Tutoriel GPG et notions de cryptographie

Publié par ,
120951 vues, 204 réponses
nam__nam homme
Nouveau membre
Inscrit le 14 Sep 2019
10 messages

Yog-Sothoth a écrit

Est ce que tu peux détailler précisément ce que tu fais avec des captures d'écran ?

Alors je t'explique sur le site ou je suis inscrit et je souhaiterais commander ils me demande une clé pgp que je dois rentrer dans les parametres de mon compte.

/forum/uploads/images/1568/capture-decran-1.png

Donc je vais sur kleopatra pour recuperer la clé créé
/forum/uploads/images/1568/capture-decran-21.png

Je clique sur exporter pour avoir ma clé.
/forum/uploads/images/1568/capture-decran-3.png

Je la copie colle dans public pgp key.
/forum/uploads/images/1568/capture-decran-4.png

Quand je valide j'arrive a ça.
/forum/uploads/images/1568/capture-decran-5.png

C'est la où le problème arrive je met ma phrase secrète qui m'a permis de créer la clé mais après j'ai ce message d'erreur.
/forum/uploads/images/1568/capture-decran-61.png

Le soucis c'est que je ne sais pas ou trouver le Encrypted Code. Si jamais quelqu'un a une idée je suis preneur. En espérant avoir été claire.
Merci d'avance a vous.

Dernière modification par nam__nam (15 septembre 2019 à  16:41)

Hors ligne

 

avatar
Yog-Sothoth
Hackeur Vaillant
Inscrit le 18 Apr 2016
1029 messages
Si je comprend bien, dans le champ "encrypted code", tu as mis le mot de passe que tu as spécifié lors de la création de la paire de clés dans Kléopatra, c'est bien ça ?

Dernière modification par Yog-Sothoth (16 septembre 2019 à  05:43)


Il existe ici des tuto détaillé sur le DeepW. Je ne répond pas aux MP de ceux qui ne les ont pas lu.

ECC: C94BCD0576D57A0CA3794151ED410079F18D2ED8
RSA: 0A0279F87BDD585E90653DE8B6E90802FF520AFE

Hors ligne

 

nam__nam homme
Nouveau membre
Inscrit le 14 Sep 2019
10 messages
Oui c’est exactement ça mais ça ne fonctionne pas.. Tu saurais régler mon soucis? Merci

Hors ligne

 

avatar
Yog-Sothoth
Hackeur Vaillant
Inscrit le 18 Apr 2016
1029 messages
Ok, je vois très bien où se situe le problème.

Bon, eh bien tu es bon pour recréer une paire de clés !


Déjà, il faut bien que tu comprennes le principe de la crypto à clé publique.

Quand tu te crées une paire de clés, il y en a une qui sert à chiffrer uniquement. C'est la clé publique et c'est le gros pâté de caractères qui se trouve entre les balises ----- BEGIN PGP PUBLIC KEY -----

L'autre, c'est la clé privée.
- Elle sert à déchiffrer uniquement (et à signer)
- Tu ne l'utilises jamais directement. C'est kléopatra qui la gère pour toi
- Elle est stockée dans ta machine et ne doit jamais en sortir. Jamais. Sous aucun prétexte.
- Elle est protégée par un mot de passe que tu spécifies lors de la création de la paire de clés.


Sur la dernière capture d'écran que tu as fourni, lorsque le site te demande le "encrypted code", le site est en train de vérifier la clé publique que tu lui as fourni. Pour ça, il a créé de son côté un code secret, il l'a chiffré à l'aide de ta clé publique (le gros pâté de caractères encadré par des balises ----- BEGIN PGP MESSAGE -----), et il te demande de le déchiffrer et de lui restituer ce code secret. Si tu y arrives, ça prouve que la clé publique que tu lui as fourni est bien valide.

Or là, tu viens de donner au site le mot de passe qui protège ta clé privée. C'est embêtant parce qu'une personne qui possède à la fois ta clé privée et son mot de passe peut déchiffrer tous tes messages. Ce scénario peut très bien se produire si le site est tenu par les flics et qu'ils viennent faire une perquiz chez toi. Et c'est arrivé avec Hansa et Alpha Bay.


Ce qu'il faut faire :
1 : Mettre ta paire de clés actuelle à la poubelle et en recréer une nouvelle : ta clé privée n'est plus sûre. Mieux vaux en changer. Et pense à mettre un mot de passe différent parce que le site connaît ton mot de passe maintenant.
2 : Au moment où le site te demande le "encrypted code", il faut que tu demandes à Kleopatra de déchiffrer ce qui se trouve entre les balises ----- BEGIN PGP MESSAGE -----. Tu obtiendra le code secret du site et c'est celui ci qu'il faut rentrer. Au moment de déchiffrer le message, Kleopatra te demandera le mot de passe de ta clé privée et c'est là qu'il faudra le rentrer. Rappelle toi : la clé privée est gérée par kléopatra et uniquement par kleopatra. il n'y a donc que kleopatra qui est habilité à te demander le mot de passe de ta clé privée.


En espérant que ça t'ai aidé.

Dernière modification par Yog-Sothoth (16 septembre 2019 à  09:46)

Reputation de ce post
 
Post de qualité et très claire, merci

Il existe ici des tuto détaillé sur le DeepW. Je ne répond pas aux MP de ceux qui ne les ont pas lu.

ECC: C94BCD0576D57A0CA3794151ED410079F18D2ED8
RSA: 0A0279F87BDD585E90653DE8B6E90802FF520AFE

Hors ligne

 

nam__nam homme
Nouveau membre
Inscrit le 14 Sep 2019
10 messages
Salut, merci beaucoup j'ai fait tout ce que tu m'as dit et tout fonctionne. J'avais uniquement des tutos en anglais et c'etait plutot compliqué pour moi. T'es au top super

Hors ligne

 

Mystereetbouledegum homme
Nouveau membre
Inscrit le 06 Dec 2019
2 messages
Bonjour à vous,
Complètement novice, j'apprends à utiliser tails grâce à vos tutos (un grand MERCI ils sont tops). par avance désolé, si mon vocabulaire n'est pas très pro !
Mon souci est lorsque je veux importer le clé publique de quelqu'un (un vendeur en l'occurrence). Je copie la clé, je la colle dans mes clé GPG, je clique sur importer. Bref, tout se déroule normalement. Or, la clé publique n'apparaît pas dans la liste.. Je n'ai aucun message d'erreur. Rien.
J'ai cherché sur des forums, mais je ne trouve personne dans mon cas et donc pas de solution..
Bref,je ne sais pas quoi faire ! Si quelqu'un pouvait m'éclairer, j'en serais éternellement reconnaissante !

Hors ligne

 

avatar
Yopski homme
♫♪ Devant le mur ♪♫
Inscrit le 06 Jan 2019
566 messages
Salut,

éternellement reconnaissant ? M**de alors, dommage que je ne vois pas ton problème, car c'est comme ça que je fais et elle apparait bien dans les clefs ...

Sinon, un début de solution, tu choisis un market où la crypto est gérée directement par le site, du genre du market "Apollon" par exemple. Là tu n'as qu'une case à cocher pour encrypter ton adresse wink

Ai-je gagné la reconnaissance éternelle ou pas ? demon1

Dernière modification par Yopski (06 décembre 2019 à  16:49)

Hors ligne

 

Mystereetbouledegum homme
Nouveau membre
Inscrit le 06 Dec 2019
2 messages
Ouiiii reconnaissance éternelle validée ! De m'avoir répondu c'est déjà super. Je n'osais pas cocher la case, mais je vais le faire, tant pis.

Hors ligne

 

avatar
Yopski homme
♫♪ Devant le mur ♪♫
Inscrit le 06 Jan 2019
566 messages
héhé super que ça ait pu t'aider wink

C'est vrai que c'est plus secure de crypter directement "chez soi", mais bon, il y a plus de chances que le courrier soit intercepté que le market enregistre les adresses des clients en clear. Je pense que la devise première en général, c'est : Petites quantités wink

Bonne journée wink

Hors ligne

 

bloodistory
EnVapé
Inscrit le 18 Nov 2016
272 messages
Bonjour,

j'ai bien noté qu'il fallait envoyer (ou pas ), l'empreinte de clé publique sur serveur.
Et créer des sous-clefs pour chaque site.
Si oui, quel serveur fonctionne le mieux ?
Que préconisez vous ?
Mettre la clé sur serveur ou juste la communiquer au cas par cas ?
Merci.

Dernière modification par bloodistory (18 décembre 2019 à  08:35)


Longue vie à PA

Hors ligne

 

Mesgo homme
Nouveau membre
Inscrit le 09 Feb 2020
1 message
Hello !

Déjà merci pour ce tuto magnifique ! ??

A tout hasard, est-ce que tu serais disponible par vocal quelques minutes pour m’aider, afin d’être sûr que mon correspondant puisse vraiment lire le message ? hmm

Merci encore !

Hors ligne

 

BealeCiphers homme
Nouveau membre
Inscrit le 30 Jan 2020
15 messages
Salut,

Pour ton problème @Mystereetbouledegum, il suffit de cliquer sur le menu "hamburger", et de cliquer sur "Montrer Tout"...

/forum/uploads/images/1581/screenshot-from-2020-02-13-05-24-08.png


Toutes les clés importé apparaîtront ensuite !

J'aurai moi aussi une petite question... Concernant la sauvegarde des clés privé et public, comment faire en cas de crash système ou matériels ?

PS : super tuto merci !!! merci-1

Dernière modification par BealeCiphers (13 février 2020 à  16:38)

Hors ligne

 

avatar
Yog-Sothoth
Hackeur Vaillant
Inscrit le 18 Apr 2016
1029 messages

BealeCiphers a écrit

J'aurai moi aussi une petite question... Concernant la sauvegarde des clés privé et public, comment faire en cas de crash système ou matériels ?

Tu mets des backups de tes clés sur un périphérique USB chiffré avec Luks cryptsetup (Linux) ou Veracrypt (multiplateforme)


Il existe ici des tuto détaillé sur le DeepW. Je ne répond pas aux MP de ceux qui ne les ont pas lu.

ECC: C94BCD0576D57A0CA3794151ED410079F18D2ED8
RSA: 0A0279F87BDD585E90653DE8B6E90802FF520AFE

Hors ligne

 

avatar
drlektroluv88 homme
Nouveau Psycho
Inscrit le 30 May 2017
65 messages
Salut,

Pouvez me dire si le message sera bien crypter si je procédé comme ça avec le site igolder :

Dans la 1er case j'écris le pgp du vendeur

Dans la 2eme mon adresse

Et dans la 3eme ça sera le message crypter a copier coller dans les notes de la commande en cochant la case "Encrypt the notes using Vendor's PGP" ??

J'ai fait ma première commande sans utiliser de clef PGP... j'etait pas sur de faire sa correctement..

Merci.

/forum/uploads/images/1585/img_20200331_010604.jpg

Dernière modification par drlektroluv88 (31 mars 2020 à  01:17)

Hors ligne

 

avatar
drlektroluv88 homme
Nouveau Psycho
Inscrit le 30 May 2017
65 messages
D'accord merci de ta réponse.

Mais ce que j'aimerais savoir, cest si je fait bien ça de la bonne façon ? Le vendeur arrivera t'il a lire mon adresse si je procéde comme ça ? Ca paraît trop simple que j'ai peur d'oublier ou de passer à côté de quelque chose..

Hors ligne

 

avatar
drlektroluv88 homme
Nouveau Psycho
Inscrit le 30 May 2017
65 messages
Quelqu'un pour repondre a ma question ?

En fouillant un peu les forum, je lis qu'il ne faut pas cocher la case "Encrypt the notes using Vendor's PGP" sur le market si on ne possède pas de clef PGP sur notre profil ?

Je suis un peu perdu, même en lisant des tuto etc j'ai du mal a bien tout comprendre.. pour sa que je désire utiliser igolder qui a l'air d'être assez simple a utiliser même si la protection n'est pas assuré ..  et en plus de ça je doit faire sa sur smartphone, j'ai plus de pc pour le moment ..

Hors ligne

 

avatar
Todash
Psycho junior
Inscrit le 25 Mar 2020
227 messages
Salut,

"Encrypt the notes using vendor's PGP" signifie "Encrypter les notes en utilisant la clé du vendeur". En gros, tu écris en clair et c'est le site qui fera l'encryptage.
-> Il ne faut pas faire ça car tes infos arrivent sur le site en clair.

Dans ce cas précis, toi tu n'a pas besoin d'avoir de jeu de clé "à toi" mais ça peut servir, rien que pour comprendre le principe.
Pour capter le fonctionnement je m'était fait plusieurs clés et j'ai encrypté / décrypté des messages.

C'est certain que sans ordi ça te complique un peu la tâche.

Par contre, est-ce que tu passe bien par TOR avec ton smartphone ?

Hors ligne

 

avatar
drlektroluv88 homme
Nouveau Psycho
Inscrit le 30 May 2017
65 messages

Todash a écrit

Salut,

"Encrypt the notes using vendor's PGP" signifie "Encrypter les notes en utilisant la clé du vendeur". En gros, tu écris en clair et c'est le site qui fera l'encryptage.
-> Il ne faut pas faire ça car tes infos arrivent sur le site en clair.

Dans ce cas précis, toi tu n'a pas besoin d'avoir de jeu de clé "à toi" mais ça peut servir, rien que pour comprendre le principe.
Pour capter le fonctionnement je m'était fait plusieurs clés et j'ai encrypté / décrypté des messages.

C'est certain que sans ordi ça te complique un peu la tâche.

Par contre, est-ce que tu passe bien par TOR avec ton smartphone ?

Salut,

Merci de cette précision :)

Oui je passe par TOR via mon smartphone.

Du coup alors j'ai juste a copier coller le message crypté du site igolder sur la note de ma commande sans cocher la case "Encrypt the notes using vendor's PGP" ? Cest aussi simple que ça ?

Hors ligne

 

avatar
Todash
Psycho junior
Inscrit le 25 Mar 2020
227 messages
Selon moi, oui.
Si d'autres passent dans le coin pour confirmer ça pourrait être cool.

Si tu envoi un truc illisible je pense que le vendeur te le dira. S'il ne peut pas expédier ça empêche de lancer la transaction Escrow (ou en tout cas tu ne pourra jamais signaler que tu l'a reçu)
Reputation de ce post
 
Merci pour ta réponse !

Hors ligne

 

Kurapika123 homme
Nouveau membre
Inscrit le 21 Apr 2020
2 messages
Merci pour toutes ces informations :)

Hors ligne

 

Brakasse homme
Psycho junior
Inscrit le 06 Aug 2019
285 messages
J'ai une question mais est-il possible de déchiffrer un message PGP qu'on a soit même envoyé pour le vendeur ? Ou seul le vendeur peut le déchiffrer ?

En gros j'ai envoyé mon adresse chiffrer au vendeur sauf que je voulais le revérifier pour voir si j'ai bien saisi mes bonnes informations

Hors ligne

 

avatar
Chest_Shire homme
P'tit con xP
Inscrit le 11 Oct 2018
78 messages
Bonjoirs Brukasse,

Nan y a pas moyen de savoir vu que tu as en crypté avec la clé publique du vendeur, donc y a qu'avec la clé privé que tu pourra le relire et pour avoir la clé privé c'est mort ^^

Dans le pire des cas hésite pas à lui envoyer un message pour lui demander si c'est bon ^^

Bon courage bye :)

Hors ligne

 

avatar
Ernekar Lokt1000
Chercheur en soie
Inscrit le 16 Nov 2019
73 messages
Yoooooo tout le monde !

Je viens de faire ma première commande sur le deep sur WHM hier soir, en attente de validation du vendeur,

Je cherche à créer un deuxième double de clés pour aller sur Versus (j'ai lu quelque part, surement ici, que c'était conseillé d'utiliser des clés différentes) et réaliser un achat sur un autre market affaire d'en tester le plus possible,

Mais le soucis c'est que quand je veux signer mes msg, l'invité de commande considère ma requête avec la premiere clé que j'ai créée et je trouve nul part de réponse à ça, du coup ma question est la suivante :
Est ce qu'il existe une commande a rajouter pour indiquer que je veux que ce soit telle clés qui signe et pas une autre, ou alors est-il possible de changer la priorité d'une clés par exemple ?
Ou alors tout simplement est-ce qu'on s'en fout/j'ai rien compris et je me prends la tête pour rien,

Je suis sur Ubuntu et pour les commandes j'utilise celles de ce tuto avec gpg ainsi que l'interface graphique intégrée à Mint :)

Un gros merci d'avance (et à toi Yogg pour ce tuto du turfu), un bon week end et prenez soin de vous big_smile

Dernière modification par Ernekar Lokt1000 (25 avril 2020 à  23:40)


Au moins 1000, que dis-je ... un million !

Hors ligne

 

subumetha255 homme
Psycho junior
Inscrit le 17 Feb 2020
211 messages
Bonjour, je viens de me faire mes clés PGP smile
Par contre pour importer celle du vendeur j'ai du mal.

Je m'explique, sa clé est en format comment dire, "crypté" (ca ne s'appelle pas comme ca) mais vous voyez ce que je veux dire.

Du coup je n'arrive pas à l'importer sad
Il faudrait qu'elle soit en format fichier pour que je puisse l'enregistré et la je pourrais facilement l'importer.

Si des fois quelqu'un connait la solution svp?

Hors ligne

 

regiok homme
Nouveau membre
Inscrit le 28 May 2020
11 messages
Essaye de la mettre dans un fichier texte ?

Hors ligne

 

subumetha255 homme
Psycho junior
Inscrit le 17 Feb 2020
211 messages
Oui je viens de l'enregistrer en format texte en copiant la clé du vendeur dans bloc note.
Je ne suis franchement pas doué en informatique j'avoue corde-pour-se-pendre

Maintenant il faut que je la transforme en format .sc

J'ai vu qu'il y'avait 1 topic qui en parlait big_smile

Dernière modification par subumetha255 (30 mai 2020 à  15:16)

Hors ligne

 

Lilie94 femme
Nouveau membre
Inscrit le 28 Apr 2020
3 messages
Bravo et merci pour ces tutos je n'aurai jamais pu y arriver sans.

Hors ligne

 

Liodark67 homme
Nouveau membre
Inscrit le 22 Jul 2020
1 message
Bonjour à tous alors voilà j'ai un petit problème en essayant d'aller sur le Darknet et de commander sur cannazone il me demande deux clés Une publique et une clé public key sauf que je n'y arrive pas du tout si il y aurait quelqu'un d'aimable avec un snap ou Facebook qui pourrait aider ça serait cool comme ça je lui donne mon compte où il n'y aura aucun de Bitcoin bien sûr pour me valider mon compte car je n'y arrive pas et il n'y a pas beaucoup de tuto sur ça merci à vous et j'espère trouver quelqu'un d'aimable

Hors ligne

 

avatar
SoulEater homme
Psycho sénior
Inscrit le 25 Apr 2020
549 messages

Liodark67 a écrit

Bonjour à tous alors voilà j'ai un petit problème en essayant d'aller sur le Darknet et de commander sur cannazone il me demande deux clés Une publique et une clé public key sauf que je n'y arrive pas du tout si il y aurait quelqu'un d'aimable avec un snap ou Facebook qui pourrait aider ça serait cool comme ça je lui donne mon compte où il n'y aura aucun de Bitcoin bien sûr pour me valider mon compte car je n'y arrive pas et il n'y a pas beaucoup de tuto sur ça merci à vous et j'espère trouver quelqu'un d'aimable

Salut, c'est impossible car ça impliquerait que la personne qui va t'aider crée une clef pgp pour toi et donc possèder ta clef privé PGP. C'est dangereux, surtout qu'on a beaucoup être sur un forum entraide/partage ça n'empêcherait pas quelqu'un de peu scrupuleux de te la mettre à l'envers! On est sur internet mec, c'est pas le monde des bisounours, fais attention à ta sécurité!

Je connais pas canazone mais à mon avis c'est comme partout, il te demande de créer une clef PGP avec par exemplele logiciel pgp4win qui est assez simple d'utilisation et dont tu trouveras facilement des tutoriels qui t'explique absolument tout.

Une fois que tu auras créé ta clef PGP, tu copie colle ta clef public sur le market et c'est tout!

En fait ça paraît difficile mais si tu t'intéresses au truc tu trouveras que c'était finalement assez simple.


Notre vie vaut ce qu'elle nous a coûté d'efforts

Hors ligne

 

avatar
Melie
Cherche GABAa en bon état
Inscrit le 18 Jul 2017
54 messages

SoulEater a écrit

Liodark67 a écrit

Bonjour à tous alors voilà j'ai un petit problème en essayant d'aller sur le Darknet et de commander sur cannazone il me demande deux clés Une publique et une clé public key sauf que je n'y arrive pas du tout si il y aurait quelqu'un d'aimable avec un snap ou Facebook qui pourrait aider ça serait cool comme ça je lui donne mon compte où il n'y aura aucun de Bitcoin bien sûr pour me valider mon compte car je n'y arrive pas et il n'y a pas beaucoup de tuto sur ça merci à vous et j'espère trouver quelqu'un d'aimable

Salut, c'est impossible car ça impliquerait que la personne qui va t'aider crée une clef pgp pour toi et donc possèder ta clef privé PGP. C'est dangereux, surtout qu'on a beaucoup être sur un forum entraide/partage ça n'empêcherait pas quelqu'un de peu scrupuleux de te la mettre à l'envers! On est sur internet mec, c'est pas le monde des bisounours, fais attention à ta sécurité!

Je connais pas canazone mais à mon avis c'est comme partout, il te demande de créer une clef PGP avec par exemplele logiciel pgp4win qui est assez simple d'utilisation et dont tu trouveras facilement des tutoriels qui t'explique absolument tout.

Une fois que tu auras créé ta clef PGP, tu copie colle ta clef public sur le market et c'est tout!

En fait ça paraît difficile mais si tu t'intéresses au truc tu trouveras que c'était finalement assez simple.

Clairement, être prêt à filer un tel révélateur de ton ID et te mettre en danger en filant ton compte à une personne trouvée sur un forum public que tu ne connais pas....
Mais c'est pas grave, ça montre juste que tu n'as pas encore assez compris la question de la sécurité online. Que ce soit PGP et tout ce qui touche à l'OPSEC, il est super important de comprendre (un peu) le fonctionnement général du bidule avant de l'appliquer comme une recette de cuisine.

Trop de claquettes-chaussettes sur le DN dab

Je viens de checker, Cannazon ne demande qu'un ID+MDP+MDP-de secours.

Peut-être parles-tu des settings de ton compte? Si c'est le cas, certains market proposent d'indiquer une Bitcoin Public Key, parfois appelée Multisig Public Key ou MSKey. C'est une méthode de paiement qui fait son chemin sur les markets (d'ailleurs Versus a rouvert il y a 2 jours et dans la liste de l'annonce il y avait justement un point à ce sujet : ils supprime leur service d'escrow pour le remplacer par un MS). Pour l'instant t'en préoccuper pas de ça. Soit tu vas tomber sur des markets comme Versus qui vont demander cela de manière obligatoire, soit tu y arriveras par toi-même en comprenant comment fonctionnent les échanges de cryptocurrencies et en souhaitant activer cette sécurité supplémentaire.

De toute manière sur la plupart des markets grand public on ne te demandera qu'une clé PGP et c'est tout! C'est quand on se déplace vers des lieux plus peace et planqués que là l'entrée peut devenir drastique en matière de critère de sécurité PGP (subkey, taille de bit mini et autres joyeusetés).

Bon courage. Ne fais confiance qu'à des gens avec qui tu ES SUR de n'avoir JAMAIS une relation commerciale. Et fais que cette confiance soit le plus minimal possible.


Lointain, (…), un frisson, un frisson qui serait sans chair, sans peau, un frisson abstrait, un frisson en un atelier du cerveau, dans une zone où l'on ne peut frissonner en frissons.

Hors ligne

 


Remonter


Pour répondre à cette discussion, vous devez vous inscrire

Sujets similaires dans les forums, psychowiki et QuizzZ

logo Psychoactif
[ Forum ] Tutoriel Tails
par Yog-Sothoth, dernier post 22 août 2022 par meumeuh
  75
logo Psychoactif
[ Forum ] Tutoriel électrum !!!!malware!!!!
par Scoubi, dernier post 19 juin 2018 par groovie
  10
logo Psychoactif
[ Forum ] Tutoriel Electrum et informations sur Bitcoin
par Yog-Sothoth, dernier post 08 juillet 2023 par cabrelon1337
  121

Pied de page des forums