Comme plusieurs d'entre vous ont eu l'air intéressé, voici quelques notions de cryptographie/cryptanalyse ainsi qu'un tuto sur le logiciel open source de chiffrement GPG pour ceux qui commandent sur le Deep Web. L'utilisation de GPG est fortement conseillée lorsqu'on surfe sur le deep, et en particulier au moment de fournir une adresse de livraison. D'ailleurs, vous aurez probablement constaté que la plupars des vendeurs l'utilisent et certains réclament explicitement dans leur profil que les conversations soient chiffrées.
Commençons par quelques notions de cryptographie/cryptanalyse :
Chiffrer un message/document/fichier/whatever, c'est le rendre illisible sauf pour qui de droit. Prenons un exemple tout bête. Voici un message que j'ai chiffré en utilisant une méthode toute simple :
fh phvvdjh hvw fkliiuh
Le message est incompréhensible. Pour le déchiffrer, il vous faut une information secrète que vous partagerez avec votre correspondant. Cette information s'appelle une clé (Retenez bien ce terme, c'est un concept fondamental en cryptographie). En l'occurence c'est vraiment un truc ultra simple, certains d'entres vous l'auront peut être tout de suite vu : il s'agit d'un bête décalage dans les lettres de l'alphabet, en l'occurence +3 (c'est à dire que A devient D, B devient E, C devient F, etc...). En inversant le processus, on tombe sur le message original :
ce message est chiffre
Un des enjeux de la cryptographie, c'est d'assurer la sécurité du message. Donc forcément, s'il y a des gens soucieux de protéger leurs communications, il y a en général pas très loin des gens soucieux de péter le chiffrement qui protège ces données. C'est ce qu'on appelle la cryptanalyse. C'est retrouver « de force » le message original à partir du seul message chiffré. Dans l'exemple ci dessus, c'est très simple : il suffit de faire une analyse statistique de la fréquence de chaque caractère et de comparer ensuite à la fréquence des caractères dans la langue supposée. Concrètement : en français, la lettre la plus utilisée est la lettre E. Dans le message chiffré (fh phvvdjh hvw fkliiuh), vous pouvez constater que la lettre qui revient le plus souvent est la letttre H (5 fois) suivi du V (3 fois). Si la lettre H revient souvent et si on suppose que le texte est en français, il est très probable qu'elle soit associée à la lettre E. En extrapolant aux autres lettres, on arrive à deviner la clé et à casser le chiffrement.
Aujourd'hui, avec l'avènement de l'informatique, un tel processus de chiffrement est devenu bien sûr complètement obsolète. Concrètement, dans un ordinateur, un fichier, quel qu'il soit, n'est qu'une suite de 0 et de 1 (des bits). Chiffrer un documents consiste donc à modifier sa séquence de bits en une autre séquence illisible par l'ordinateur (Par exemple 01101101 (lisible) --> chiffrement --> 10101110 (illisible)).
Maintenant, voyons quelques grandes méthodes de chiffrement, et en particulier le chiffrement symétrique :
Le chiffrement symétrique, c'est lorsque la même clé est utilisée pour le chiffrement et le déchiffrement. Voici un exemple : vous avez votre document en clair (10111001). Vous commencez par générer une clé. En l'occurence, vous générez un ensemble de bits totalement aléatoire de la même taille que votre document (par exemple 01101101). Vous appliquez ensuite la fonction XOR (eXclusive OR, c'est à dire OU exclusif). La fonction XOR renvoie 1 si les deux bits en entrée sont différents et 0 s'ils sont identiques. Voici ce que ça donne :
La séquence du document chiffré sera donc 11010100. Cet algorithme de chiffrement est mathématiquement impossible à casser car avec le document chiffré seul, il est impossible de retrouver la séquence d'origine à coup sûr. Par contre, celui qui possède la clé a juste à appliquer la fonction XOR pour retrouver le document d'origine :
En pratique, cet algorithme n'est pas utilisé car il impose la génération d'une clé de la même taille que le document. Là , j'ai pris un exemple simple avec un « fichier » de 8 bits (1 octet), mais si vous voulez chiffrer un disque dur de 1 téraoctet (mille milliard d'octets, multiblié par 8 pour l'avoir en bits), il vous faut une clé de la même taille. C'est juste ingérable comme système. Aujourd'hui, il existe des algorithmes très sécurisés et beaucoup plus maniables qui necessitent des clés plus petites. Mais je ne vais pas développer d'avantage parce que ça devient trop technique pour moi. Juste retenez que tous les algorithmes symétriques ont comme point commun que la même clé est utilisée pour le chiffrement et le déchiffrement.
Or ce système a un très gros problème de sécurité : il repose entièrement sur l'existence d'un secret partagé, c'est à dire sur la nécessité que les deux personnes se mettent d'accord sur une clé sans qu'elle ne soit interceptée par un tiers (compromission de la clé). Concrètement, je veux communiquer avec un correspondant. Je (ou il, peu importe) génère une clé. Pour qu'il puisse lire les documents chiffrés que je lui envoie et réciproquement, il faut que je lui transmette cette clé. Mais si je chiffre mes documents, ça veut dire que je considère que notre canal de communication n'est pas fiable. Donc je ne peux pas envoyer la clé sur ce canal, il faut que j'en trouve un autre (rencontre physique, mais compliqué si les correspondants sont éloignés géographiquement, etc).
C'est pour pallier à ce problème qu'on a inventé le chiffrement assymétrique (aussi appellé chiffrement à clé publique) :
Le chiffrement assymétrique, c'est un joyau de la cryptographie. ça consiste à séparer les processus de chiffrement et de déchiffrement et se base sur l'existence cette fois de deux clés. 1er point important : Ce qu'une clé chiffre, l'autre le déchiffre, et vice versa. 2em point important : En aucun cas une clé ne peut déchiffrer ce qu'elle a chiffré.
Prenons un exemple concret : Je veux communiquer avec un pote. Problème : impossible d'utiliser le chiffrement symétrique pour les raisons évoquées plus haut. 1 : Je commence par générer 2 clés de mon côté. Mon correspondant fait pareil du sien. 2 : Je déclare qu'une des deux clés servira au chiffrement et je la rend publique. Mon correspondant fait pareil. L'autre clé est déclarée privée. Je ne dois la communiquer à personne, elle n'a pas besoin de sortir de mon ordinateur. 3 : Mon correspondant et moi même nous envoyons nos clés publiques respectives sur le canal non sécurisé. 4 : Je veux envoyer un message à mon correspondant. Je le chiffre avec sa clé publique. Le message est en sécurité puisque si un pirate a intercepté la clé publique, il ne pourra pas déchiffrer à cause du 2em point. 5 : mon correspondant peut déchiffrer le message à l'aide de sa clé privée (1er point).
Mais problème : si je sème ma clé publique aux quatre vents, qu'est ce qui empêche un correspondant malveillant de m'envoyer des messages chiffrés en se faisant passer pour mon pote ? Eh bien le chiffrement assymétrique permet également en théorie de prévenir ce genre de situation via le procédé de signature. Reprenons la situation d'avant : 1 : Je commence par générer 2 clés de mon côté. Mon correspondant fait pareil du sien. 2 : Je déclare qu'une des deux clés servira au chiffrement et je la rend publique. Mon correspondant fait pareil. L'autre clé est déclarée privée. Je ne dois la communiquer à personne. 3 : Mon correspondant et moi même nous envoyons nos clés publiques respectives sur le canal non sécurisé. 4 : Je veux envoyer un message à mon correspondant. Je commence par signer le message. Concrètement, je lui associe une copie du message que j'ai chiffré avec ma clé privée (signature). Ensuite, je chiffre le tout avec sa clé publique. 5 : Mon correspondant reçoit mon message chiffré. Il le déchiffre avec sa clé privée, puis il déchiffre la signature avec ma clé publique (Point n°1). Il compare ensuite le message avec la signature pour voir si ça concorde. Si ça ne matche pas, ça veut dire que le message a été modifié entre le moment de la signature et du chiffrement, ou alors que quelqu'un essaie d'usurper mon identité.
Passons maintenant à la pratique, le tutoriel sur l'utilisation de Gnu Privacy Guard, alias GPG
GPG est un logiciel de cryptographie largement utilisé sur le deep web. Il est utilisé notamment pour chiffrer les coordonnées postales d'un client lorsqu'il passe commande. Il est open source. C'est d'ailleurs fondamental en sécurité : un logiciel de crypto sécurisé est nécessairement open source (donc gratuit). Ça veut dire que son code source est libre et que n'importe qui peut le vérifier et le compiler lui même. C'est important parce que n'importe qui peut vérifier qu'il n'y a pas de backdoor (= failles de sécurité volontairement implantées par les développeurs dans un logiciel). Son frère est PGP (Pretty Good Privacy), mais celui ci est propriétaire pour des raisons juridiques. Contrètement GPG permet de chiffrer en assymétrique. Le chiffrement symétrique est possible, mais inutilisé sur le Deep Web. Je ne vais donc pas m'attarder dessus.
GPG fonctionne avec un trousseau. C'est en quelque sorte la base de données du logiciel. Lorsque vous générez une paire de clés, elles sont ajoutées automatiquement au trousseau. Si vous voulez donner votre clé publique à un correspondant, vous devez préalablement l'exporter. De la même manière, lorsqu'un correspondant vous donne sa clé publique qu'il aura préalablement exporté, vous devez l'importer pour l'ajouter à votre trousseau et pouvoir l'utiliser. Concrètement, sur le deep web, la plupars des vendeurs possèdent une clé publique (appellée dans le millieu clé PGP). Elle se trouve soit sur leur profil, soit ils vous la donnent sur demande par MP.
Voici à quoi ressemble une clé publique que j'ai créé et exporté exprès pour l'occasion :
En ce qui concerne la clé privée, elle est conservée chiffrée à l'intérieur de votre ordinateur. Il est possible de l'exporter, et au niveau de la forme, elle ressemblerait comme la clé publique à un gros tas de caractères aléatoires et une balise -----BEGIN PGP PRIVATE KEY BLOCK-----, mais il n'est ni utile, ni même souhaitable de l'exporter. De toute façon, vous ne serez jamais confronté directement à votre clé privée, c'est l'ordi qui gère ça. J'en parle juste à titre purement informatif.
Vous pouvez télécharger GnuPG sur le site officiel, il est utilisable sur Windows, Mac et Linux. Cependant, si vous utilisez TOR et que vous commandez sur le deep web, je vous recommande plus que très, très fortement d'utiliser Linux (sur lequel il est installé par défaut il me semble), et pas mac ou pire, Windows, pour des raisons de sécurité (Windows, la vie privée, toussa toussa).
Après, tout dépend du degré d'utilisation que vous prévoyez.
Si vous n'avez pas envie de vous embarasser à installer Linux sur votre PC.
La meilleure solution, ça serait d'installer tails (voir note en bas du post) sur une clé USB bootable à partir du site officiel. D'une façon générale d'ailleurs, je vous recommande d'utiliser tails quand vous voulez naviguer sur internet, qu'il soit question de commander de la drogue ou pas. gpg est installé par défaut sur tails. Dans ce cas, vous n'avez pas besoin de créer votre propre paire de clé. Notez cependant que vous ne pourrez pas signer vos messages car vous n'avez pas de clé privée pour le faire. Notez aussi que si vous n'avez pas de clé publique, le vendeur ne peut pas chiffrer ses propres messages.
Sur tails, ouvrez un terminal et entrez "gedit". Ça ouvre un éditeur de texte. Copiez collez la clé publique (par exemple celle que je vous ai mis ci dessus, avec les balises -----BEGIN PGP PUBLIC KEY BLOCK----- et -----END PGP PUBLIC KEY BLOCK-----). Enregistrez sans mettre d'extension, par exemple "public_key", dans le dossier Tor Browser (c'est important. Pour des raisons de sécurité, Tails vous interdit l'accès en lecture et écriture à tous les autres dossiers). Fermez l'éditeur de texte. Il vous reste ensuite plus qu'à vous rendre là où vous avez enregistré la clé publique, et à double cliquer dessus. Vous aurez alors un message en bas comme quoi la clé publique a bien été importée.
Ensuite. Il faut vérifier la fiabilité de la clé que vous venez d'importer. En effet, de mon expérience sur le deep, beaucoup de vendeurs ne savent pas utiliser GPG correctement et mettent à disposition des clés publiques dont la sécurité laisse à désirer. Personellement, c'est un critère de sélection que je prends en compte dans le choix des vendeurs à qui j'achète. N'oubliez pas que c'est avec la clé publique du vendeur que vous allez chiffrer votre adresse postale. Concrètement, il y a deux choses qui sont importantes : l'algorithme utilisé pour la génération de la clé publique, et sa taille. Le couple qui offre la meilleure sécurité, c'est RSA 4096 bits. Les algorithmes différents de RSA ne sont pas sûrs, et les tailles de clé inférieures à 2048 bits ne sont pas fiables (2048, c'est déjà limite). Concrètement, pour savoir : après avoir rentré la clé, allez dans un terminal en écrivez :
gpg --list-keys
Cette commande permet d'afficher tout le trousseau. Vous devriez voir apparaitre toutes les clés publiques des développeurs de tails. tout en bas, vous devriez voir apparaître la clé importée. Dans le cas de la clé publique d'exemple ci dessus, vous devriez avoir les lignes suivantes :
Je vous ai mis en gras les informations importante. 4096 signifie que la clé est bien une clé 4096 bits et R signifie que l'algorithme utilisé est bien RSA. C'est de cette façon que vous pourrez vérifier la fiabilité de la clé.
Pour chiffrer sans signer, voici la procédure à suivre :
Commencez par écrire votre message dans un éditeur de texte quelconque (par exemple gedit). Sauvegardez le (par exemple sous le nom de "adresse_postale") dans le dossier Tor Browser (le seul répertoire auquel vous ayez accès, je vous le rapelle) Ouvrez un terminal et rentrez dans l'ordre les commandes suivantes : cd Tor\ Browser (Pour vous rendre dans le répertoire ou se trouve le fichier "adresse_postale") gpg --armor --recipient tuto_gpg --output adresse_postale_chiffree --encrypt adresse_postale
GPG va vous créer un nouveau fichier appellé adresse_postale_chiffree à côté du fichier adresse_postale. Dans le même terminal, rentrez finalement :
gedit adresse_postale_chiffree
et magie, votre adresse postale chiffrée apparaît sous vos yeux embués par l'émotion. À titre d'exemple, j'ai chiffré l'intégralité de ce post à l'aide de la clé publique sus-cité. Je vous copie colle le résultat à la fin du post pour vous donner une idée du résultat que vous devriez obtenir.
Ensuite, c'est très simple : vous copiez collez le contenu du fichier adresse_postale_chiffree (Avec les balises), et vous le collez sur le market dans la boîte de dialogue du vendeur au moment d'envoyer votre adresse. Pour le déchiffrement, c'est le vendeur qui s'en occupe. Si vous êtes inquiets, n'hésitez pas à demander dans votre message un accusé de réception.
Après, si vous voulez chiffrer toutes vos communications avec le vendeur et signer vos messages, il vous faut créer votre propre paire de clés. Cette fois, tails ne peut pas vous aider car c'est un système d'exploitation amnésique. Lorsque vous l'éteindrez, vous perdrez tout ce que vous avez mis dessus, y compris vos clés. Je sais qu'il est possible de le rendre partiellement persistant, mais je l'ai encore jamais fait. À la limite, je pourrai toujours complèter ce tuto au fur et à mesure que j'apprends moi même. Mais là , ça devient un peu plus compliqué parce que l'utilisation va dépendre de votre OS. Grosso modo, il y a deux écoles : le mode graphique de GPG, principalement utilisé sur Windows et Mac, et l'école lignes de commandes, plutôt pour Linux (ce qui est de mon avis totalement subjectif plus sécurisé. D'ailleurs, Tails est une distibution Linux). Personellement, je suis plus à l'aise avec les lignes de commandes, mais je peux comprendre que ça ne soit pas le cas pour tout le monde. Du coup, plutôt que d'écrire encore 15 pages de tuto, dites moi ce que vous préférez.
*** Petit topo sur tails. tails signifie The Anonymous Incognito Live System. C'est un système d'exploitation qui n'est pas conçu pour être installé sur un ordinateur. il est prévu pour être installé sur une clé USB car il n'est conçu que pour la navigation internet. Vous branchez la clé sur l'ordi éteint, vous allumez, vous rentrez dans le bios et vous bootez sur la clé. Tails est un système d'exploitation hautement sécurisé. Le pare feu est déjà configuré, l'OS usurpe par défaut toutes les adresses mac, tails fait passer tout le trafic internet par TOR (Donc il y a un TOR browser, c'est même le seul navigateur installé), et surtout, c'est un système d'exploitation amnésique : il n'enregistre rien sur le disque dur et la RAM est remplie de données aléatoire à l'extinction. Ça a l'air d'être une usine à gaz dit comme ça, mais concrètement, ça se manipule facilement car tout est déjà configuré, vous avez juste à mettre les pieds sous la table. La procédure d'installation est très bien décrite sur le site officiel. Si vous avez des soucis, n'hésitez pas à poster.
À titre illustratif, voici ce que donnerait ce post s'il était chiffré avec la clé de chiffrement donné en exemple :
Wow, c'est plutôt complet et très informatif, c'est de la RDR 2.0. ^^
Merci d'avoir pris le temps de nous taper tous ça de façon bien lisible, c'est plus simple que les tutos que l'on peut parfois trouver sur le net. Merci encore et une bonne soirée à toi.
Nab
PS (après réflexion sans modif du message de base) : Tu serais pas aussi sur CPC ?
Dernière modification par Nab (23 août 2016 à 02:51)
La meilleure solution, ça serait d'installer tails (voir note en bas du post) sur une clé USB bootable à partir du site officiel. D'une façon générale d'ailleurs, je vous recommande d'utiliser tails quand vous voulez naviguer sur internet, qu'il soit question de commander de la drogue ou pas. gpg est installé par défaut sur tails.
Méthodique, j'ai donc essayé d'installer Tails sur une clef usb. Il est vrai que c'est avec mon portable de bureau, depuis chez moi. Il faut avoir Universal USB installer pour pouvoir transformer l'image" iso de tails " en "tails intermédiaire". Mais mon ordi me demande un privilège administrateur que je n'ai pas pour pouvoir exécuter Universal USB installer. Bref je vais dans un cyber point demain pour télécharger ce logiciel et continuer. A suivre.
Dernière modification par Bootspoppers (24 août 2016 à 01:21)
Salut tout le monde ! Merci pour vos messages, Je suis content si ça peut vous être utile. Du coup, voici la suite du tutoriel sur l'utilisation de GPG. Nous allons rentrer plus dans le détail et voir comment créer des clés
Mode graphique sur Windows (Ergonomie : +++, sécurité : ---)
Cette façon de faire est très pratique et vous permet de créer vos clés, de chiffrer et de déchiffrer en quelques clics. Néanmoins, je vous déconseille autant que possible cette méthode. Pourquoi ?
1 : Vous utilisez Windows, qui est un sytème d'exploitation propriétaire. On n'est donc pas à l'abris de backdoors implantées dans le système d'exploitation qui permettrait à la police ou aux services de renseignement de subtiliser votre clé privée ou vos messages avant qu'ils ne soient chiffrés. De plus, Windows se trimbale un certain nombre de casserolles à propos de la vie privée et de la collecte de données.
2 : Les utilitaires dit « ergonomiques » embarquent souvent une pléthore de fonctionnalités dont on ne sait bien souvent pas trop à quoi elle servent (et qui, de ce fait, ne servent pas). Ceci pose deux problèmes. Le premier, c'est l'alourdissement du code source. Or un code source complexe est plus susceptible de comporter des erreurs, qui sont potentiellement des failles de sécurité, qu'un code source simple. Le deuxième problème, c'est que l'utilité de toutes ces fonctionnalités est bien souvent obscure pour l'utilisateur, et mal renseignée sur les diverses documentation qu'on peut trouver. Du coup, il est très facile de mal configurer son logiciel et de générer des clés trouées par exemple. A titre d'exemple, j'utilise GPG en lignes de commandes, ce qui ne me nécessite que le logiciel GPG et point barre, et je m'en sors très bien. Je n'utilise pas tous les outils graphiques qui viennent se brancher dessus. Un jour, j'ai voulu essayer enigmail qui permet de chiffrer automatiquement les mails en utilisant GPG, le tout en mode graphique. Le logiciel m'a proposé des tas de règlages tous plus obscurs les uns que les autres pour l'automatisation du processus dont je n'avais pas besoin en temps normal. Or ils s'avéraient être déterminant pour la sécurité. Du coup, j'ai vraiment eu l'impression qu'enigmail transformait un logiciel qui au départ était simple en un truc compliqué.
3 : GPG est un outil qui est malheureusement mal configuré par défaut. Il est nécessaire de modifier le fichier "gpg.conf". Sur Linux, je sais ou il est, mais sur Windows ou mac, je ne sais pas ou il est foutu et je ne trouve pas l'info sur internet.
Téléchargement et installation : Step 1 : Rendez vous sur le site https://www.gpg4win.org Step 2 : téléchargez Gpg4win Step 3 : Dans le répertoire de téléchargement, éxécutez l'installeur. Suivez les instructions. À cette étape, vous n'avez pas de paramètres critiques à sélectionner ou pas. Faites comme vous le sentez. Veillez seulement à installer Kleopatra quand l'installeur vous le proposera.
Création d'une paire de clés Step 1 : Lancer Kleopatra Step 2 : File --> New Certificate Step 3 : Create a personal OpenPGP key pair (l'autre option, "create a X.509 key pair", c'est un exemple typique de la fonctionnalité dont je ne sais pas à quoi ça sert). Step 4 : Rentrez un nom (un pseudo quoi), et une adresse mail (je vous conseille une adresse fake). Je vous déconseille de rentrer un commentaire. En crypto, moins on en dit, mieux on se porte Step 5 : (TRES IMPORTANT) : Avant de cliquer sur next, cliquez sur "advanced settings" Un fenêtre s'ouvre : Cochez "RSA" et sélectionnez 4096 bits. Cochez "+ RSA" et sélectionnez 4096 bits. Vérifiez que "DSA" et "+ Elgamal" sont décochés. Vérifiez que "signing" et "encryption" sont bien cochés. Cochez "Valid until" et choisissez une date d'expiration. C'est la date à partir de laquelle la clé publique ne sera plus valable. Il est déconseillé de laisser une clé qui n'expire pas. Vous pourrez la changer plus tard, même après l'expiration. Cliquez ensuite sur OK, puis next Step 6 : tapez au clavier, naviguez sur internet, utilisez les disques, l'ordi utilise votre activité pour générer du hasard. C'est nécessaire pour l'utilisation de la clé. Ça peut prendre du temps. Step 7 : Rentrez un mot de passe FORT (c'est à dire pas azerty123). Un mot de passe à la fois fort et facile à retenir, ça peut être par exemple 2012Supersoiréeavecmonpotegérard#. Répétez votre mot de passe Step 8 : NE CLIQUEZ JAMAIS SUR "Make a Backup Of Your Key Pair". Ça a pour effet d'exporter votre clé privée. Votre clé privée est normalement conservée chiffrée à l'intérieur de votre PC et elle ne doit jamais en sortir. Si vous souhaitez, vous pouvez exporter votre clé publique sur un serveur de clé sur internet ("Upload Certificate To Directory Service"). Je vous conseille le serveur SKS. Step 9 : Finish
Importer une clé publique : Step 1 : Ouvrez un éditeur de texte Step 2 : Copiez collez la clé publique dedans. Sauvegardez, et fermez. Step 3 : clic droit --> Plus d'options GpgEX --> Importer des clés
Signer et chiffrer un document : Step 1 : clic droit --> signer et chiffrer Step 2 : Sélectionnez "sign and encrypt" (sign n'est disponible que si vous avez une clé privée) Cochez l'option "Text output (ASCII armor)" Step 3 : Sélectionnez la clé publique de votre correspondant et cliquez sur add, puis encrypt. Step 4 : Si vous avez choisi de signer, sélectionner votre (ou une de vos) clé privée. Ensuite, sign and encrypt. Step 5 : GPG vous génère un nouveau document. Modifiez l'extention en .txt pour pouvoir l'ouvrir avec un éditeur de texte. Step 6 : Ouvrez le fichier chiffré. Copiez collez le message (begin PGP message) dans la boite de dialogue de votre correspondant.
Déchifrer un document : Step 1 : Clic droit --> Plus d'options GpgEX --> Déchiffrer Step 2 : Decrypt file
Note : Kleopatra existe aussi sur Linux
Mode lignes de commandes sur Linux (Ergonomie : --- Sécurité : +++)
Note : toutes les lignes de commandes suivantes peuvent être utilisées dans tails. GPG y est installé par défaut. Mais n'oubilez pas qu'à moins de l'avoir rendu persistant, vous ne pourrez pas conserver vos clés dessus.
Ouvrez un terminal
Installation (si pas installé par défaut), nécessite d'être connecté à Internet : Sudo apt-get install gpg
modification du fichier de configuration : Step 1 : gedit .gnupg/gpg.conf (Normalement, c'est le bon chemin. Si ce n'est pas le bon chemin, essayez de trouver le fichier gpg.conf) Step 2 : Vous effacez tout le contenu du fichier, et vous le remplacez par ceci (Il s'agit du fichier gpg.conf de tails v2.5) :
# This is the server that --recv-keys, --send-keys, and --search-keys will # communicate with to receive keys from, send keys to, and search for keys on keyserver hkps://hkps.pool.sks-keyservers.net
# Provide a certificate store to override the system default # Get this from https://sks-keyservers.net/sks-keyservers.netCA.pem keyserver-options ca-cert-file=/usr/local/etc/ssl/certs/hkps.pool.sks-keyservers.net.pem
# Set the proxy to use for HTTP and HKP keyservers - default to the standard # local Tor socks proxy # It is encouraged to use Tor for improved anonymity. Preferrably use either a # dedicated SOCKSPort for GnuPG and/or enable IsolateDestPort and # IsolateDestAddr keyserver-options http-proxy=socks5-hostname://127.0.0.1:9050
# When using --refresh-keys, if the key in question has a preferred keyserver # URL, then disable use of that preferred keyserver to refresh the key from keyserver-options no-honor-keyserver-url
# When searching for a key with --search-keys, include keys that are marked on # the keyserver as revoked keyserver-options include-revoked
#----------------------------- # algorithm and ciphers #-----------------------------
# list of personal digest preferences. When multiple digests are supported by # all recipients, choose the strongest one personal-cipher-preferences AES256 AES192 AES CAST5
# list of personal digest preferences. When multiple ciphers are supported by # all recipients, choose the strongest one personal-digest-preferences SHA512 SHA384 SHA256 SHA224
# message digest algorithm used when signing a key cert-digest-algo SHA512
# This preference list is used for new keys and becomes the default for # "setpref" in the edit menu default-preference-list SHA512 SHA384 SHA256 SHA224 AES256 AES192 AES CAST5 ZLIB BZIP2 ZIP Uncompressed
Afficher le trousseau de clés (voir premier post) : gpg --list-keys
Création d'une paire de clé (À faire après avoir modifié le fichier gpg.conf) : Step 1 : gpg --gen-key Step 2 : Sélectionnez "RSA et RSA" Step 3 : 4096 bits, surtout pas moins Step 4 : (facultatif, mais conseillé) : rentrez une date d'expiration Step 5 : Rentrez un identifiant, une adresse mail si vous le souhaitez, et pas de commentaires (moins on en dit, mieux on se porte. D'ailleurs, notez que contrairement à Windows, Il n'y a que le nom qui est obligatoire) Step 6 : Rentrez un mot de passe FORT (cf Windows). Répétez votre passphrase Step 7 : Générez de l'entropie en utilisant l'ordinateur pour faire autre chose. La création de la paire de clé peut prendre plusieurs minutes.
Exportation de votre clé publique (reprise de l'exemple du 1er post) : gpg --armor --output ma_cle_publique --export tuto_gpg (le fichier ma_cle_publique se trouve dans le répertoire courant)
Importation de la clé publique d'un correspondant : Step 1 : Copiez collez la clé publique dans un éditeur de texte (par exemple gedit) et sauvegardez le (par exemple sous le nom de cle_publique_tartempion) Step 2 : Rendez vous à l'aide de la commande cd dans le répertoire où se trouve cle_publique_tartempion Step 3 : gpg --import cle_publique_tartempion
Signer et chiffrer : Mettons que vous voulez écrire à tuto_gpg. On fait ça en 2 temps : Step 1 : écrire le message dans un éditeur de texte et le sauvegarder, par exemple sous le nom de adresse_postale Step 2 (Signature) : gpg --armor --output adresse_postale_signee --clearsign adresse_postale Rentrez le mot de passe qui protège votre clé privée (je vous rapelle que la signature consiste à joindre au message une copie chiffrée avec votre clé privée. Il faut donc la dévérouiller) Step 3 (chiffrement) : gpg --armor --output adresse_postale_signee_chiffree --recipient tuto_gpg --encrypt adresse_postale_signee Step 4 : Ouvrez le fichier adresse_postale_signee_chiffree avecun éditeur de texte et copiez le dans la boîte de dialogue de votre interlocuteur
Déchiffrer : Step 1 : Copiez collez le message chiffré que vous avez reçu dans un éditeur de texte (Par exemple sous le nom de encrypted_message) Step 2 : Rendez vous dans le répertoire dans lequel se trouve encrypted_message à l'aide de la commande cd Step 3 : gpg --output message_clair --decrypt encrypted_message Step 4 : ouvrir avec un éditeur de texte le fichier nouvellement créé message_clair
Quelques conseils de bonne pratique :
- Les clés publiques, c'est bien, mais ça peut servir à vous identifier. Si vous fréquentez plusieurs market sous différents pseudos, mais que vous affichez la même clé publique dans vos différents proflils, il est facile de deviner qu'il s'agit de la même personne. Je vous recommande d'utiliser une paire de clés différente par market. - Etant donné que les vendeurs mettent souvent à disposition leurs clés publiques, évitez de donner la votre en clair, ce qui pourrait également vous être préjudiciable si un pirate ou les flics voient passer la même clé publique que vous donneriez à plusieurs personnes. Lorsque vous écrivez le premier message, joignez votre clé publique et chiffrez le tout avec la clé publique du vendeur. Ainsi, votre clé ne circule pas en clair et ne peut pas servir à vous identifier par corrélations. - Chiffrer son disque dur est une sécurité supplémentaire (Linux Ubuntu propose de chiffrer tout le contenu du disque dur à chaque extinction). S'il y a une descente de flic chez vous et qu'ils mettent la main sur votre matériel informatique, vos clés publiques peuvent servir à faire le lien entre vous et vos profils sur les market du deep web si vous les y avez publiées.
Je ferai peut être plus tard un tuto pour Mac, mais plus compliqué pour moi parce que je ne l'utilise pas du tout. Ceci dit, des démo que j'ai vu, c'est assez similaire à Windows.
Dernière modification par Yog-Sothoth (25 août 2016 à 02:29)
Il existe ici des tuto détaillé sur le DeepW. Je ne répond pas aux MP de ceux qui ne les ont pas lu.
Merci beaucoup. C'est du boulot ce tuto. J'ai hâte de le mettre en ouevre et plutôt la solution 2. Mais... Suite de mon aventure. J'ai réussi à installer tails ce soir.... Mais le wifi ne se connecte pas sur mon ordi avec tails, donc pas de tor browser. ( j'ai quand même tor sous Windows). Pas de tor sous tails: Pas de clef, pas de commande de mdma que je voudrai essayer.... Avec les compléments alimentaires que tu as analysés. Bref triste soirée. Je me console en te lisant. Mon prochain trip c'est mi septembre sous dxm, délai incompressible de 3 semaines. Ca va faire long... Bon je vais dormir car je pique du nez et j'y verrai plus clair demain. Encore merci Yog. Amitiés les amis.
Bootspoppers, tu peux accéder à tor sous tails mais la question est : as tu vraiment besoin de tails ?
Réponse : si tu veux devenir un vendeur sur un market : OUI ; Si tu veux acheter des petites quantités de tps en tps : NON (en tout cas, j'ai bcp recherché sur le sujet et se sont les conclusions que j'ai le plus lues.
Merci pour ton message Skenman.... J ambitionne effectivement l'achat et je suis d'accord avec toi. Mais je n'aime pas l'échec et je veux maitriser tails. Si tu as une idée pour que j'active mon wifi domestique ( c'est un pc du bureau et il est entièrement crypté mais je réussis a lancer tails quand même). Amitiés ... Je suis encore perché d'un bon plateau 1, car je n'ai pas tenu ma promesse de sobriété.
Bonsoir Finalement j'ai réussi à actionner le wifi sous tails! C'était une bête question de clavier azery passé en qwerty...avec un mot de passe masqué. Reste à faire le reste!
Bonsoir Finalement j'ai réussi à actionner le wifi sous tails! C'était une bête question de clavier azery passé en qwerty...avec un mot de passe masqué. Reste à faire le reste!
GG !
Note que tails usurpe par défaut les adresses MAC. Ça peut poser des problèmes si tu veux te connecter à une wifi qui filtre les adresses mac. mais c'est un paramètre qu'on peut changer au démarage.
Il existe ici des tuto détaillé sur le DeepW. Je ne répond pas aux MP de ceux qui ne les ont pas lu.
Je travaille à un tuto sur OSX. Mais c’est plus compliqué que sous Windows.
Si t’as un peu de temps pour me donner un coup de main, merci.
EDIT : sinon j’ai l’alternative BOOT CAMP, histoire de faire tourner mon USB Tails dessus, mais je ne trouve pas un lien de download correct pour récupérer Windows 7. Si tu as un lien pour down Windows 7 propre, je prends. Merci.
Dernière modification par bloodistory (23 novembre 2016 à 14:12)
Si t’as un peu de temps pour me donner un coup de main, merci.
A ton service. N'hésite pas à me MP !
bloodistory a écrit
EDIT : sinon j’ai l’alternative BOOT CAMP, histoire de faire tourner mon USB Tails dessus, mais je ne trouve pas un lien de download correct pour récupérer Windows 7. Si tu as un lien pour down Windows 7 propre, je prends. Merci.
Je n'ai pas compris ce que tu me demandes. Si tu as une clé tails, on s'en fout du système d'exploitation qui est installé sur ta machine. Tu as juste à booter sur ta clé usb à partir du BIOS et point barre.
De toute façon, je vais bientôt réécrire un nouveau tuto sur gpg et tails parce que j'ai appris pas mal de truc récemment qui valent la peine d'être partagés.
Dernière modification par Yog-Sothoth (02 décembre 2016 à 01:52)
Il existe ici des tuto détaillé sur le DeepW. Je ne répond pas aux MP de ceux qui ne les ont pas lu.
ce TUTO est d'enfer ...j'ai TOUT imprimé et meme si j'en connaissais les grandes lignes , il est fortement interressant .. .je le conseille pour ceux qui ne le font pas , sous prétexte qu ils ne connaissent pas les subtilités du monde du Crypto ...je vais reprendre des notes et refaire de l'entrainement après , à fin de bien gérer tout çà pour me rendre incognito dans le Darknet , un grand bravo à YOG-SOTHOTH ....
la mort ne viendra pas me prendre de mon vivant.... Fumier ....JE suis Toujours Vivant ....! PAPILLON .
Je vais probablement mettre à jour ce tuto. Notamment la persistance de Tails, dont je viens juste d'apprendre à me serviree et qui permet de conserver ses clés indéfiniment. C'est vraiment un bon compromis entre la sécurité et l'ergonomie.
De plus, la version gpg de tails 3.0 qui sortira dans 6 mois supportera la cryptographie par les courbes elliptiques (et les courbes elliptiques, c'est le bien !). Du coup, ouais, faudrait que je mette ce tuto à jour.
Mais en tout cas, je suis content que ça vous soit utile ^^
Dernière modification par Yog-Sothoth (09 décembre 2016 à 15:02)
Il existe ici des tuto détaillé sur le DeepW. Je ne répond pas aux MP de ceux qui ne les ont pas lu.
Oui, le dossier Persistant sur Tails est à configurer obligatoirement. Sinon tu perds tous tes fichiers, liens... près chaque déconnexion. Il faut le paramétrer lors de l’installation initiale. Pas certain que tu puisses le faire ensuite. A vérifier, je ne me souviens plus.
Dernière modification par bloodistory (09 décembre 2016 à 18:45)
Comme ce tutoriel a l'air d'avoir du succès, Je vais un peu l'approfondir. Ca sera un peu long, je m'en excuse d'avance, mais à la fin, vous aurez vraiment tout ce dont vous avez besoin. Il y aura trois parties dans ce post :
1 : Informations à propos des signatures et de l'authentification
2 : Tutoriel sur l'utilisation de GPG dans Tails en mode graphique - Configuration de la persistance - Ajouter une clé publique à un trousseau - Créer une paire de clés - Le certificat de révocation - Signer et chiffrer un document - Signer et chiffrer du texte - Déchiffrer et vérifier la signature de texte ou de fichier chiffrés - Les serveurs de clés - Signer la clé publique d'un tiers - Les sous-clés
3 : Comment vérifier qu'une clé publique est sécurisée, ou petit florilège des clés les plus pourries que j'ai pu trouver sur le deep web.
Prérequis : Tout ce que j'ai dit dans mes posts précédents
1 : Les signatures et l'autentification
Dans ce post, je vais pas mal parler de signature, chose que j'ai évoqué dans un de mes précédents post, mais sans rentrer dans le détail. Il me paraît donc important que cette notion soit bien comprise avant de parler de la suite.
Pour comprendre ce qu'est une signature en crypto, il est nécessaire de comprendre ce qu'est le hachage. Le hachage, c'est une fonction mathématique à sens unique. Si vous lui donnez en entrée un fichier ou un texte, il vous sort ce qu'on appelle un haché, qui est un nombre en hexadécimal (nombre en base 16). - Le haché est sensé être unique et spécifique à ce qu'on lui a entré. - Le haché tout seul ne permet pas de retrouver ce qu'on lui a entré.
Exemple. Soit le texte suivant : Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur. Excepteur sint occaecat cupidatat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum.
Son haché via l'algorithme md5 est edc715389af2498a623134608ba0a55b
Maintenant, soit le texte suivant (J'ai rajouté un espace supplémentaire au début de la deuxième phrase) : Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur. Excepteur sint occaecat cupidatat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum.
Son haché via md5 devient : dd1d7223282d3695a09b6243667f7f7e
Qui n'a rien à voir.
Ça a des applications particulièrement importantes en sécurité. Par exemple, lorsque vous vous connectez sur Psychoactif, vos mots de passe ne sont pas stockés en clair sur les serveurs (enfin… j'espère !). Ce qui est stocké, ce sont les hachés des mots de passe. Quand vous rentrez vos mots de passe, le serveur hache le mot de passe et compare le haché obtenu aux hachés qui sont stockés dans sa base de données. Ainsi, si PA se fait un jour pirater, le pirate ne pourra pas récupérer vos mots de passe puisque le hachage est à sens unique.
Dans le cas de GPG, c'est important pour les signatures. Lorsque vous signez, GPG commence par calculer le haché de votre message, puis il va ensuite chiffrer le haché avec votre clé privée, l'ensemble constituant la signature. Lorsque votre correspondant reçoit le message, il va commencer par déchiffrer la signature avec votre clé publique. S'il y arrive, ça veut dire que c'est bien vous qui avez émis le message, puisque vous seul possédez la clé privée. Ensuite, il calcule le haché du message et le compare avec le haché de la signature ce qui lui permet cette fois d'être sûr que le message n'a pas été modifié en cours de route.
Ça s'applique également lorsque vous signez la clé publique de quelqu'un d'autre (voir paragraphe sur les signatures des clés publiques). GPG calcule le haché de la clé publique, il le chiffre avec votre clé privée, et il associe le haché chiffré à la clé publique. Supposons que 10 personnes aient signé une clé publique. Si je veux vérifier les signatures, je déchiffre chaque haché avec les clés publiques des 10 personnes, je calcule de mon côté le haché, et je compare.
Il existe différents algorithmes de hachage, et tous ne se valent pas en terme de sécurité. Voici les principaux classés du plus fort au plus faible :
L' algorithme MD5 est aujourd'hui considéré comme obsolète et donc non sécurisé. En effet, on sait aujourd'hui produire à la demande plusieurs fichiers distincts qui ont exactement le même haché (On appelle ça une collision). Or comme un haché est sensé être unique et spécifique d'un document, ça pose évidemment des problèmes de sécurité (falsification/usurpation de fichier ou de mot de passe). Quant à SHA1, ça commence à puer et il est en voie d'obsolescence.
2 : Tails et GPG
Toutes les lignes de commandes exposées dans mon deuxième post de ce sujet sont directement applicables dans Tails. Les lignes de commandes, c'est bien, c'est cool, ça fait trop geek, mais ça peut faire peur ou être rébarbatif pour les personnes qui ne sont pas familiarisées avec l'informatique. Donc du coup, on va voir ici comment créer une paire de clés, chiffrer et signer simplement en mode graphique en quelques clics.
Petit rappel sur Tails. Tails est un système d'exploitation Linux basé sur Debian. Sa spécialité est la navigation internet et plus précisément, la sécurisation des activités liées à internet. A titre d'exemple, Tails dispose d'un pare feu stalinien déjà configuré, fait passer tout le trafic internet par TOR, dispose de tous les outils de cryptographie intégrés par défaut (dont GPG), d'un gestionnaire de mots de passe, d'un client email (thunderbird customisé) prenant en charge GPG de façon graphique, d'un client de messagerie instantanée chiffré (Pidgin), et d'un porte-monnaie bitcoin (electrum). Il n'y a aucun logiciel propriétaire dans Tails, tout est libre et open source.
A propos de GPG dans tails, vous n'avez pas à vous poser la question de sa configuration ou des algorithmes. GPG est déjà paramétré pour générer les meilleures clés actuellement possibles. De plus, il est régulièrement mis à jour par des spécialistes de la crypto et de la sécurité. Le fait de ne pas avoir à bidouiller GPG est également ce qui rend ce système d'exploitation ergonomique (Je dis ça par rapport à la vérification qu'une clé GPG est sécurisée dans la dernière partie).
Enfin, Tails est un système d'exploitation live. C'est à dire qu'il n'est pas prévu pour être installé sur la machine, mais sur un périphérique bootable (généralement une clé USB). Il est au contraire prévu pour ne laisser aucune trace sur la machine utilisée. Ceci a pour conséquence que Tails est un système d'exploitation amnésique : les données sont chargées dans la RAM uniquement, et rien n'est écrit dans le disque dur. Quand vous éteignez le système, vous perdez en principe tout ce que vous avez fait durant votre session tails.
Prérequis : 1 clé usb avec Tails déjà installé dessus avec au minimum 4Go dessus, voire plus si vous voulez stocker des fichiers. Il est Possible de rendre Tails partiellement persitant. En fait, ce qui se passe, c'est que vous créez dans votre clé USB un nouvel emplacement chiffré. Mais attention. Cet emplacement est visible : quelqu'un qui branche votre clé sur une machine quelconque peut voir qu'il y a un espace chiffré, même s'il ne peut pas rentrer dedans.
1 : Application > Tails > Configurer le stockage persistant
2 : Rentrez un mot de passe et confirmez-le. Étant donné que le mot de passe est masqué, si vous rentrez un autre caractère que ce que vous croyez écrire, particulièrement si vous utilisez des caractères spéciaux, vous ne pourrez pas rentrer dans votre volume persistant et vous serez bon pour tout recommencer (non, ce n'est pas du vécu XD) ! Je vous recommande de le rentrer en clair dans un éditeur de texte et de le copier-coller ensuite dans les deux rubriques.
3 : Choisissez ce que vous voulez rendre persistant
- Données personnelles : Si cette option est cochée, Tails vous créera un dossier "Persistence" dans votre "Espace personnel". Tous les fichiers enregistrés dans le dossier "Persistence" ne seront pas effacés à l'extinction. - GnuPG : à cocher (forcément). Cette option autorise la persistance de vos clés publiques et de vos clés privées. - Client SSH : le client SSH sert à contrôler des ordinateurs à distance sur lesquels sont installés des serveurs SSH. Si vous ne savez pas ce que c'est, c'est que vous n'en avez probablement pas besoin. - Pidgin : Client de messagerie instantanée chiffré par OTR (Of The Record) et torrifié (= passant par TOR). À cocher en fonction de vos besoin. - Icedove : Client email. Pour ceux qui connaissent, c'est le même logiciel que thunderbird développé par Mozilla, mais un peu customisé. Il comporte par défaut le plugin enigmail, qui permet le support de GPG pour chiffrer automatiquement en mode graphique vos emails à l'aide de vos clés GPG. Si vous échangez des emails avec des personnes qui utilisent GPG, vous devriez le cocher, ça va vous simplifier la vie. Mais attention à ceux qui ont des comptes Gmail : Icedove est torrifié par Tails, et google n'aime pas ça. Quand vous essayez de vous connecter à un service Google via le TOR browser, Google va vous demander de vous authentifier par sms. Or comme c'est pas possible avec une requête Icedove, gmail va vous envoyer bouler quand vous tenterez de vous connecter. Donc si vous avez un compte gmail, vous n'avez pas d'autre choix que soit vous créer un autre compte ailleurs, soit chiffrer vos emails à la main. - Trousseau de clés GNOME : D'après ce que j'ai compris, c'est ce qui vous permet de rendre le gestionnaire de mot de passe persistant. - Connexions Réseaux : Persistance de vos paramètres réseaux. Concrètement, cette option vous permet de ne pas rentrer à chaque démarrage le mot de passe de votre box/wifi - Marque pages du navigateur : Évident - Imprimantes : Évident - Client Bitcoin : autorise la persistance d'un portefeuille bitcoin sur votre volume chiffré sécurisé via Electrum. Pour ceux qui font des achats sur le deep web, ça peut être intéressant. - Paquets APT : Autorise la persistance des nouveaux logiciels que vous pourriez installer (via la commande apt-get install pour ceux qui connaissent). Personnellement, je pense que ça diminue la sécurité d'installer de nouveaux composants dans Tails. - Liste d'APT : Autorise la persistance des listes de dépôts logiciels via lesquels vous pouvez télécharger et installer de nouveaux logiciels (pour ceux qui connaissent, ça évite de rentrer la commande apt-get update à chaque redémarrage). Si vous ne comprenez pas, c'est pas grave, ça veut juste dire que vous n'en avez probablement pas besoin. - Dotfiles : Pour gardez vos fichier et vos dossiers d'une session à l'autre, vous devez normalement l'enregistrer dans le dossier "Persistent" (à condition d'avoir coché l'option ad hoc). Cette option vous permet en gros que vos fichiers créés dans le dossier "persistent" apparaissent dans votre répertoire personnel (c'est à dire dans /home/amnesia). C'est un peu le "gadget" de Tails. Personnellement, je ne l'utilise pas, mais si vous choisissez de l'utilisez, je vous recommande de faire des essais avant. Sinon, vous risquez de perdre des fichiers.
4 : Redémarrez Tails. À partir de maintenant, Tails vous proposera systématiquement lors du démarrage si vous voulez utiliser ou non le volume chiffré que vous venez de configurer.
Ajouter la clé publique d'un correspondant dans votre trousseau
Dans Tails, c'est archi-simple. Vous vous souvenez de la clé publique d'exemple que j'ai mise dans le deuxième post ? Eh bien vous copiez-collez tout ce qu'il y a entre les balises ----- BEGIN PGP PUBLIC KEY BLOCK ----- et ----- END PGP PUBLIC KEY BLOCK ----- (Avec les balises) dans un éditeur de texte. Ensuite, vous sauvegardez, vous fermez et vous double-cliquez sur le fichier créé. Vous devriez voir apparaître en bas un message comme quoi la clé a bien été importée.
Création d'une paire de clés
1 Open PGP > Gérer les clés
2 Clés GnuPG > croix bleue
3 Clé PGP > Continuer
4 Rentrez un nom ou un pseudo et une adresse électronique. Allez ensuite dans "Options avancées de clé" Commentaire (optionnel) : Ce que vous voulez Type de chiffrement : RSA Force de la clé : 4096 bits Date d'expiration : Ce que vous voulez. Il est généralement conseillé de faire expirer les clés publiques. De toute façon, vous pourrez toujours modifier la date d'expiration ultérieurement. Ma clé publique par exemple, je reconduis toujours la date d'expiration lorsque l'échéance approche.
5 Cliquez ensuite sur créer. L'ordinateur va vous demander de spécifier un mot de passe pour protéger votre clé privée. Pareil, je vous recommande de rentrer votre mot de passe en clair dans un éditeur de texte, et de copier-coller.
6 Vous pouvez voir maintenant que votre paire de clé apparaît dans votre trousseau.
Certificat de révocation
Le certificat de révocation sert à révoquer une clé publique. Concrètement, ça sert à déclarer publiquement qu'il ne faut plus utiliser une clé publique pour diverses raison (compromission ou perte de la clé privée associée, utilisation d'une autre paire de clé, etc) (voire partie « serveurs de clés »). Dans Tails, il est possible de révoquer sa clé directement en mode graphique, mais ça ne présente pas vraiment d'intérêt : si vous perdez ou qu'on vous vole votre clé USB, vous ne pourrez pas le faire. L'intérêt du certificat de révocation, c'est que c'est un fichier que vous pouvez envoyer à vos correspondants ou à votre serveur de clés pour qu'ils sachent que la clé publique ne doit plus être utilisée. Du coup, forcément, ne stockez pas votre certificat de révocation sur votre Tails, sinon, ça perd tout son intérêt. Faites également attention que votre certificat ne tombe pas entre de mauvaises mains. Si ça arrive, c'est pas très grave, le certif' ne compromet pas la clé privée. Mais l'attaquant peut rendre votre clé publique inutilisable, ce qui peut être chiant.
Créer un certificat de révocation
Là , ya pas le choix, il faut passer par les lignes de commandes (mais vous n'aurez à le faire qu'une fois) :
1 : Applications > terminal 2 : gpg –output certificat_revocation –gen-revoke drogue.zeureux@psychoactif.org 3 : Faut il créer un certificat de révocation pour cette clé ? (o/N) ⇒ o 4 : Choisissez la cause de la révocation ⇒ Sans importance. Le certif' aura le même effet. 5 : Entrez une descriptions facultative ⇒ Ce que vous voulez 6 : Rentrez le mot de passe de votre clé privée 7 : Allez dans votre dossier home. Vous constaterez que vous avez un nouveau fichier appelé certificat_revocation. Déplacez le sur un autre périphérique que tails et conservez le en sûreté.
Révoquer une clé publique (Attention, cette action est irréversible !) :
Si votre clé est sur un serveur de clé (Voir partie sur les serveurs de clés) : 1 importez votre clé publique dans le trousseau depuis n'importe quelle machine sur laquelle gpg est installé. 2 ajoutez dans le trousseau le certificat de révocation comme si c'était une clé publique ordinaire. 3 Votre clé est maintenant révoquée. Exportez votre clé publique révoquée sur le serveur de clé.
Si votre clé n'est pas sur un serveur de clé, Il suffit d'envoyer ce certificat à tous vos correspondants qui révoqueront chacun de leur côté la clé publique en appliquant le point 2.
Signer et chiffrer un document :
Supposons que vous ayez un document appelé « document.pdf » (pdf est un exemple. Ça fonctionne avec n'importe quel document : .doc .xls .txt .ppt .jpg .png .mp4 .cequevousvoulez) et que vous voulez l'envoyer à un correspondant duquel vous aurez préalablement ajouté la clé publique à votre trousseau.
1 Clic droit > chiffrer
2 : Vous sélectionnez la clé publique de votre correspondant (en l’occurrence correspondant@correspondant.com). Ne vous trompez pas. Si vous chiffrez avec la mauvaise clé, le correspondant ne pourra pas déchiffrer votre message. Ensuite, vous signez votre message avec votre clé privée, en l'occurence Drogué Zeureux (Facultatif. Vous pouvez chiffrer sans signer. Mais si vous voulez signer, il vous faut absolument un couple de clé de votre côté). Ensuite, Valider
3 : Si vous avez décidé de signer, vous devez rentrer votre mot de passe qui protège votre clé privée.
4 : Vous avez dans le même répertoire un nouveau fichier qui s'appelle document.pdf.pgp, qui est illisible car chiffré. Vous n'avez plus qu'à l'envoyer.
5 : N'oubliez pas que le titre du fichier est susceptible de donner des informations sur son contenu. N'hésitez pas à le renommer en un truc plus neutre comme « fichier1, fichier2... » si le titre craint un peu. Si vous vous sentez d'humeur un peu trollesque, vous pouvez aussi l'appeller « recette_tiramisu », ou « photo_vacances », ou encore « photo_chatons.jpg.pgp »
Signer et chiffrer du texte :
Supposons que vous vouliez envoyer un email à un correspondant, ou votre adresse à un vendeur du deep web.
1 Ouvrez un éditeur de texte et tapez votre mail en clair. 2 Quand c'est fini, faites copier (raccourci : ctrl + c) 3 OpenPGP > Chiffrer le presse papier avec une clé publique
4 Sélectionnez votre correspondant, signez si vous avez une clé privée, et validez
5 Rentrez votre mot de passe si vous avez signé 6 Collez où vous voulez (dans un mail que vous écrivez ou dans une boite de dialogue du deep web) : votre texte est chiffré
Déchiffrer du texte ou un fichier
0 Si c'est du texte entre bornes ----- BEGIN PGP MESSAGE ----- et ----- END PGP MESSAGE ----- , Copiez-collez le dans un éditeur de texte et sauvegardez 1 Clic droit > Ouvrir avec Déchiffrer le fichier
2 Entrez le mot de passe qui protège votre clé privée 3 Un nouveau fichier en clair est créé dans le même répertoire
Les serveurs de clés
Il est possible d'exporter sa clé publique sur des serveurs de clés sur internet. Un serveur de clé, c'est tout simplement un serveur qui stocke et qui distribue à qui la demande des clés publiques. Le serveur utilisé par défaut sur tails est hkps.pool.sks-keyservers.net. C'est très pratique parce qu'il suffit de synchroniser sa machine avec les serveurs de clés pour avoir toutes les modifications qui ont été faites sur une clé (expiration, révocation, ajout de sous-clés, signatures de clés, etc).
Les vendeurs du deep web exportent généralement leurs clés sur des serveurs de clés. En tout cas, j'ai quasiment toujours trouvé leurs clés sur le serveur sus-cité. En ce qui vous concerne, je ne vous recommande pas d'exporter vos clés qui vous servent sur le deep. Personnellement, j'ai plusieurs couples de clés. Certaines sont sur les serveurs, mais les clés dont je me sert pour commander sur le deep n'y figurent pas.
On peut le faire en mode graphique avec openPGP (Je vous laisse chercher pour ça), mais honnêtement, c'est beaucoup plus efficace en lignes de commande.
1 Ouvrez un terminal 2 Si vous ne connaissez pas précisément l'identifiant de la clé, rentrez : gpg –search-key mots_clés (un nom, un pseudo, une adresse mail, etc) 3 Si vous connaissez précisément la fingerprint de la clé : gpg –recv-key empreinte 4 : Pour envoyer une clé publique sur un serveur de clé (La vôtre ou pas d'ailleurs), c'est : gpg –send-key empreinte
Signer la clé publique de quelqu'un, c'est lui associer son haché chiffré avec votre clé privée. Ainsi, si quelqu'un demande la clé publique signée, il pourra déchiffrer la signature avec votre clé publique, calculer le haché et comparer pour voir que c'est le même. Socialement parlant, signer une clé publique, c'est certifier publiquement que cette clé appartient bien à telle personne. Ce processus permet de construire ce qu'on appelle dans le milieu de la cryptographie le « réseau de confiance ». Si A a signé la clé de B et que B a signé la clé de C, alors ça veut dire que A peut faire confiance à la clé de C puisque B certifie publiquement que la clé de C lui appartient bien. Il est donc extrêmement important de ne pas signer n'importe quoi, sinon, vous détruisez le réseau de confiance.
De façon plus pragmatique, il est quand même important de s'assurer que la clé que vous utilisez appartient bien à la bonne personne. Si vous utilisez une clé que vous n'avez pas signé, GPG ne manquera pas de vous le faire remarquer à chaque fois que vous voudrez l'utiliser
Ce système est a double tranchant puisque les signatures peuvent être aussi utilisées pour établir des réseaux de relations entre les gens. Donc avant de faire signer votre clé publique par quelqu'un, demandez vous si sa signature ne risque pas de vous nuire en termes d'anonymat. Une autre solution, c'est d'aller à des « signing party » pour faire signer massivement sa clé publique par des gens que vous ne connaissez pas, qui vont juste s'assurer que vous êtes bien le possesseur de la clé privée correspondante et que vous la protégez correctement. Enfin, sachez qu'il est possible de faire des signatures invisibles pour pallier au problème d'anonymat conféré par les signatures.
Pour signer une clé publique :
1 : OpenPGP > Gérer les Clés 2 : Clés GnuPG 3 : Double clic sur une clé publique
4 : Allez dans Confiance et cliquez sur Signer la clé
5 : Dites avec quelle précautions vous avez vérifié la clé, si vous (ou plutôt votre correspondant) voulez que la signature soit visible ou pas. Laissez coché la case de la révocation de signature. Cliquez sur signer.
6 : Rentrez votre mot de passe qui déverrouille votre clé privée.
De même, lorsque vous créez un couple de clés, GPG signe automatiquement votre clé publique à l'aide de votre clé privée. S'il ne le faisait pas, personne ne pourrait vérifier que la clé publique appartient réellement à la bonne personne.
Les sous-clés
Comme je vous l'ai dit, un gros inconvénient des clés publiques, c'est qu'elles peuvent servir à vous identifier. Prenons un exemple concret : si vous fréquentez plusieurs markets sous des pseudos différents et si les flics ou un hacker voient passer les mêmes clés publiques, ils peuvent en déduire qu'il s'agit de la même personne. Si en plus, vous avez des informations sensibles sur votre clé, comme par exemple un nom ou une adresse email, c'est potentiellement problématique. Une solution pour ça consisterait à se créer autant de paires de clés qu'on souhaite compartimenter sa vie : une paire pour chaque market sur le deep web, une paire pour le boulot, une paire pour les copains, une paire pour la vie associative, etc… Ça fait beaucoup de clés et de mots de passe à gérer.
Du coup, gpg possède un système de sous-clés. L'idée, c'est que les paires de sous clés sont dérivées de la paire de clés maîtresse et l'intérêt, c'est que les paires de sous-clés peuvent être modifiées ou révoquées indépendamment de la paire de clés maîtresse. De plus, si une sous-clé privée est compromise, ça ne compromet ni les autres sous-clés privées, ni la clé privée maîtresse. Du coup, vous n'avez besoin que d'une seule paire de clés maîtresse, et d'autant de paires de sous-clés que vous avez de compartiments dans votre vie. La paire de clés maîtresse est alors conservée dans un volume chiffré, sous coffre-fort si vous voulez ^^, et vous n'aurez besoin d'y accéder qu’occasionnellement. Vos différentes paires de sous-clés sont conservées tranquillement dans vos différentes machines plus faciles à accéder. Les paires de sous-clés sont spécialisées. Elle ne peuvent servir qu'à chiffrer ou à signer. Notez que lorsque vous vous créez une paire de clés maîtresse, GPG vous crée automatiquement une paire de sous-clés dédiées au chiffrement uniquement.
Pour ajouter une sous-clé en mode graphique, rien de plus simple :
1 : OpenPGP > Gérer les Clés 2 : Clés GnuPG 3 : Double clic sur une de vos clés publique 4 : Détail > Ajouter une sous-clé 5 : Vous sélectionnez RSA chiffrement ou RSA signature en fonction de ce que vous prévoyez de faire pour la clé. Longueur : 4096 bits, et rentrez une date d'expiration.
6 : Rentrez la phrase secrète qui déverrouille la clé privée maîtresse. 7 : Et vous pourrez constater que vous avez une paire de sous-clés qui s'est ajoutée à votre trousseau (-;
3 : Comment vérifier qu'une clé publique est sécurisée
Si vous utilisez GPG pour commander sur le deep web, n'oubliez pas que c'est avec la clé publique du vendeur que vous allez chiffrer votre adresse postale. Vous ne voudriez certainement pas protéger votre identité avec un chiffrement faible. Personnellement, comme je l'ai déjà dit, quand je commande sur le deep, c'est un critère de sélection des marchands chez qui j'achète. Malheureusement, d'expérience, je constate que la plupart des marchands ne savent pas utiliser GPG correctement. Je vais vous montrer comment vérifier qu'une clé est sécurisée en utilisant des exemples réels de clés publiques que je suis allé chercher sur les markets.
Il faut commencer par rentrer la clé publique dans votre trousseau. Ensuite, vous devez passer par les lignes de commandes. Je ne connais pas de moyen de faire ça en mode graphique. La commande à rentrer est :
Code:
hkt export-pubkeys id_clé | hokey lint
On commence maintenant avec un florilège des clés les plus pourries que j'ai pu trouver :
Voici la clé publique d'un vendeur de coke et d'ecstasy. En important la clé comme je l'ai indiqué, on obtient son identifiant dans le trousseau. (Pour afficher tout le trousseau, c'est la commande gpg –list-key)
- Déjà , première faille, il y a un commentaire sur sa clé publique qui indique la version de GnuPG qu'il utilise ainsi que son système d'exploitation. C'est pas une grosse faille en soi, mais ça donne des informations à un attaquant qui pourra dès lors orienter ses attaques. - 2ème faille, c'est une clé DSA 1024 bits, soit beaucoup trop faible et crackable facilement par la force brute. De base, cet algorithme propose naturellement des clés trop petites. Il a subi plusieurs révisions, mais aujourd'hui, il n'est pas possible de faire des clés supérieures à à peu près 3000 bits, ce qui est limite. Il a été officiellement déclaré obsolète par le National Institute for Standards and Technology (NIST) des états unis. - 3ème faille : La clé publique a une auto-signature qui utilise l'algorithme sha1. Comme je l'ai expliqué en début de post, cet algorithme est de plus en plus dépassé par la technologie et ça n'ira pas en s'arrangeant. Le risque, c'est qu'un attaquant usurpe cette clé publique en se créant lui même une clé publique et en générant une collision pour que sa clé aie le même haché, donc impossible à distinguer de la clé publique véritable. L'attaquant peut alors mener une attaque de type usurpation d'identité. - 4ème faille : les algorithmes de hachages utilisés pour les signatures sont trop peu nombreux (3). En plus, l'algorithme prioritaire est le plus faible des 3 (sha1). - 5ème faille : Pas de date d'expiration. Si la clé est perdue, les interlocuteurs n'ont pas de moyens de savoir que la clé ne doit plus être utilisée.
Comme vous pouvez le constater, ce vendeur a une excellente réputation avec presque 4000 commentaires positifs. Donc faites attention : ce n'est pas parce qu'un vendeur a l'air sérieux et de bonne foi qu'il est sécurisé niveau informatique !
On continue notre palmarès des clés pourries avec celle d'un vendeur de cocaïne/héroïne/crystal meth qui n'y a même pas de pseudo.
- Présence d'un commentaire sur la clé publique - Algorithme RSA (Ça, c'est bien par contre) - Taille 2048 bits : dangereux - Auto-signature en SHA1 - Même pas de possibilité de signer car pas d'algorithmes de hachages spécifiés - Pas de date d'expiration
Et enfin, la palme de la clé pourrie revient à ce vendeur de GHB :
- Présence d'un commentaire sur la clé publique - Algorithme DSA - Taille 1024 bits - Auto signature en SHA1 - Même pas de possibilité de signer car pas d'algorithmes de hachages spécifiés - Pas de date d'expiration
Notez que les deux dernières clés ont été créé avec le logiciel BCPG (entête des clés publiques). Un tel logiciel est réputé pour être une véritable usine à clés merdiques, et ça se vérifie par l'analyse des clés. Donc si vous voyez un vendeur qui vous met à disposition une clé publique générée à partir de BCPG, déjà , ça pue !
Voici à contrario une clé d'un vendeur de LSD qui n'est pas trop mal, mais qui possède quand même des failles de sécurité :
- Présence d'un commentaire sur la clé publique - Algorithme RSA - Taille de 4096 bits, le maximum autorisé par GPG - Faille : auto-signature en SHA1 - Algorithmes de hachages pas trop mal, mais la priorité est merdique par contre : sha1, le plus faible, est en deuxième position, et SHA512, le plus fort, est en 4ème position. - Faille : Pas de date d'expiration.
Vous trouverez malheureusement difficilement mieux que ce genre de clé sur le deep web. Mais ça vaut toujours mieux que les clés trouées de certain vendeurs.
Voici maintenant la clé publique de Drogué Zeureux créée sur Tails (-:
- Pas de commentaire - RSA - 4096 bits - Auto-signature en SHA512 - Algorithmes de hachage forts avec priorité aux plus forts. - Date d'expiration
Note importante : Dans chacune de ces clés, même celles qui sont pourries, vous constatez grâce à la commande de test indique que la version de openPGP est V4. Si vous tombez sur une clé qui n'utilise pas V4, mais des versions antérieures, n'utilisez pas la clé quelles que soient ces autres caractéristiques car il s'agit là d'une faille de sécurité critique.
Voilà ! Cette fois, vous avez quasiment tout ce dont vous avez besoin. Si vous avez des questions, n'hésitez pas à poster ! :)
Dernière modification par Yog-Sothoth (13 décembre 2016 à 22:48)
Il existe ici des tuto détaillé sur le DeepW. Je ne répond pas aux MP de ceux qui ne les ont pas lu.
Je vais suivre à la lettre toute ce COURS sur le Crypto et ses subtilités. C est bien expliqué et première des choses , je vais installer TAILS sur une clé ...ect. ...encore une fois , un grand Bravo .
la mort ne viendra pas me prendre de mon vivant.... Fumier ....JE suis Toujours Vivant ....! PAPILLON .
Est-ce-qu'il serait possible de faire ça avec les os des smartphones et tablettes ?
En ce qui concerne Tails, il est à ma connaissance impossible actuellement de le faire booter sur un smartphone. Pour les tablettes, j'ai réussi à le faire booter deux fois, mais il y a des problèmes. Notamment, Tails ne trouve pas la carte réseau. Pour un système qui est concu pour la navigation internet, c'est embêtant.
En ce qui concerne GPG, j'ai vu qu'il était possible de l'installer sur les smartphones et les tablettes, mais c'est la version propriétaise qui est disponible (c'est à dire PGP*).
* : GnuPG (Gnu Privacy Gard) et PGP sont les deux mêmes logiciels. La seule différence, c'est que GPG est libre et open source alors que PGP est propriétaire. Je sais, c'est bizarre, même moi, j'ai jamais réussi à comprendre pourquoi il y a une version propriétaire payante et une autre gratuite et open source, alors qu'à priori, c'est la même chose. ¯\_(·Ë™âˆ• )_/ ¯
Il existe ici des tuto détaillé sur le DeepW. Je ne répond pas aux MP de ceux qui ne les ont pas lu.
Il est possible de lire le message d'un vendeur sur alpha juste avec sa clé publique?
Non.
Tout ce que tu peux faire avec la clé publique d'un autre, c'est : - Chiffrer un message pour lui. - Vérifier une signature.
Merci pour ta reponse c'est bien ce que je pensais du coup je vois pas trop l'interet du message crypté que le vendeur joint a la confirmation d'envoie avec le numero de suivi etant donné que celui ci est illisible pour moi
mon ordi me demande un privilège administrateur que je n'ai pas pour pouvoir exécuter Universal USB installer.
Soutenez PsychoACTIF
Flux RSS | Affichage Mobile
Droit d'auteur : Les textes de Psychoactif de https://www.psychoactif.org sont sous licence CC by NC SA 3.0