[ Internet ]

Tutoriel GPG et notions de cryptographie

Re Yog, bon j'ai lu et relu, travaillé et retravaillé.

Donc j'ai envoyer un message chiffré à un vendeur, seulement je viens de revoir par après les critères de sélection d'un vendeur, étant en mode graphique je n'ai pas la ligne de commande pour vérifier son profil du coup je suis allez voir sur sa clé publique, résultat :

Première chose il marque "VERSION GPG V2" vendeur à fuire si j'en suis ton tuto ??

Quand je clique sur sa clé que j'ai ajouté à mon trousseau je vais dans détails et la je vois RSA 2048 avec une clé d'un an sans date d'expriration, je n'ai pas accès aux signatures mais la déjà rien qu'avec ces informations il me semble que je dois éviter ce vendeur ?

Tramaboy a écrit

Première chose il marque "VERSION GPG V2" vendeur à fuire si j'en suis ton tuto ??

Oui, en effet. Ne pas utiliser cette clé. En plus, elle est en 2048.

Tramaboy a écrit

Autre question, je lui ai envoyé le message par la messagerie du dark, mais lui ne m'a surement pas dans son trousseau de clé, peut-il m'envoyer un message sans que je mette ma clé publique sur mon profil ?

Non. Il lui faut absolument ta clé publique si tu veux qu'il te réponde.

Tramaboy a écrit

J'ai aussi remarqué que la messagerie du market à une case pour crypter les message, je pense qu'il vaut mieux ne pas l'utiliser c'est pas rdr et pour finir, est-il vraiment important de signer quand j'ai chiffré un message ? Le vendeur s'en fou de savoir si je suis vraiment la personne sous le pseudo vu que je lui envoie mon nom et adresse

En effet, dans ce cas de figure, il n'est pas indispensable de signer. En revanche, la réciproque n'est pas vraie : un vendeur devrait toujours signer ses messages pour prouver que c'est bien lui. Malheureusement, beaucoup de vendeurs ne pensent pas à le faire.

Je dois vous avouer que j'arrive à rien avec ces histoires de pgp, j'ai lu différents tuto (en anglais, en français), j'ai pas lu toutes les explications de ce topic je l'avoue (bien touffu), j'ai l'impression que tous ces détails m'embrouillent plus qu'autre chose pour quelque chose qui dans le fond semble pas si compliqué.
Pour l'instant ma seule barrière pour acheter sur le darknet (dreammarket) c'est la correspondance cryptée. Et comme j'ai remarqué qu'il était possible de renseigner son adresse au vendeur sans la crypter, et sachant que ce que je compte acheter est légal à la consommation et la possession mais suit un système très précis quant à son obtention (pour faire court : des médocs sous ordonnances), je me posais la question, si dans le fond c'était si risqué de ne pas passer par pgp ?
Question qui doit paraître bien naïve, mais j'aurais vraiment apprécié un avis sur la question.
J'ai vu sur sur d'autres forums des personnes dire qu'il n'y avait quasi pas de risque pour de si petites choses, mais bon...
Sinon il faudra que je me creuse un peu plus la tête avec ces histoires de cryptage.

Dernière modification par AutoArtifice (30 mai 2018 à  23:10)

Ah ouais, bah y'a pas de question à se poser alors je vais crypter.

Salut !

Quand tu importe la clé publique de quelqu'un, rien ne te garanti que la clé publique appartient bien à la personne indiqué sur la clé.

Une clé publique sert (entre autre) à chiffrer. Si tu veux envoyer un message à ton correspondant, il est obligé de te donner sa clé publique par un moyen ou par un autre. Or si moi, je suis un attaquant et que je veux espionner vos conversation, rien ne m'empêche de créer un couple de clés (privée/publique donc) en mettant l'identité de ton correspondant dessus. D'ailleurs, tu as bien du remarquer que lorsque tu as créé ta propre paire de clés, tu pouvais écrire n'importe quoi dans la rubrique nom et adresse email.

Et du coup, si tu utilises ma clé publique au lieu de celle de ton correspondant, tu chiffres pour moi et je peux savoir ce que tu veux lui dire.

C'est pour ça que tu as ce message d'avertissement : parce que sauf si la personne t'a remise sa clé publique en mains propres, il n'y a rien qui te garanti que cette clé appartient bien à la personne dont le nom est écrit dessus.

C'est pour cette raison que chaque clé possède ce qu'on appelle un fingerprint (une empreinte), qui est un nombre en hexadécimal unique au monde. Par exemple, les caractères chelous que tu as dans ma signature, ce sont les empruntes de mes clés publiques.

Par exemple, l'empreinte de ma clé publique ECC (coube elliptique), c'est C94B CD05 76D5 7A0C A379 4151 ED41 0079 F18D 2ED8

et l'empreinte de ma clé RSA: 0A02 79F8 7BDD 585E 9065 3DE8 B6E9 0802 FF52 0AFE

Certifier une clé publique (ou un certificat), c'est vérifier avec la personnes que l'empreinte que tu as es identique à l'emprunte que possède ton correspondant. Parce que même si je crée un couple de clé avec l'identité de ton correspondant, elle aura forcément une empreinte différente. Du coup, la vérification de l'empreinte peut se faire par une rencontre physique, par téléphone, ou si empreinte est écrite sur une carte de visite.

Dans le cas de vendeurs de market, c'est la faille de sécurité du système parce que par conception, tu n'as aucun moyen d'être sur que la clé est authentique : aucun vendeur sain d'esprit ne te proposera d'appel téléphonique et encore moins de rencontre physique. Dans ce cas là, tu n'as pas le choix, tu es obligé de faire confiance.

Dernière modification par Yog-Sothoth (03 juin 2018 à  00:55)

Ca y est j'ai exporté la clé c'est page 2 la réponse, tout fonctionne sauf une chose, tails plante assez souvent, 1 fois sur 2, ça casse vraiment les couilles, la souris bouge mais aucun clic ne marche. Mais bon... je vais devoir faire avec je pense pfff

Il me semble (parce que je n'utilise pas Kleopatra) que là, tu essaie de chiffre des fichiers, et pas du texte. Du coup, c'est normal qu'il ne te propose pas de sortie ASCII.

A partir d'ici, il faut que tu mette le nom ou les addresses email de tes correspondants, à condition d'avoir préalablement importé leurs clés publiques.

Yog, si je supprime mon volume persistant ça me supprime mes clé gpg ?

Et si je crée un nouveau wallet avec une nouvelle graine l'ancien n’existera plus ?

Et sur le market on peut supprimer son compte ?

Comme tu l'a deviné pour des raisons que je ne peux divulger je dois repartir de zéro...

Tramaboy a écrit

Yog, si je supprime mon volume persistant ça me supprime mes clé gpg ?

Et si je crée un nouveau wallet avec une nouvelle graine l'ancien n’existera plus ?

Et sur le market on peut supprimer son compte ?

Comme tu l'a deviné pour des raisons que je ne peux divulger je dois repartir de zéro...

Hou la!!
Oui de ce que j'ai lu si tu supprime ton volume persistant ca supprime tes clé et ton wallet donc si t'en créé un nouveau avec une nouvelle graine l'ancien n'existera plus.
Sur le market je pense que le plus simple c'est d'oublier tes codes.... Tu n'as rien à supprimer sur ton compte du market je pense... De toute facon tu change de clé et tu peux révoquer les anciennes donc rien qui peut t identifier
Enfin je suis pas un pro... (encore ! ;-) )

Si tu as envoyé le message chiffré au vendeur, il pourra le déchiffrer sans problème. Enfin, is tu ne t'es pas trompé de clé.

La crypto assymétrique repose sur 2 clés qui fonctionnent en mirroir : une clé sert à chiffrer uniquement (c'est la clé publique) et une clé sert à déchiffrer uniquement (la clé privée). donc si tu chiffres avec la clé publique du vendeur, il pourra déchiffrer avec sa clé privée.

localhost a écrit

que tu utilises du chiffrement symétrique, asymétrique ou à clef de session, tu es toujours exposé à une attaque Man In The Middle ( le fameux Charlie) d'ou l'utilité des PKI pour certifier les identités des participants d'une discussion et l'authenticité des clés utilisées.

Et encore, parce que ton certificat racine, à la longue, fini souvent par se faire trouer. C'est comme ça que les certificat Comodo et Vasco ont fini dans la nature.

Tu as aussi les autorités de certification corrompues par négligence de la part de leur possesseur, comme ça a été le cas pour l'ANSSI.

Utiliser une PKI (Public Key Infrastructure), c'est bien, mais ça n'est pas non plus une arme absolue. C'est vrai qu'il faut rester méfiant et ne jamais tenir pour acquis qu'on est en sécurité.

localhost a écrit

C'est bien beau de se protéger de notre coté en utilisant gpg mais quid du vendeur qui doit forcément avoir nos adresses d'expédition pour les commandes ?

Tootafay. Après, le chiffrement des addresses postales, c'est surtout utile pour quand le serveur tombera aux mains des autorités comme ça a été le cas pour Hansa et Alphabay, et très probablement pour Dream Market. Et c'est en général inévitable.

Dernière modification par Yog-Sothoth (16 août 2018 à  23:27)

Bonjour!

Tout dabord merci a Yog-Sothoth pour tout les tuto sur le deep. Sa a était long et pas toujours évident pour moi, mais j'ai enfin fini de configuré tout le bouzin; crée un compte sur un site bitcoin; faire la clée usb avec tails; configuré tails et tor et testé un peu la partie crypto voir si  j'entravé un minimum ce qui ce passé :)

Il ne me reste " plus qu'a " mais du coup j'ai encore un petit doute...

Mettons que je contacte un vendeur J'enregistre sa clé publique comme l'explique le tuto sur tails (partie: Signer et chiffrer du texte ) j'envoie mon message type :

adresse blablabla et précision sur le moyen d'expédition

Je passe tout sa par la clé publique précédemment entré dans GPG Mais lui aprés quand il me répondra comment je vais pouvoir déchifré ce qu'il me dit (ou alors il me répondra sans chiffré) ?

Kinderpingoo a écrit

1) Je crée ma clé gpg
2) Je sors la clé publique
3) Je la met dans la case sur mon profil du market prévus a cette effets
4) J utilise la clé du publique du vendeur pour encrypté mon message et il se chargera d'encodé le siens avec ma clé publique dans mon profil

Ton raisonnement est le bon.

Kinderpingoo a écrit

Si j'ai bon faut juste que je trouve comment sortir ma clé publique sur un fichier texte (j'imagine que j'ai raté l'étape mais quand je regarde vite fait je voie pas ce que j'ai pu manqué) Bon soit je reviendrais pour faire une review de winner soit pour pleurniché si je trouve pas

Oui il faut que tu exportes ta clef publique. Perso je suis sous mac (pas réussi a faire faire reconnaitre ma carte wifi sous tails), donc je ne peux pas te donner la marche exacte mais tu va y arriver :)

Etrange on dirait que mon deuxième message a disparu et pourtant Yocebeu le cite

Alors la commande:  sudo --armor --export id de ta clé n'as pas marché chez moi (je suis sur tails pour ceux qui aurait bugué la dessus comme moi.) J'ai fouiné un peu sur google et j'ai trouvé gpg --export --armor mais le problème c'est que cela affiché la clé dans le terminal et la copier revenait a scrollé pendant 2heures.

Du coup j'ai relu le 2éme post du tuto de Yog-sothoth et dans la partie Mode lignes de commandes sur Linux (Ergonomie : --- Sécurité : +++) j'ai trouvé la solution avec:
gpg --armor --output nomdelaclée --export nomdufichier (que vous voulez perso c'était le nom de la clé) et sa crée un fichier texte dans Dossier personnel dans lequel vous trouverez votre clé et wouala.

Merci a Yocbeubeu et Mikykeupon pour leur réactivité. :)

ps: pour ceux qui comme moi ne sont pas des Tru3 Hax0r de l'informatique il y a ce petit tuto :https://www.youtube.com/watch?v=hB7ZK9KHotc il montre super bien comment installé tails  sur une clée usb (avec la persistance) uniquement avec virtualbox. Je vous conseille cependant de gardé la tuto de Yog-sothoth sous les yeux les détails qu'il y donne sont quand même utile pour une compréhension globale de ce que l'on fait.

Bonjour moi j'utilise kleopatra pour creer ma cle pgp mais je n'arrive a trouver le code de decryptage le site me dit  "Code does not match. Please try again. (Code has been generated again)". Comment dois je faire pour le trouver?