Docs

Bilan la soirée GPG

Charles , le samedi 6 décembre 2003

GnuPG est un outil de cryptage et de signature. Il permet de crypter
des données selon différents types de cryptages (à clés simples ou publiques),
comme des fichiers, des mails ... et de les signer.

Pour en savoir plus, vous tenir au courant des évolutions ou le télécharger rendez-vous sur le site officiel.

Dès lors ses usages sont les vôtres !
- Signature électronique d’un document ou d’un fichier (pour en assurer la provenance par exemple).
- Confidentialité de votre correspondance mail (lors de l’ envoi d’un mail celui ci est copié sur les multiples serveurs de vos fournisseurs d’accès, et la loi les autorise à les conserver plusieurs mois).
- Nécessité de protéger vos données et échanges : secret professionnel, données sensibles....
- Pour les accros de la sécurité gpg vous permet de soigner votre paranoïa avec des outils et des options faites pour cela...

Au programme de cette soirée

Création de clé

[toto@pc-00073 toto]$ gpg --gen-key
gpg (GnuPG) 1.2.3; Copyright (C) 2003 Free Software Foundation, Inc.
This program comes with ABSOLUTELY NO WARRANTY.
This is free software, and you are welcome to redistribute it
under certain conditions. See the file COPYING for details..............

Présentation des différentes composantes d’une clé, et du duo clé publique/ clé privée

gpg --list-key<code>
<code>gpg --fingerprint

certificat de révocation : gpg --gen-revoke

Constitution et gestion d’un trousseau de clés

[toto@pc-00073 toto]$ gpg --recv-key
gpg: clé 92FIF2YD: clé publique "tartanpion <tarpion@nomansland.org>" importée
gpg:        Quantité totale traitée: 1
gpg:                       importée: 1
gpg --list-keys
gpg --list-sig
gpg --fingerprint

"Le graal" : la clé privée se trouvant dans .gnupg/ et ayant pour nom : secring.gpg

Vérification d’un fichier signé

[toto@pc-00073 toto]$ gpg --verify toto.sig toto
gpg: Signature faite ven 05 déc 2003 21:18:52 UTC avec une clé DSA ID 92FIF2YD
gpg: Bonne signature de "machin <machin@wanadoo.fr>"
gpg: vérifier la base de confiance
gpg: vérification à la profondeur 0 signé=0
ot(-/q/n/m/f/u)=0/0/0/0/0/1

Envoyer son id sur le serveur de clé et récupérer un id

[toto@pc-00073 toto]$ gpg --keyserver pgp.mit.edu --send-key 92FIF2YD
gpg: l'envoi à `pgp.mit.edu' s'est déroulé avec succès (résultat=200)
[toto@pc-00073 toto]$ gpg --keyserver pgp.mit.edu --recv-key 29906LM

Signature d’une clé

  1. Vérification de la fingerprint (papier et électronique) et carte identité.
  2. La sécurité de l’utilisation de GnuPG dépend principalement
    de l’utilisation que vous en faites.
    Respecter le formalisme de la vérification si vous voulez avoir un certain taux de
    confiance dans les données que vous gérez via cet outil.
  3. Quand on signe une clé (on l’ajoute dans son trousseau) il faut renvoyer la clé sur le serveur. si je signe tartanpion je renvoie sa clé sur le serveur.
gpg --sign-key 7U91K00D
gpg --keyserver pgp.mit.edu --send-key 7U91K00D

Merci à tous, avec mention spéciale pour sa patience à l’intervenant de la soirée.

Penser à rapporter votre clé gpg (et carte d’identité) pour la prochaine sgeg...

P.-S. :

- Pour la documentation une adresse sur le net : vilya.org/gpg
- Une autre adresse, cette fois plus généraliste.
- Pour le reste man gpg