Post Populaire




Créer sa paire de clés (publique/secrète)

gpg --gen-keyLa première fois que vous démarrez WinPT, il va vous proposer de créer une paire de clé. ("Something seems to be wrong [...] Continue ?" > "Yes" ; puis choisir "Have WinPT to generate a key pair" > "OK").
Sinon clic-droit sur l'icône de WinPT > "Key Manager" > menu "Key" > "Generate..." > "Expert".
  • Key type: choisir "DSA and ELG (default)"
  • Subkey size in bits: Entrer 1024 ou 2048.
  • Real name: entrez vos nom et prénom réels
  • Comment: entrer un commentaire, ou votre pseudo.
  • Email address: entrez votre adresse email.
  • Key expiration: laisser vide.
  • Passphrase: entrer le mot (ou la phrase) de passe qui servira à protéger votre clé secrète.
  • Repeat passphrase: entrez à nouveau le mot/la phrase.
  • Cliquez sur "OK".
Des symboles (++...++..+.) vont s'afficher. Attendez.
(N'oubliez pas votre passphrase. Si vous perdez votre passphrase, vous perdez votre clé.)
Au bout d'un moment "Key Generation complete" s'affiche. Cliquez sur "OK".

WinPT va vous proposer de faire une copie de sauvegarde de vos clés. Je vous recommande d'accepter ("Yes") et de sauvegarder vos fichiers pubring.gpg et secring.gpg sur une disquette ou une clé USB (que vous placerez dans un endroit sûr).

En aucun cas votre clé secrète (secring.gpg) ne doit tomber entre de mauvaises main. Protégez la bien.

Si WinPT vous demande "Do you really want to reload the keycache ?", répondez toujours "Yes".

Ça y est, vous êtes paré(e) !


Vous devez maintenant distribuer votre clé publique à tout le monde.
Vous devez garder votre clé secrète bien à l'abris et ne jamais la donner !


Publier sa clé publique

gpg --armor --export KeyID
gpg --armor --export nom  

Maintenant il faut donner votre clé publique à tout le monde.
Pour cela, vous allez la mettre sur un serveur de clés publique (à la disposition de tout le monde).
  1. Ouvrez le "Key Manager", faites un clic-droit sur votre clé, "Copy key to clipboard". Cela va copier votre clé publique dans le presse-papier.
  2. Allez sur http://pgp.mit.edu (ou un autre serveur de clés (cherchez "pgp key server" sur Google)) et collez votre clé dans la partie "Submit a key".
  3. Cliquez sur "Submit this key to the keyserver !".
Ça y est, votre clé est publiée.

Pour que vos correspondants sachent quelle clé utiliser, je vous recommande d'ajouter votre KeyID en signature de vos mail (en automatique). Par exemple:
Je t'enverrai le document demain.

--
Pierre Dupont
pierre.dupont@foo.bar
KeyID: 0x7C638FCD
Vous pouvez aussi mettre votre KeyID sur votre site web ou dans votre profile sur un forum (ou même votre clé elle-même).



Importer une clé publique

gpg --import fichier

Avant de pouvoir envoyer un message chiffré à quelqu'un, vous devez avoir sa clé publique.
Vous pouvez la récupérer où vous voulez: sur son site web, ailleurs, ou sur un serveur de clés publique.

Par exemple, sur un serveur de clés publique:
  1. Allez sur http://pgp.mit.edu et entrez le nom de la personne, son email ou son KeyID dans "Extract a key".
  2. Cliquez sur "Do the search !". La liste des clés correspondantes va s'afficher.
  3. Cliquez sur la clé qui vous intéresse. Elle va s'afficher à l'écran ("-----BEGIN PGP PUBLIC KEY BLOCK-----" suivi d'un charabia...).
  4. Faite un clic-droit sur WinPT > "Current Window" > "Decrypt/Verify".
  5. Une fenêtre "Key Import" s'affiche, montrant la clé qui va être importée. Cliquez sur la clé (pour qu'elle soit sélectionnée), puis cliquez sur "Import".
  6. Un résumé s'affiche ("Key Import Statistics"), cliquez sur "OK".
Vous pouvez voir la nouvelle clé dans le "Key Manager".


Vérifier la clé

gpg --fingerprint KeyID
gpg --fingerprint nom  
Comment être sûr que vous avez récupéré la bonne clé ?
  1. Ouvrez le "Key Manager", faites un clic-droit sur la clé que vous venez d'importer > "Properties".
  2. Vous verrez "Fingerprint", un long truc du genre "F379 08E9 CBA0 41F1 B205 5C1D 58C2 36EE B1F5 D937".
  3. Vérifiez avec le propritétaire de la clé que ce fingerprint correspond avec le sien (idéalement en le rencontrant face à face, à défaut par téléphone ou par d'autres moyens indirects.).
Une fois que vous vous êtes assuré d'avoir la bonne clé, signez la.


Signer la clé

gpg --sign-key KeyID
gpg --sign-key nom  
  1. Ouvrez le "Key Manager", faites un clic-droit sur la clé que vous avez importée > "Sign".
  2. Passphrase: Entrez la passphrase (le mot de passe) qui protège votre clé secrète. Cliquez sur "OK".
  3. Une fenêtre s'affiche "Choose Signature Class".
    1. Choisissez (1) si vous n'avez pas pu vérifier la clé.
    2. Choisissez (2) si vous avez vérifié la clé par téléphone, internet ou autre moyen indirect.
    3. Choisissez (3) si vous avez vérifié la clé en rencontrant la personne face à face (et vu ses papiers d'identité si possible).
  4. Cliquez sur "OK".
  5. Un message s'affiche: "Key successfully signed". Cliquez sur "OK".
La clé est signée, vous pouvez maintenant l'utiliser.



Signer et chiffrer un message

gpg -sea -r KeyID
gpg -sea -r nom  
En chiffrant le message, seul le destinataire pourra le lire.
En signant le message, le destinataire sera sûr que le message provient bien de vous.

Imaginons que vous êtes dans une fenêtre où vous avez tapé votre message (navigateur, logiciel de mail, éditeur de texte...):
  1. Faite un clic-droit sur l'icône de WinPT > "Current Window" > "Sign & Encrypt"
  2. Une fenêtre s'affiche: choisissez un ou plusieurs destinataires (Seuls ces destinataires pourront déchiffrer le message).
  3. Cliquez sur "OK".
  4. Entrez la passphrase (le mot de passe) qui protège votre clé secrète.
  5. Cliquez sur "OK".
Et voilà !

Le message chiffré est collé dans la fenêtre ("-----BEGIN PGP MESSAGE-----"...).
Ça ressemble à un gros pavé de charabia, c'est normal.
Vous n'avez plus qu'à envoyer le message.



Signer un message

gpg --clearsign -a -r KeyID
gpg --clearsign -a -r nom  
Quand vous signez un message sans le chiffrer, tout le monde pourra lire ce message et s'assurer qu'il provient bien de vous.

Imaginons que vous êtes dans une fenêtre où vous avez tapé votre message (navigateur, logiciel de mail, éditeur de texte...):
  1. Faite un clic-droit sur l'icône de WinPT > "Current Window" > "Sign"
  2. Entrez la passphrase (le mot de passe) qui protège votre clé secrète.
  3. Cliquez sur "OK".
Et voilà !

Le message est signé:
-----BEGIN PGP SIGNED MESSAGE-----
votre message
-----BEGIN PGP SIGNATURE-----
un petit bloc de charabia
-----END PGP SIGNATURE-----
Ne modifiez plus le moindre caractère du message !  Sinon cela va invalider la signature.

Si vous voulez modifier le message, supprimez ces lignes spéciales (tout ce qui n'est pas votre message à vous), modifiez votre message comme vous le voulez et resignez-le.

Vous n'avez plus qu'à envoyer le message.



Déchiffrer un message et/ou vérifier sa signature

gpg
Si un message chiffré vous est destiné, vous pourrez le déchiffrer.
Si le message est signé et que vous possédez la clé publique de la personne, vous pourrez vous assurer que ce message provient bien de cette personne.

Imaginons que vous êtes dans une fenêtre où il y a un message que vous avez reçu (chiffré ou non) (navigateur, logiciel de mail, éditeur de texte...):
  1. Faite un clic-droit sur l'icône de WinPT > "Current Window" > "Decrypt/Verify"
  2. Si le message est chiffré et vous est destiné, vous devrez entrez la passphrase (le mot de passe) qui protège votre clé secrète. Cliquez sur "OK".
  3. Une fenêtre s'affiche indiquant qui a signé ce message et si la signature est bonne ou non.
    Si vous voyez "The signature is good", alors le message provient réellement de la personne indiquée.
    Dans le cas contraire, rien ne prouve que le message provient bien de la personne. Le message peut avoir été modifié ou être un faux.
  4. Si le message était chiffré, il s'affiche déchiffré à l'écran.
(Si le message était chiffré et qu'il ne s'est pas déchiffré, il est peut-être tout simplement déchiffré dans le presse-papier: coller-le texte dans le BlocNote.).


Conclusion

Voilà !

Vous connaissez maintenant les opérations principales de WinPT/gpg.

Vous avez tout ce qu'il faut pour communiquer de façon réellement privée avec qui vous voulez, et vous pouvez vous assurer de l'identité de l'auteur des messages.


http://sebsauvage.net

- sebdelkil 2009-2015 - Aucun droit réservé -