'une petite mise Ă  jour concernant l'Ă©change de clĂ©s et leur signature. Les captures d'Ă©crans on Ă©galement Ă©tĂ© actualisĂ©es avec Evolution 1.4

    Commencez par tĂ©lĂ©charger la derniĂšre version Ă  l'adresse ci-dessus. Je prĂ©conise Ă  prĂ©sent de faire un peu de mĂ©nage afin de ne pas croiser plusieurs versions sur votre systĂšme. Ainsi les utilisateurs de debian taperont apt-get remove gnupg alors que les utilisateurs de systĂšmes RPMs feront un rpm -qa |grep -i gnupg ; rpm -e 'packages trouvĂ©s sur la commande prĂ©cĂ©dente et enfin les utilisateurs de gentoo : emerge gnupg.

    Pour installer le source que vous avez tĂ©lĂ©chargĂ©, les commandes classiques sont applicables, ainsi :

    Selon votre systĂšme, il devrait gentillement vous rĂ©pondre :

    Scandez alors les commandes habituelles : make ; make install ; ldconfig. Vous pouvez alors vĂ©rifier que la bonne version de gnupg est installĂ©e par la commande : gpg --version. Cela devrait vous retourner la version que vous avez tĂ©lĂ©chargĂ©. Si ce n'est pas le cas, vous avez sans doute oubliĂ© d'enlever la version binaire qui se trouvait sur votre systĂšme lors de l'installation. Voici ce que retourne une demande de version, notez toutes les mĂ©thodes supportĂ©es en bas :

    Vous ĂȘtes alors prĂȘt Ă  gĂ©nĂ©rer votre premiĂšre clĂ©. Notez que le Home de GnuPG est : ~/.gnupg qui est l'endroit oĂč vos clĂ©s seront stockĂ©es (ainsi que les clĂ©s publiques de vos correspondants). Tout comme avec SSH, vous disposez ici de clĂ©s privĂ©es et clĂ©s publiques. Ainsi, la clĂ© privĂ©e ne doit ĂȘtre transmise Ă  personne alors que la clĂ© publique est celle que vous allez envoyer Ă  vos correspondants pour authentifier vos messages.

    CrĂ©ez vos clĂ©s par la commande : gpg --gen-key. Nous allons ici gĂ©nĂ©rer une clĂ© de type DSA et ElGamal (utilisĂ©es pour signer et crypter vos messages) avec une rĂ©sistance de 2048 bits (jamais assez sĂ©curisĂ© ;) et sans expiration. Voici donc le rĂ©sultat de la console :

    Comme vous pouvez le remarquer, ce n'Ă©tait pas trop dur ! Assurez vous d'entre une passphrase qui soit suffisement longue et compliquĂ©e pour Ă©viter que quelqu'un ne puisse la dĂ©crypter, la principale raison Ă©tant bien sĂ»r la sĂ©curitĂ© de vos Ă©changes. Pour voir les clĂ©s disponibles dans votre HOME, tapez gnupg --list-keys. Une fois les clĂ©s gĂ©nĂ©rĂ©es, c'est une bonne idĂ©e d'envoyer la clĂ© publique, pour se faire, tapez gpg --keyserver wwwkeys.pgp.net --send-key frlinux@frlinux.net (remplacez mon adresse email par la vĂŽtre ;). Vous venez de dĂ©clarer votre clĂ© publique au monde.

    Je vais ici utiliser Evolution pour vous montrer comment signer des messages et les authentifier. Pour commencer, Evolution va chercher gpg dans /usr/bin, il faut donc changer cela vers /usr/local/bin/gpg dans les Outils/ParamĂštres/Autre de configuration (Tools/Mail Settings/Other). Vous pouvez ensuite paramĂ©trer votre compte email pour signer vos messages Ă  l'envoi, comme le montre la fenĂȘtre ci-dessous.



    Il vous faut maintenant taper votre message. Votre destinataire doit pour se faire avoir votre clĂ© publique. Il peut alors la trouver sur un serveur publique : gpg --keyserver certserver.pgp.com --search-keys frlinux@frlinux.net puis l'importer : gpg --keyserver certserver.pgp.com --recv-keys 0x81FCD7A0 . Voici un exemple de message qu'Ă©volution vous demande de signer avant l'envoi :



    Comme vous l'avez constatĂ©, Evolution vous demande de signer chaque message Ă  moins de cocher de se rappeller du mot de passe pour la session en cours, ce qui est plus que recommandĂ© en milieu professionnel. L'exemple ci-dessus vous a Ă©galement montrĂ© comment chercher et importer une clĂ©. Une fois la clĂ© tĂ©lĂ©chargĂ©e, il faut l'importer avec la commande suivante : gpg --import 'clĂ©'. Simple et efficace, cela vous permettra d'Ă©changer des emails sĂ©curisĂ©s entre utilisateurs. Il est important de signer la clĂ© une fois reçue, sans cette Ă©tape, il ne vous sera en effet pas possible de pouvoir dialoguer avec votre interlocuteur car le cryptage du message sera refusĂ©, vous devez donc faire ceci : gpg --sign-key email@domaine.org. Vous devez vĂ©rifier l'autenticitĂ© de la clĂ© avec lui de prĂ©fĂ©rence par IRC ou tout autre moyen. Voici la procĂ©dure de signature :
Voici à présent un exemple d'email signé et crypté par GPG :



    Je vais maintenant couvrir rapidement le cryptage de donnĂ©es. Disons que vous transmettiez un contrat de travail par email et que vous voulez ĂȘtre sĂ»r qu'il ne sera pas consultĂ© par tout le monde, tapez votre email et activez l'option crypter. Votre destinataire recevra alors un message pour lequel la passphrase doit ĂȘtre indiquĂ©e, il ne sera sinon pas possible de consulter le message.



    Enfin, voici la mĂ©thode pour exporter une clĂ© si vous voulez la mettre Ă  disposition de vos correspondants : gpg --export -a frlinux@frlinux.net > frlinux_public_key.asc. La clĂ© est disponible ici. Pour l'importer, il vous suffit d'un : gpg --import /home/stephane/frlinux_public_key.asc. Et voici le rĂ©sultat :

    Si vous obtenez le message plus bas, c'est que vous ne possĂ©dez pas la clĂ© de la personne Ă  qui vous tentez d'envoyer un message cryptĂ©. Il faut donc lui demander sa clĂ© publique avant de poursuivre.



    Enfin, si vous tentez d'envoyer un message Ă  une personne dont vous avez la clĂ© mais ne l'avez pas signĂ©e, vous obtiendrez le message ci-dessous, si tel est le cas, reprenez la section un peu plus haut pour signer la clĂ© de votre correspondant. Le partie en gras du message ci-dessous vous donne une indication de ce qui se passe :

    Vous ĂȘtes maintenant parĂ©s pour commencer vos Ă©changes semi-sĂ©curisĂ©s dans le monde de GPG. Sachez que le serveur officiel contient de nombreuses documentations qui expliquent Ă©galement comment Ă©changer des clĂ©s et des emails avec des utilisateurs de PGP.