Re: [debutant] Emails crypte

Tue, 01 Jan 2002 17:03:19 -0800 

Salut la liste

Suite � un petit dialogue (et de petits essais) hors liste entre Rigil 
Kentaurus et moi m�me (nono) et en accord avec lui, je diffuse sur la liste 
le fil de discussion qui m'a permis de mettre en oeuvre des mails crypt�s.

Nous esp�rons que d'autres membres de liste int�ress�s par le crytage de 
mails trouveront les informations qui leurs seront n�cessaires afin de mner � 
bien leur configuration.

ATTENTION cela va �tre long, il y a eu plusieurs messages. Les 3 principaux  
sont retrac�s; les voici:

x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x
x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x

1er mail paru sur la liste (R�ponse de Rigil � Alain):
Le message a �t� sign� par Rigil Kentarus <[EMAIL PROTECTED]>
Le Lundi 24 D�cembre 2001 14:52, vous avez �crit :

>�> je voudrais envoyer un email crypte avec kmail, pourriez vous m'aidez a
>�> comprendre a faire que cela fonctionne !?
>
>�Il faudra utiliser pgp ou gpg, tous 2 reconnus par KMail ...

Suite � ma r�ponse au mail d'Alain Siani hier apr�s-midi, j'ai re�u une
dizaine de demandes (directement, sans passer par la liste) d'aide �
l'installation de PGP.
Le sujet serait-il sensible ?
Cette synth�ses int�ressera peut-�tre quelques autres abonn�s de la liste.
Pour une fois que je peux r�pondre � une question ici, au lieu d'en poser (et
que gr�ce au passage du P�re No�l "Junior" me laisse jouer avec
l'ordinateur)...

Question : pourquoi crypter ?
R�ponse : qui aurait la dr�le d'id�e d'�changer des cartes postales avec son
notaire ou son avocat ? les cartes postales dont je parle �tant utilis�es
pour r�gler le probl�me de l'h�ritage de Tante Ad�le... Un mail non crypt�
est une carte postale que chacun peut lire. Si c'est normal ici, en d'autres
circonstances, par contre...
Et je ne parle pas seulement de cet h�ritage ou du Secret D�fense ! La
correspondance intime entre deux amoureux ne regarde qu'eux, sauf s'ils
communiquent via un forum plus ou moins "chaud"...

Q : PGP ou GnuPG ?
R : pour une utilisation basique et non professionnelle (crypter et / ou
signer des mails), qu'importe (il semblerait que les fonctionalit�s soient �
peu pr�s identique mais je n'ai pas encore effectu� de comparaison s�rieuse).
J'utilise PGP sous windows depuis pr�s de 10 ans mais j'ai l'impression
qu'ici, sur la banquise de Tux, GnuPG a plus d'adeptes. Mandrake nous livre
GnuPG sur ses CD alors...
D�tail pratique : sous linux, j'utilise les m�mes trousseaux de clef qu'avant
sous windows, sans aucun probl�me.

Q : o� les trouver ?
R : partout et plus particuli�rement sur http://www.pgpi.com et
http://www.gnupg.org�mais un moteur de recherche fournira probablement des
centaines d'autres adresses.

Q : l'utilisation d'un logiciel de cryptage est-elle l�gale ?
R : oui, dans le monde entier ou presque, depuis longtemps. En France aussi,
mais depuis peu. J'ai v�cu au loin pendant des ann�es et ne suis rentr� au
pays qu'il y a quelques mois, je n'ai donc pas vraiment suivi l'�volution de
la l�gislation ici. Mais je sais que depuis 2 ou 3 ans (me semble-t-il), il
n'y a plus d'obstacle juridique. Un lecteur avocat pourra probablement nous
donner les pr�cisions utiles (si n�cessaire).

Q : en pratique, comment faire pour utiliser ces outils ?
R : avant de commencer l'installation, il faut pr�voir du caf�, du coca, de
l'aspirine...
Mais non ! C'est une blague. Le m�lange caf� / coca, � doses �gales, fera
l'affaire. Laissons l'aspirine o� elle est, pour le moment. A moins d'en
avoir besoin � cause des abus d'hier soir.

---

Dans un premier temps, il faut installer PGP ou GnuPG (depuis un CD Mandrake
pour ceux qui les ont) et, pour se simplifier un peu la vie, GPA Gnu Privacy
Assistant (�galement sur CD Mandrake) pour la cr�ation et la gestion des
clefs. GPA car est le seul logiciel du genre que je connaisse pour le moment
sous linux (je n'ai pas encore eu le temps de d�couvrir tous ceux qui
figurent sur la page Frontend de Gnupg.org). N'oublions pas que je suis
encore en phase de migration win>lux...

1�re �tape : GPA, menu Clef, puis G�n�rer une clef
��������Une fen�tre surgit qui me demande d'indiquer un nom d'utilisateur. Je 
saisis
donc Rigil Kentarus et je clique sur "suivant"
��������GPA me demande maintenant mon adresse e-mail : je lui r�ponds
[EMAIL PROTECTED] et je valide par "suivant"
��������Nouvel �cran pour me demander un commentaire : va pour clef de 
d�monstration
et je valide par "suivant" (ce champ n'est utile que si l'on utilise
plusieurs clefs diff�rente et / ou plusieurs comptes e-mail)
��������Et un �cran de plus pour saisir le mot de passe : ici, il ne faut pas
h�siter � ne pas faire simple � condition de NE JAMAIS OUBLIER CE MOT DE
PASSE. Et je confirme par "suivant".
��������GPA me propose de cr�er une copie de sauvegarde. OUI !
Il faut savoir qu'� moins de disposer des moyens r�unis de la CIA, du KGB (je
sais, il a chang� de nom), du MOSSAD, et de quelques autres, IL SERA
IMPOSSIBLE DE LIRE LES MESSAGES SANS LA CLEF PRIVEE.
��������Enfin, GPA m'informe que la cr�ation de la clef est en cours avant de 
me
f�liciter pour avoir g�n�r� avec succ�s une clef d'une longueur de 1024 bits.

Quelques remarques � propos du mot de passe. Le mot de passe lui-m�me doit
�tre s�curis�. Ce ne sera donc pas une combinaison "nom-pr�nom", ni une date
de naissance, ni le nom du chat ou du chien. Il vaut mieux alterner mes
majuscules et des minuscules, ainsi que des chiffres et des lettres. Il faut
aussi que ce mot de passe soit relativement long (15 � 20 chiffres et
lettres, au moins).
Alors, comment s'en souvenir ? Un exemple ; la phrase "je m'appelle Rigil
Kentarus et je suis n� le 15 avril 1956 � New York, NY, USA" pourrait me
donner le mot de passe suivant : jmaRKejsnl15a56NYNYUSA. C'est assez complexe
pour que des outils du genre Crack (password cracker
ftp://ftp.cerias.purdue.edu/pub/tools/unix/pwdutils/crack) n'aient
pratiquement aucune chance de le trouver mais assez mn�motechnique pour que
je puisse m'en s'ouvenir facilement.

Allez, je m'offre une pause caf� avant d'admirer le r�sultat via le menu
Fen�tres, Editeur de trousseau.

Ma nouvelle clef est bien l�. Et GPA m'informe que la clef a une partie
priv�e et une partie publique...

Q : pourquoi une clef priv�e et une clef publique ?
R : la clef priv�e, je vais la garder pr�cieusement. Elle me servira � signer
mes messages et � d�crypter ceux que je re�ois. La clef publique, comme son
nom l'indique, sera communiqu�e � tous ceux qui en auront besoin et qui
l'utiliseront pour crypter les messages qu'ils m'enverront. Voici une de mes
clefs publiques (celle-l�, elle est utilisable, ce n'est pas la clef de d�mo
que je viens de g�n�rer):

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: PGP 6.5.3

mQGiBDcyhfoRBAD2/Duxykw9STzdnlwuHwyQ3wYfHt2JSNN3dg6GfPZ6Q0+MY/81
t/YxBA7AAlg5uf5f5NWs95C00Nfpic/Y9npfYXhO4/M9+3pN2DoGpXEAnIYEgMwZ
wG7XejZcIM5Cbe5LQoH1uozLGjKnIGmQ0MRpQjSsVGuy6C0YL+fXG55iYQCg/xDA
YY+sKl8Jty4040N+vjBTLY8D+wXbKTTIrcOp8em4zcINC+dRM5xRmXUIUkV+f02c
LdTX/6e43mpz2iWadK3A/hGEGigw4L06L+1k2VB6osnpIr4v9XmJOi+5wyAokT8u
cesWpBB6WaDVE+Mystk9PrWw9wjaMaJhy33MjIuILu61K21eaz9vuqprlTTc2RRl
iv6FA/4vqsv/u9bYJyqSzXny4scytpWOW2UwsVdGeu6bglx0b91OKs5XogkucBhc
oMT+vJUePVY+2L+JJLVngFA05C0kD9zHI6BawRELdYjS25R2vioiRhWKAarHHTOb
EPA3TPHZL4APsuyo4GNXzEFjOQ2v2J4smZ0R/gO3ha2NYrqiCrQuUmlnaWwgS2Vu
dGFydXMgPHJpZ2lsa2VudGFydXNAbWFpbGFuZG5ld3MuY29tPokATgQQEQIADgUC
NzKF+gQLAwIBAhkBAAoJEFE/rXW/y+CUiCAAn3Guk6z9I6FIOzE52ilX3lOOBupQ
AKCKZ3LUve7gL+VwX92hX/43WByl5LkCDQQ3MoX6EAgA9kJXtwh/CBdyorrWqULz
Bej5UxE5T7bxbrlLOCDaAadWoxTpj0BV89AHxstDqZSt90xkhkn4DIO9ZekX1KHT
UPj1WV/cdlJPPT2N286Z4VeSWc39uK50T8X8dryDxUcwYc58yWb/Ffm7/ZFexwGq
01uejaClcjrUGvC/RgBYK+X0iP1YTknbzSC0neSRBzZrM2w4DUUdD3yIsxx8Wy2O
9vPJI8BD8KVbGI2Ou1WMuF040zT9fBdXQ6MdGGzeMyEstSr/POGxKUAYEY18hKcK
ctaGxAMZyAcpesqVDNmWn6vQClCbAkbTCD1mpF1Bn5x8vYlLIhkmuquiXsNV6TIL
OwACAggAnjTQZvCfvDHgwfxJ4HrdujHZQXXttz190NLutVlda5OdvoaCGfTF6w4r
gfaPrvsHJUQpnvMAQAtROtlG2fw3qvuYUdHgMMDayGCgEvEEDHU1UwhkfHNw1DLK
ugoASZtqmFbXzIJdJwM9ZHM05DuKNjlAvFQp6Hot0bVwFzWNC12e6hxmC4zj9JBP
ovrpumL+7hWbEXBFD4MtgkvJJ001fxCEmE+OGb/S/PUf+DR0CRONInPHmWcwaZJ/
RRfZOOer0iSEC9oTGGEYA4qJ13RxX5JiFM2RhUoIm4og63Gt+SQKNw8V9ZgwIVNd
+zXuhiO7XtR2WqMNsPnqOUYlsqCUK4kARgQYEQIABgUCNzKF+gAKCRBRP611v8vg
lPtTAKC4CAXZz7W+nRdTqNNr2WfPNUXZXACdHm78Ad49AQlkiN+KWSNh3Vs+olg=
=Ifx5
-----END PGP PUBLIC KEY BLOCK-----

Q : comment envoyer un message crypt� ?
R : il faut commencer par se procurer la clef publique du destinataire. Pour
importer la mienne, une proc�dure simple sera de copier la clef, y compris
-----BEGIN PGP PUBLIC KEY BLOCK----- et -----END PGP PUBLIC KEY BLOCK-----,
de coller le tout via un �diteur dans un fichier /home/perso/PGP/importclef
par exemple, puis de retourner � GPA.
Direction l'�diteur de trousseau. Puis ic�ne Importer.
Puis importer depuis le fichier /home/perso/PGP/importclef. Et hop, c'est
magique ! Le trousseau contient maintenant mes clefs (publique et priv�e) et
celle (publique) de mon destinataire.

2�me �tape Direction KMail, maintenant.
Je commence par le menu Configuration, puis configurer KMail.
Sous idendit�, j'indique mon idendit� PGP : celle de tout � l'heure, Rigil
Kentarus, en ce qui me concerne.
Je passe ensuite � l'ic�ne S�curit�. Et je s�lectionne GNU Privacy Guard
comme outil de cryptage.
Dans les options, il ne faut JAMAIS CONSERVER LA PHRASE CLEF EN MEMOIRE.
Eventuellement, un petit tour par l'ic�ne Editeur, onglet G�n�ral, pour
cocher "Signer automatiquement les messages avec PGP".

Pour signer un message, j'utilise donc ma clef priv�e. Pour crypter un
message, je vais me servir de la clef publique du destinataire. Et pour
signer un message que je crypte, j'utilise ma clef priv�e et la clef publique
du destinataire.

Pour d�crypter un message que je re�ois, j'utilise ma clef priv�e et pour
v�rifier une signature, j'utilise la clef publique de l'�metteur du message.

Tout est clair ? Alors passons au concret !

3�me �tape : le test
Il faut r�diger un mail, activer le cryptage (un utilisateur r�gulier a
int�r�t � passer par la personalisation de la Barre d'Outil), l'envoyer et,
si tout va bien, on a une fen�tre � l'�cran qui demande de choisir la clef
publique � utiliser. Un dernier clic et c'est parti...

Si je n'en re�ois pas des centaines, je suis OK pour valider des
installations en r�pondant � des mails crypt�s avec ma clef publique.

Il n'y a donc rien de trop compliqu� pour une utilisation basique.
PGP fait bien d'autres choses encore, mais �a, c'est une autre histoire. Bien
trop longue pour �tre racont�e ici.

Une derni�re remarque : le droit � la protection de la vie priv�e est un
droit fondamental. La cryptographie est un moyen de d�fendre ce droit. Et ce
droit ne s'use que si l'on ne s'en sert pas.

Pour en savoir plus, un bon point de d�part sera
http://fr.dir.yahoo.com/informatique_et_internet/securite_et_cryptage/.

Bien plus complet, tous ceux qui lisent Shakespeare en VO iront � l'adresse
suivante
http://dir.yahoo.com/Computers_and_Internet/Security_and_Encryption/�car les
am�ricains (� cause de leur histoire et de leur constitution ?) sont
infiniement plus sensibles que nous � ce sujet.

J'esp�re que ces quelques longues lignes seront utiles � quelqu'un et que les
autres ne m'en voudront pas trop pour la taille de ce message.

Joyeuses f�tes

RK

Fin du message PGP

x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x
x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x

2�me mail, paru hors la liste. Sur le mail suivant, figurent des questions 
pos�es par nono � Rigil et les r�ponses (R�ponse mail de Rigil � nono):
Le message a �t� sign� par Rigil Kentarus <[EMAIL PROTECTED]>
R�ponse au message de Dimanche 30 D�cembre 2001 01:10,
Envoy� par nono,
Ayant pour sujet : essai suite � ton mail sur liste mandrake

Salut nono,

>�Je viens t'emb�ter avec mes essais de mails crypt�s (suite � ton mail sur
>�liste mandrake).

Pas de probl�me, je l'ai propos�.

>�Bien s�r j'ai fait quelques essais perso avant, mais j'ai un doute.
>�J'ai mis un analyseur de r�seau (ethereal) sur mon lien ppp et j'ai
>�l'impression que mes messages sens�s �tre crypt�s ne le sont pas (mais peut
>��tre est-ce d� � l'analyseur sur ma propre b�cane qui interpr�te le
>�r�sultat).
>
>�Je d�cide donc de me jeter � l'eau et de faire un essai avec toi si tu
>�acceptes (merci).
>
>�Mon mail est sens� �tre crypt� ???

Je ne sais pas, et ne peux pas savoir si tu as voulu le crypter. Tu l'as sign�
avec "ze first nono's key" que j'ai import�e sans la moindre difficult�. Tu
as donc install� le logiciel normalement.

>�J'ai coch� dans kmail "signer automatiquement les messages avec PGP".

Donc, au moment d'envoyer, tu dois avoir une petite fen�tre � l'�cran qui te
demande ton mot de passe PGP. A priori, c'est ce qui s'est pass�.

>�Si j'ai bien compris, le mail que je t'envoie est sign� avec ma cl� priv�e
>�et devrait �tre crypt� avec ta cl� publique que j'ai r�cup�r� sur la liste
>�mandrake. Or l�, je ne suis pas certain de proc�der correctement :-(

Le message que tu veux envoyer ne peut �tre crypt� que si tu le demande
express�ment.

>�Comment crypter avec ta cl� publique (que j'ai import�e dans GnuPA) mais
>�que je ne sais pas faire comprendre � kmail qu'il faut utiliser telle cl�
>�pubique pour rigil kentarus

Comme tu as import� ma clef sans probl�me, tu savais d�j� que ton
installation est correcte.

>�(pas trouver d'option dans la personnalisation de la barre d'outils).

Il faudra agir via l'�diteur de message, menu Configuration, sous-menu Barre
d'outils... Tu trouveras un petit cadenas dont la fonction est
"Activer/D�sactiver" le cryptage. Tu le place � droite du petit stylo K qui a
�t� ajout� par l'option "signer automatiquement les messages avec PGP". Et,
si tu veux crypter, avant d'envoyer le message, tu coches le cadenas, qui se
ferme.
>
>�Je te joins aussi ma cl� publique par la m�me occasion, au cas o� tu me
>�retournes un message crypt� avec ma cl� publique.

OK. Je vais envoyer le message en clair et en crypt�. Par la suite, si tu n'y
vois pas d'inconv�nient, je renverrai ce message via la liste car ces petites
pr�cisions pourraient �tre utiles � d'autres.

>�Voil� � + et merci (en attendant bon r�veillon ;-)

Le r�veillon ? Piti�, laisse-moi encore quelques heures avant de passer �
table encore une fois...

Cordialement

RK

Fin du message PGP 

x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x
x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x

3�me mail, paru hors la liste (R�ponse de Rigil � nono):
Message crypt�
Le message a �t� sign� par Rigil Kentarus <[EMAIL PROTECTED]>
R�ponse au message de Dimanche 30 D�cembre 2001 23:24,
Envoy� par nono,
Ayant pour sujet : nouvel essai de nono

>�Re-salut, j'ai bien re�u tes deux mails, le clair et le crypt�.
>�Aucun probl�me pour d�crypter ton mail, �a a fonctionn� pil-poil pour la
>�r�ception.
>
>�Pour l'�mission:
>�Effectivement, je n'avais pas le petit cadenas.
>�J'ai effectivement configur� la barre d'outils et fait la besogne.

Tout va donc pour le mieux dans le meilleurs des mondes, et � l'abri de tous
les indiscrets.

>�Je me suis envoy� un propre mail et je l'ai crypt�. Une boite de dialogue
>�(PGP) m'a demand� de s�lectionner la cl� publique du destinataire (il y en
>�a deux pour l'instant , la mienne et la tienne) -> j'ai choisi la mienne
>��videmment.
>�Tout est ok lorsque je m'envoie ce mail, je le re�ois bien et le d�crypte
>�bien.
>
>�Je fais donc un nouvel essai avec toi (j'ose abuser).

Mais non. C'est 100 dollars US par consultation :-)))

>�Il y a juste un petit truc qui me chiffonne: Quand je veux t'envoyer le
>�mail, je n'ai pas cette bo�te de dialogue PGP qui me demande de choisir la
>�cl� publique (autrement dit la tienne) si bien que je ne sais pas si le
>�message est �crypt� avec la bonne cl�.

KMail est un outil intelligent. Qui ne te demandera donc de choisir une clef
qu'en cas de doute. Celle que je t'ai envoy�e est li�e � cette adresse de
messagerie. Donc, quand tu m'�cris @mailandnews, que tu as ma clef publique
dans ton trousseau, et que tu veux crypter, KMail prend la d�cision qui
s'impose.

>�J'ai tent� un mail sur une adresse d'un pote qui ne m'a pas donn� de cl�
>�publique (et donc non d�clar� dans GnuPA). Si je valide le cryptage, la
>�bo�te de dialogue (PGP) fait de nouveau son apparition. Bien �videmment,
>�n'ayant pas de cl� publique pour lui cela ne risque pas de fonctionner.

Voir plus haut : il y a doute...

>�Alors pourquoi quand je te "mail" en cryptage je n'ai pas cette bo�te de
>�dialogue PGP ???
>�Kmail saurait directement associer la bonne cl� publique � la bonne adresse
>�email ?

Eh oui ! C'est beau la technique.

>�Si c'est le cas, pourquoi Kmail me demande de choisir une cl� quand je
>�m'envoie mon propre mail ? Il ne saurait plus associer ?

KMail et PGP r�unis savent que tu t'�cris � toi-m�me. La question qu'ils te
posent est donc : tu vas bien ? Tu veux vraiment faire �a ?

>�Quelquechose m'�chappe :-(

Mais non, plus maintenant :-)

Mais commes d'autres peuvent avoir les m�mes questions, il serai utile
d'envoyer ce message, et celui d'hier, sur la liste. Tu le fais ?

>�Je tente quand m�me de t'envoyer tout �a en crypt� (avec ta cl� publique je
>�l'esp�re). Si tu d�cryptes, c'est que Kmail fait bien l'association.
>�Pour bien faire, il faudrait faire un essai avec deux ou trois utilisateurs
>�diff�rents (des gars de la liste peut �tre).

Plus il y aura d'adeptes et d'utilisateurs du cryptage, plus nous d�fendrons
certaines libert�s auxquelles je tiens (mais je suis peut-�tre trop impr�gn�
de culture am�ricaine).

>�J'attends ta r�ponse pour voir si c'est ok.

C'est OK.

>�PS l'analyseur de r�seau (ethereal) me montre bien des messages crypt�s sur
>�le lien ppp.
>
>�Merci et a +
>�Nono

De rien,

Cordialement

RK

Fin du message PGP

x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x
x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x-x

Voil�, si vous avez lu jusqu'ici vous devriez � votre tour pouvoir cryter vos 
mails.

� +
Nono (et Rigil)


Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft?
Rendez-vous sur "http://www.mandrakestore.com";

Répondre à