Ceci est un exemple de message signe avec ma cle privee ECC.
L'interet d'une signature, c'est de prouver que le message a bien ete ecrit par le signataire.
Par exemple, supposons que tu veuilles communiquer avec moi. Qu'est ce qui te prouve que je suis bien Yog-Sothoth et pas un michant pirate qui a hacke le compte du vrai Yog-Sothoth ? Le fait de signer un message permet de se premunir contre les attaques de type usurpation d'identite.
Lorsque tu signes un message avec GPG, le logiciel va commencer par calculer un hash du message. Un hash, c'est une fonction a sens unique qui, pour toute donnee en entree, va associer un nombre qui est sense etre unique et representatif des donnees entrees.
Par exemple, le hash du mot "psychoactif" selon l'algorithme sha512 est BB3FE1EE883A6CE7D9512B401334AFD199BD8DACC4E8F10CD08A698586B3D8EB418FB8AD3B50DACAFB1FBA16E38B46BF8A209762571DEABDA57509429CC577BB
Ce gros pate de chiffres et de lettres est un (tres grand) nombre ecrit en hexadecimal
Une fois que le hash du message est calcule, GPG va chiffrer ce hash avec la cle privee de l'emetteur. C'est le hash chiffre qui constitue la signature. Concretement, dans ce message, c'est le gros pate de caracteres random qui se trouve entre les balises "BEGIN PGP SIGNATURE" et "END PGP SIGNATURE.
Lorsque le correspondant recoit le message, GPG va utiliser la cle publique de l'emetteur pour dechiffrer la signature et recuperer le hash. Ensuite, il va ensuite calculer le hash du message signe de son cote et verifier que les deux hash sont identiques. S'ils le sont, la signature est verifiee.
Si la verification echoue, ca peut etre pour deux raisons :
- - Soit il y a une attaque de type usurpation d'identite : un attaquant essaie de se faire passer pour le correspondant legitime. Dans ce cas, le processus de dechiffrement echouera car seul le correspondant legitime possede la cle privee associee a la cle publique qui sert a la verification
- - Soit quelqu'un a modifie les donnees apres l'apposition de la signature. Dans ce cas, c'est le processus de verification des hash qui echouera.
La vulnerabilite de ce processus repose dans le fait que tu dois faire confiance en la cle publique de ton correspondant. Ici, sur psychoactif, c'est relativement verifie car 3 personnes ici peuvent temoigner que la cle ECC qui est affichee sur mon profil m'appartient bien.
Si tu veux t'entrainer, tu peux essayer de copier coller l'integralite de ce post (depuis "BEGIN PGP MESSAGE" jusqu'a "END PGP MESSAGE"), de telecharger ma cle publique depuis n'importe quel serveur de cle et de verifier la signature.
Etant actuellement sur Mac, j'envisage de m'acheter un PC bas de gamme, notamment pour pouvoir installer et utiliser Tails sans trop de problème.
Ma question concerne le système d'exploitation : plutôt Windows ou Linux ? Je comprends que ce dernier est plus safe, mais comme je suis une tanche en informatique, j'ai peur de galérer pour utiliser Linux.
Whaou !!! Merci Beaucoup pour la réponse plus que complète ! La je suis sur Win10 je vais essayer demain avec Ubuntu de vérifier la signature :)
Autre question, si j'utilise Tails sans persistance (je préfère), la je ne pourrais pas vraiment utiliser la fonction de signature car ma clé sera une nouvelle à chaque démarrage et mon destinataire ne pourra vérifier la signature que pendant le moment ou je dialogue avec lui sur la session Tails active avant de couper l'ordi.
C'est bien ça ?
En gros sans persistance, le plus simple c'est de récupérer la clé publique du destinataire, de chiffré mon message et de l'envoyé. Et si je veux échanger avec lui, lui renvoyer ma nouvelle clé publique à chaque ouverture de session et attendre sa réponse avant d’éteindre le pc ?
Merci de ta réponse en tout cas, j'apprécie grandement :)
bonsoir j'ai un problem avec kleopatra quand je veut me crée une clés gpg et que j'arrive au option avances l'option chiffrement et certification reste clair et il m'est impossible de les cocher,pourriez vous m'orienter sur mon problem,d'avance merci et bonne soirées a tous.
desoler je veut pas etre trop lourd mais mon problem est pourquoi je n'arrive pas a cree une cles pgp qui soit longue car il m'en cree avec une 20 de caractere et non 90 comme dans les tuto.pourriez vous me dire quel en est la cause merci
Peux tu s'il te plaît décrire plus précisément ton problème ? C'est à dire décrire point par point ce que tu fais depuis le début et poster des captures d'écrans ?
Bonne soirée.
Il existe ici des tuto détaillé sur le DeepW. Je ne répond pas aux MP de ceux qui ne les ont pas lu.
ok et merci beaucoup je capte vraiment pas pourquoi!!! voila je commence par ouvrire kleopatra
ensuite je vai cree une cles comme indiquer dans les tuto
la dans les tuto il dise de cocher la case +RSA mais si je la coche je ne peut plus cocher la case CHIFFREMENT qui reste en surbrillance donc je coche que RSA je monte a 4096 le chiffrement [img]/forum/uploads/images/1
520/1520504996.png[/img]
ensuite je fait ce qui est indiquer dans les tuto
et
une fois toutes les etapes voila ce que j'ai des cles dites valide. je ne comprend pas pourquoi. merci j'espere avoir etait clair je suis novice mais j'espere pas trop bête.merci du coup de main
L'option RSA+ permet d'ajouter une sous-clé de chiffrement à ta clé maîtresse. Sans cette option, c'est ta clé maîtresse qui aurait servi au chiffrement.
Donc lorsque tu cliques sur cette option, ça active par définition l'option "chiffrement". C'est pour ça qu'elle apparaît en gris, mais néanmoins cochée. Tu n'as qu'à faire l'expérience : tu décoche l'option, et ensuite, tu coches RSA+. Tu verras que l'option "chiffrement" se recoche toute seule et se met en gris.
Voilà, j'espère que ça répond à ta question.
EDIT : Fait attention quand tu postes des images ou des captures d'écran : Avec ce que tu as mis, on peut connaître ton prénom, ton nom de famille, ton addresse email et savoir que tu tournes sous Windows 10 et que tu utilises edge pour ta navigation internet.
Dernière modification par Yog-Sothoth (08 mars 2018 à 19:32)
Il existe ici des tuto détaillé sur le DeepW. Je ne répond pas aux MP de ceux qui ne les ont pas lu.
J'utilise GPG4USB sur Windows (il est aussi compatible Linux), et je vois que tu ne l'a pas cité, pourtant je l'ai trouvé d'une simplicité enfantine contrairement à des alternatives (ce n'est pas parce qu'il est portable que je l'utilise au départ, même si c'est un +, mais bien pour sa simplicité.)
Le connais-tu, et si oui, y a t il une raison pour que tu ne le conseilles pas ?
Il y a 2 ans, il était supérieur à Kleopatra qui ne générait pas de sous clé et c'était toujours le 1er à se conformer aux MAJ de gnuPG. J'ai pas trop suivi ce qu'il s'est passé dernièrement donc je voulais savoir si c'est juste une omission ou si ce que tu proposes est maintenant plus secure
Dernière modification par Harfonte (11 mars 2018 à 15:43)
Personnellement, je n'utilise GPG que sous des systèmes d'exploitation oritenté sécurité (Tails ou QubesOS), et je n'utilise quasiment jamais d'interface graphique. Je chiffre tout en ligne de commande. Je trouve qu'il n'est pas RdR de chiffrer/stocker ses clés sur des systèmes d'exploitation comme Windows ou d'utiliser des interfaces graphiques comme kleopatra, parce que le code n'est pas forcément open-source, et que ça rajoute de la complexité, donc potentiellement des failles.
Donc non, je ne connais pas GPG4USB. Mais si tu me dis que ça tourne sur Windows, déjà, ça commence mal...
Concrètement, la seule solution qui offre une bonne sécurité tout en restant utilisable pour un néophyte, c'est d'utiliser le GPG qui est nativement installé dans Tails. C'est selon moi la seule solution valable. Je déconseille tout le reste, et surtout si ça tourne sur Windows.
Dernière modification par Yog-Sothoth (11 mars 2018 à 16:01)
Il existe ici des tuto détaillé sur le DeepW. Je ne répond pas aux MP de ceux qui ne les ont pas lu.
Tu n'a pas peut-être pas vu que j'avais édité mon poste mais il tourne aussi sous GNU/Linux.
Et justement, il est portable...
Toutefois je viens d'aller voir le site et le dernière update date de 2016 donc je vais peut être me tourner vers autre chose
Après je me rends compte que c'était un peu illogique d'utiliser la version de windows de GPG4USB quand j'utilisais virtualbox pour surfer sur TOR via Tails
Vu que c'est ton rayon j'ai une question :
C'est possible d'utiliser tails sur un ramdisk ? Si oui y a t il un intérêt par rapport à une machine virtuelle ou clé bootable ?
Dernière modification par Harfonte (11 mars 2018 à 16:13)
ouf je suis découragé !!!! je sais que c'est un préjugé de dire ça mais.... êtes vous sûr que vous êtes des drogués ... lolol les 3 ou 4 premier paragraphes ça allait mais après j'ai commencé à avoir le vertige...
Des études ont montré que si tu manges sainement, fais du sport et ne consommes ni drogues, ni alcool.. et ben, TU MOURRAS QUAND MÊME !
Alors déjà je tient à préciser que le tuto est super détaillé et claire chapeau !
J’ai quand même un petit problème malgré tous je m’explique : J’ai suivi les manips pour le stockage persistant, la création de clé ect, mais une fois exporter ma clé publique (je clique sur le trousseau, puis fichier, exporter, clé blindé), quand je veux la rentrer sur un certain site, ça me dis en gros de vérifier la versions ou le format en anglais et ça ne fonctionne pas (embêtant pour communiquer avec les vendeurs) mais si j’importe une clé crée via windows avec Kleopatra, là ça fonctionne très bien. Je comprend pas du tout pourquoi j’ai recommencé plusieurs fois toujours pareil ça ne change rien toujours le message d’erreur.
Ça peut faire ça avec certains sites qui utilisent une version pas à jour de GPG. Ça le fait surtout avec les clés à courbes elliptiques. C'est quoi comme algo que tu utilises ? RSA ou ECC (courbes elliptiques) ?
Et tu as essayé sur d'autres services cachés ?
Après, j'ai envie de te dire que si tu arrives à manipuler ta clé sur tails et sur Windows, c'est le site qui a un problème. Et là, on n'y peut pas grand chose.
Enfin, si : ne pas utiliser le site...
Il existe ici des tuto détaillé sur le DeepW. Je ne répond pas aux MP de ceux qui ne les ont pas lu.
Bonjour Yog, si j'ai bien compris, Tails est un OS à part entière donc indépendant de windows et totalement safe. Si j'installe tails je n'aurait pas à passer par windows puisque tails contient tor et gpg est-ce bien celà ?
Dernière modification par Tramaboy (13 mai 2018 à 16:14)
Bonjour Yog, si j'ai bien compris, Tails est un OS à part entière donc indépendant de windows et totalement safe.
Alors, 2 choses :
Oui, Tails est un système d'exploitation à part entière et oui, il est indépendant de Windows. Il n'a même rien à voir.
La deuxième chose, c'est que rien n'est totalement safe. Tails est un système d'exploitation qui est axé sécurité. Ca veut dire qu'il est effectivement beaucoup plus sûr que windows, mais il n'est pas infaillible non plus : on découvre régulièrement des failles de sécurité dans tous les systèmes. Cette année est d'ailleurs particulièrement riche en coups de pieds au cul : Spectre, Meltdown, et une faille critique de Firefox qui vient d'être découverte et qui a fait l'objet d'un patch d'urgence car ça concerne aussi les utilisateurs du Tor browser.
La sécurité est un processus, pas un produit ! Ca passe par l'utilisation d'un OS tel que Tails, mais il ne faut pas se croire en sécurité juste parce qu'on utilise Tails, et ça ne dispense pas de rester prudent.
Tramaboy a écrit
Si j'installe tails je n'aurait pas à passer par windows puisque tails contient tor et gpg est-ce bien celà ?
Tootafay ! Tails est un système qui s'installe sur une clé USB et qui est intégralement chargé dans la RAM. Il se fout éperdument de l'OS qui est installé sur la machine.
Il existe ici des tuto détaillé sur le DeepW. Je ne répond pas aux MP de ceux qui ne les ont pas lu.
Bon au final j’ai résolu le problème c’était tout bête ! J’ai juste sélectionné ma clé et fais ctrl + c et ça a fonctionné. C’est assez bizarre mais ça fonctionne ! :)
Merci yog, j'ai encore une question à propos de tails qui m'embête au plus haut point tant c'est bête et frustrant!! Je suis au stade du tails intermédiaire, voulant le copier sur l'autre clé je lance tails sans échec (l'autre m'ouvre ou un ercran noir juste avec un curseur, soit un fond bleu avec curseur et barre grise en haut que je ne peux pas bouger dans les deux cas)
Donc je lance tails en mode sans échec, tout se passe bien, sauf que j'ai un énorme problème de résolution (j'ai une tour sur écran, un grand écran), du coup la résolution est comme trop zoomé, jusque la ca passe c'est gérable mais quand je vais dans cloner tails depuis la clé, je n'ai pas accès au bouton install au bas de la page !! impossible de descendre avec la molette les flèche, j'ai essayer de redimensionner la fenêtre rien n'est possible. Alors je suis allez dans outil, écran et il n'y a de disponible que 4:3 (640x480) avec marqué "affichage inconnu" impossible de le changer (j'ai une télé 4k c'est du 2200 je crois la résolution) bref je comprends pas et ça me soule parce que ça doit être quelque chose de bidon.
Après peut-être que c'est fait exprès pour qu'on ne puisse pas cloner tails depuis la version sans échec
Bon j'ai essayé de faire au mieux, le problème est que le tails green ne s'affiche pas, je suis en bios uefi.
Si je lance en mode tails ça marche pas (écran ou noir ou bleu avec juste la date en haut...)
En mode troubleshooting mode, j'ai tails mais ultra zoomé et je ne peux pas défiler les page ouvertes donc je ne peux pas cliquer sur install pour la deuxième clé usb, j'ai essayé de redimensionner la page regardez dans les paramètre rien y fait
Soit je bidouille la ligne de commande en bas, la mienne ne ressemble pas à celle du tuto https://tails.boum.org/doc/first_steps/ … ptions.png il y a des trucs en plus du genre "page_poison=1" (WTF) ou d'autres qui devrait y être comme "quiet" et qui n'y sont pas
J'ai suivi l'autre tuto et supprimer un une ou deux commande dont je ne me souviens plus bien sur et magie le green tails est apparu en tout petit mais impossible de cliquer dessus, bref à chaque fois que je résous un problème il y en a un autre, c'est désespérant
Dernière modification par Tramaboy (15 mai 2018 à 18:13)
Non j'ai pas d'autres ordi à risque, peut-être que c'est du à la config bios ou le fait que je suis en uefi. Au pire quand j'ai accès aux MP je peux te contacter par skype ou autre si ça te dérange pas, je mettrais juste mon écran à la caméra et tu peux affiche pas la tienne, juste le micro pour me guider
Par contre, désolé, mais je ne fais pas de hotline.
Essaie de démarrer sur Tails sur une autre machine. Rien à craindre, ça ne touche pas à cequi est installé dans le disque dur. Et si ça marche, ça veut dire que le problème vient de ton hardware et qu'il ne faut pas l'utiliser pour démarrer sur Tails.
Il existe ici des tuto détaillé sur le DeepW. Je ne répond pas aux MP de ceux qui ne les ont pas lu.
Salut Yog, j'ai réussi à lancer tails, configurer un volume persistant (une très longue phrase, possible de la changer ?) et une apire de clé, mais depuis que j'ai fait ça, à chaque fois que je lance tor mon tails arrête pas de planter, je peux juste bouger la souris mais ne plus cliquer nul part...
Soutenez PsychoACTIF
Flux RSS | Affichage Mobile
Droit d'auteur : Les textes de Psychoactif de https://www.psychoactif.org sont sous licence CC by NC SA 3.0