Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 04-03-2017 12:50:15

Albator_123
Membre
Distrib. : Debian 8.7
Noyau : Linux 3.16.0-4-amd64
(G)UI : Mate
Inscription : 20-02-2017

[Résolu]Signature PGP ou S/Mime

Bonjour a tous,

Je vous livre mon point de vue :
Si on veut chiffrer et signer ses messgaes...
Deux solutions s'offrent a nous : PGP ou S/Mime.
Le premier est gratuit et le deuxiéme est payant.

PGP n'est pas certifié par une autorité...
Donc le destinataire peut en douter...
Alors que S/Mime est certifié et prouvé par tous les clients / Navigateurs...

Qu'en pensez-vous?
Sommes nous condamnés a acheter des certificats tiers qui disposent de nos cles privees et de nos passphrases?

Qu'en pensez-vous?

Merci a tous.

Dernière modification par Albator_123 (07-03-2017 22:23:38)

Hors ligne

#2 04-03-2017 13:30:40

kyodev
Banni(e)
Lieu : Lyon
Distrib. : Debian
Noyau : probablement stretch
(G)UI : variable selon l'humeur de naguam
Inscription : 18-08-2013

Re : [Résolu]Signature PGP ou S/Mime

hello

un petit article qui faisait le point il y a un an:
https://www.nextinpact.com/news/97852-d … r-tous.htm

en attendant let's encrypt pour s/mime(?), des certificats gratuits:
https://en.wikipedia.org/wiki/S/MIME#Fr … te_issuers

mais bon quel intérêt? j'utilise pgp pour chiffrer mes messages qui ne doivent pas être lus par n'importe qui. dans ce cas,  seul le principe de clés asymétriques importe.
je regrette que cela ne soit pas une évidence pour être appliqué par défaut à tout le monde...

à toi de fixer ton seuil de confiance, pgp est basé sur ça, et me parait aussi sûr (ou +) que des certificats émis par des sociétés commerciales que je NE connais PAS et qui ont déjà prouvées qu'elles étaient capables de bavures.

je ne vois pas l'intérêt que mme michud ait confiance en moi à priori, par contre quand on communique avec des gens dont la confiance a été établie selon NOS critères, là on maitrise tout avec pgp et tu peux lui envoyer ton journal intime en toute sécurité.

ce n'est que mon avis

[mode aéré]

Hors ligne

#3 04-03-2017 20:04:50

Albator_123
Membre
Distrib. : Debian 8.7
Noyau : Linux 3.16.0-4-amd64
(G)UI : Mate
Inscription : 20-02-2017

Re : [Résolu]Signature PGP ou S/Mime

Bonjour et merci pour ta réponse.

Ok quand je discute avec quelqu'un que je connais... et même si c'est quelqu'un que je connais... qu'est ce qui lui prouve que ce soit moi l'émetteur de ce certificat?
Et c'est pire dans des échanges quotidiens avec des gens un peu plus sérieux et à cheval sur la sécurité.

Admettons, on rentre en contact tous les deux, et qu'on applique de base le PGP ou SMIME, tu vas m'envoyer ta clé publique + ton message -> Ce qui me gêne la-dedans c'est que je ne suis pas sur que ce soit toi, car je peux tout fait me passer pour toi auprès de qq d'autre...

et dans un contexte professionnel, on passe pour des amateurs sans certificat certifié! non?

Hors ligne

#4 04-03-2017 21:44:20

kyodev
Banni(e)
Lieu : Lyon
Distrib. : Debian
Noyau : probablement stretch
(G)UI : variable selon l'humeur de naguam
Inscription : 18-08-2013

Re : [Résolu]Signature PGP ou S/Mime

pas sûr de tout comprendre, mais je vais essayer de répondre au mieux.

si je t'envoie ma clé publique, tu peux vérifier que c'est /me, mais tu ne me connais pas, sauf qu'à l'avenir tu sauras que /me est le même.

après il faut augmenter la confiance sur /me, émetteur de cette clé.

ou tu fais confiance à une société (qui s'est déjà fait abusé) et que j'aurais pu éventuellement tromper si je voulais abuser. dans ce cas, tu délègues ta confiance à cette société.
comme si je débarquais chez toi avec un fausse carte de police, tu marcherais facilement, car tu n'aurais pas l'idée de vérifier. mais ça peut suffire pour des problèmes simples.
certains certificats commerciaux, bien plus chers, ont un niveau de sécurité élevé, je suis pas en train de dénigrer toute la profession.

ou alors, et ça prend un peu plus de temps, nous établissons divers circuits pour se communiquer les mêmes clés et vérifier qu'elles sont identiques, par exemple. après on peut les valider par un jeu de questions/réponses. à nous de trouver les procédures, en fonction de l'enjeu, qui conviennent, et pourraient éviter un abus et une usurpation d'identité.

si, de plus, ma clé est elle même signée comme de confiance par d'autres, ça rassure un peu plus, surtout si dans le lot tu connais des tiers "qui se portent garants" (faut pas non plus trop fermer les yeux).

biensûr, rien ne vaut un échange physique de clé publique. ce premier échange est critique.

tu peux te faire passer pour moi, auprès de quelqu'un qui ne me connait pas, à qui tu donnes un clé bidon et qui ne vérifie pas cette clé. mais là c'est un problème, important, de naïveté et de formation.

le milieu pro, ça veut rien dire, c'est vaste.
mais si le contexte devient sensible, ce qui est en premier important c'est que le contenu soit chiffré, donc non déchiffrable par quelqu'un de non autorisé, ne serait ce que pour éviter l'espionnage industriel ou la nsa. imagine tous les avocats qui communiquent sur des données sensibles via mail...

si l'identité en milieu pro est importante, j'ai pas d'avis particulièrement éclairé. quand j'entends parlé d'abus avec simplement du social engineering de base, je pense que la sécurité dans ce domaine n'est pas rentrée dans les mœurs. et c'est un vaste domaine.

[mode aéré]

Hors ligne

#5 04-03-2017 21:56:18

otyugh
Membre
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016

Re : [Résolu]Signature PGP ou S/Mime

Albator_123 a écrit :

Ok quand je discute avec quelqu'un que je connais... et même si c'est quelqu'un que je connais... qu'est ce qui lui prouve que ce soit moi l'émetteur de ce certificat?


Oui, le seul moyen "sûr à 100%" c'est d'échanger vos clé publiques en main propre.

Un réseau de confiance reste très solide, quand le certificat par un "tier de confiance" reste une source de vulnérabilité évidente (car centralisé).

Dernière modification par otyugh (04-03-2017 21:57:54)


Agenda du libre : se faire dépanner/dépanner IRL ! Le libre n'est pas qu'un phénomène internet.
Framapad sur les balados : Emissions audio pro/amateur, votre radio sur-mesure !

Hors ligne

#6 04-03-2017 21:58:54

Albator_123
Membre
Distrib. : Debian 8.7
Noyau : Linux 3.16.0-4-amd64
(G)UI : Mate
Inscription : 20-02-2017

Re : [Résolu]Signature PGP ou S/Mime

OK je te remercie beaucoup.
C'est vrai qu'à un moment donné de la chaine de confiance, on doit commencer par faire confiance...
Société commerciale ou sa distribution dans notre cas.
Mais c'est vrai que je serais plus sûr si je génère le certificat moi-même que si je le fais générer par une autorité qui peut se faire abuser...
Ensuite à moi de convaincre mon contact.

Excellente démarche que de penser que c'est plutôt le contenu qui doit être chiffré que l'expéditeur doit être authentifié.
Enfin les deux sont importants à mes yeux quand-même...

Ca dépend des contextes...

Hors ligne

#7 04-03-2017 22:04:42

Albator_123
Membre
Distrib. : Debian 8.7
Noyau : Linux 3.16.0-4-amd64
(G)UI : Mate
Inscription : 20-02-2017

Re : [Résolu]Signature PGP ou S/Mime

otyugh a écrit :

Albator_123 a écrit :

Ok quand je discute avec quelqu'un que je connais... et même si c'est quelqu'un que je connais... qu'est ce qui lui prouve que ce soit moi l'émetteur de ce certificat?


Oui, le seul moyen "sûr à 100%" c'est d'échanger vos clé publiques en main propre.

Un réseau de confiance reste très solide, quand le certificat par un "tier de confiance" reste une source de vulnérabilité évidente (car centralisé).



Ah c'est beau ce que tu dis...
Purée....C'est pas faux...
A méditer mais tu m'as convaincu...

Hors ligne

#8 04-03-2017 22:53:19

otyugh
Membre
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016

Re : [Résolu]Signature PGP ou S/Mime

Je n'ai fait que résumer Kyodev.

Pour le "réseau de confiance", si tu veux en savoir plus sur comment le faire concrètement (sans forcément connaître le correspondant) :
https://www.gnupg.org/gph/fr/manual.html#AEN562

Cette page est très complète même si un peu "rugueuse" tongue (pur texte !)

Agenda du libre : se faire dépanner/dépanner IRL ! Le libre n'est pas qu'un phénomène internet.
Framapad sur les balados : Emissions audio pro/amateur, votre radio sur-mesure !

Hors ligne

#9 04-03-2017 23:07:06

Albator_123
Membre
Distrib. : Debian 8.7
Noyau : Linux 3.16.0-4-amd64
(G)UI : Mate
Inscription : 20-02-2017

Re : [Résolu]Signature PGP ou S/Mime

Excellent.
Merci beaucoup.

Hors ligne

#10 05-03-2017 00:15:21

kyodev
Banni(e)
Lieu : Lyon
Distrib. : Debian
Noyau : probablement stretch
(G)UI : variable selon l'humeur de naguam
Inscription : 18-08-2013

Re : [Résolu]Signature PGP ou S/Mime

oui, hormis le chiffrement qui devrait être utilisé de base, pour la partie "sécurité augmentée", il faut aussi surtout se servir de son bon sens.

perso, je suis pas fan de clés signées par des inconnus.
tu apprécies ma réponse, je te suis sympathique (parce ce que tu m'as pas vu;) et je te demande de signer ma clé.
Erreur: ne pas signer la clé de quelqu'un que tu ne connais pas de visu, avec papier d'identité, etc. ce ne doit pas être une question de sympathie.
procédure Debian

j'ai aperçu sur le net, un truc Chiffrofête , qui en est encore à promouvoir trueCrypt...
ça ressemble à de joyeux fêtards, mais n'informe d'aucune procédure à suivre. une nouvelle sorte de réseau social à la FB pour geekounets, j'imagine.

bien sûr, si les tiers signataires ont des mails debian, ou s'appellent stallman ou smolski, ça change ma confiance.

cle PnuPg: 0xe8e38a11

voilà l'id de ma clé, si tu va chercher, tu trouveras ma clé, mon mail, et tu pourras m'envoyer un mail que seul l'humain ayant cette clé pourra lire.
à ce stade c'est tout ce que tu as, la confidentialité.

Edit: un serveur de clé: http://pool.sks-keyservers.net/

Dernière modification par kyodev (05-03-2017 00:16:33)


[mode aéré]

Hors ligne

#11 05-03-2017 17:37:26

Albator_123
Membre
Distrib. : Debian 8.7
Noyau : Linux 3.16.0-4-amd64
(G)UI : Mate
Inscription : 20-02-2017

Re : [Résolu]Signature PGP ou S/Mime

Ah ok je ne connaissais pas!
Donc en gros pour vérifier l'empreinte de la clé soit j'appelle le mec et je la lui donne  (par rapport a celle qu'il a recue dd ma part) soit je lui donne ce lien sur lequel j'aurais envoyé ma clé... et il pourra voir que c'est bien moi...
Merci beaucoup.

Hors ligne

#12 05-03-2017 19:25:11

kyodev
Banni(e)
Lieu : Lyon
Distrib. : Debian
Noyau : probablement stretch
(G)UI : variable selon l'humeur de naguam
Inscription : 18-08-2013

Re : [Résolu]Signature PGP ou S/Mime

si tu me donnes Ta clé Publique, je m'en sers pour chiffrer un message que seul le détenteur de la clé Secrète pourra déchiffrer et lire.

auparavant, quand tu m'envoies ta clé Publique, je regarde sur ce serveur, si ta clé est publiée et si elle correspond bien au mail et à l'identité annoncée. ça participe au faisceau de présomption.
mais je te rassure, les softs font très bien ça tout de manière transparente GnuPg, Enigmail

il n'y pas obligation de déposer sa clé sur un serveur publique, mais ça peut être être bien pour se faire reconnaitre publiquement
tu peux avoir plusieurs clés.

je peux donc juste savoir que la clé que tu m'envoies, est bien publiée sur le serveur au nom de albator_123 (l'identité des pseudo ne sont pas vérifiables classiquement). Si cette clé est signée par smolski@laSieste.org, là je peux raisonnablement(?) penser que ton identité et cette clé ont été vérifiées soigneusement.

essaye enigmail, c'est simple et tu devrais commencer à mieux comprendre

[mode aéré]

Hors ligne

#13 05-03-2017 19:43:56

Albator_123
Membre
Distrib. : Debian 8.7
Noyau : Linux 3.16.0-4-amd64
(G)UI : Mate
Inscription : 20-02-2017

Re : [Résolu]Signature PGP ou S/Mime

Ah ok cool merci.
Question, ces clés GnuPG est il compatible avec quelqu'un qui aurait la suite Microsoft?
Merci

Hors ligne

#14 05-03-2017 20:15:09

kyodev
Banni(e)
Lieu : Lyon
Distrib. : Debian
Noyau : probablement stretch
(G)UI : variable selon l'humeur de naguam
Inscription : 18-08-2013

Re : [Résolu]Signature PGP ou S/Mime

la quoi?

même sous windos, dans la grande bonté Gnu, y'a enigmail et GnuPg
(je m'en sers, mais faut pas le dire)

donc après, si c'est pour envoyer un mail, le mieux, c'est thunderbird, pas sûr qu'enigmail prend en charge outlook&co
outlook et la sécurité... crosoft et la sécurité...

[mode aéré]

Hors ligne

#15 05-03-2017 20:37:32

Albator_123
Membre
Distrib. : Debian 8.7
Noyau : Linux 3.16.0-4-amd64
(G)UI : Mate
Inscription : 20-02-2017

Re : [Résolu]Signature PGP ou S/Mime

Ptdr...
A priori quelques plugins ont été développés pour Outlook qui gèrent des Clés OpenPGP...
Pourquoi pas... Si parfois on doit utiliser Windows pour diverses raisons au moins on peut crypter qq choses et prouver que c'est bien nous qui écrivons...

Le seul problème là-dedans est de pousser notre interlocuteur à ne pas tenir compte des messages non signés.... Pfff tu parles... en France, je pleure quand je vois notre niveau là-dedans... On ne prend rien au sérieux...
Mais ça c'est une autre histoire...

Hors ligne

#16 05-03-2017 20:48:06

kyodev
Banni(e)
Lieu : Lyon
Distrib. : Debian
Noyau : probablement stretch
(G)UI : variable selon l'humeur de naguam
Inscription : 18-08-2013

Re : [Résolu]Signature PGP ou S/Mime

windos, pas de pbs, je l'utilise, mais après faut essayer d'utiliser les outils qui vont mieux
je ne veux pas dire que windos ne sert A RIEN (private joke), puisque certaines choses sont difficiles à trouver ailleurs
donc windos oui, outlook, ie, word... Inutiles, souvent

déjà si tu lui mets ta clé inline (visible dans le corps du mail), ça peut l'intriguer, l'inciter à te questionner sur le sujet, et se dire que toi tu as tout compris

oui... pour le reste sad

[mode aéré]

Hors ligne

#17 05-03-2017 20:55:57

Albator_123
Membre
Distrib. : Debian 8.7
Noyau : Linux 3.16.0-4-amd64
(G)UI : Mate
Inscription : 20-02-2017

Re : [Résolu]Signature PGP ou S/Mime

Oui tu as tout à fait raison.
Je te remercie en tout cas de ce partage et de m'avoir apporté tes lumières là-dessus.
C'est très sympa de ta part.
Merci à toi.

Hors ligne

#18 05-03-2017 21:12:35

otyugh
Membre
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016

Re : [Résolu]Signature PGP ou S/Mime

Albator_123 a écrit :

Ah ok cool merci.
Question, ces clés GnuPG est il compatible avec quelqu'un qui aurait la suite Microsoft?
Merci


Le détail qui fait mal en sécurité, c'est que la moindre faille est fatale, et Windows risque d'en avoir d'ouvertes ; de volontaires je veux dire. C'est tout le problème de mélanger du propriétaire avec du libre. Et toute l'importance de tendre vers du "pur libre".


Agenda du libre : se faire dépanner/dépanner IRL ! Le libre n'est pas qu'un phénomène internet.
Framapad sur les balados : Emissions audio pro/amateur, votre radio sur-mesure !

Hors ligne

#19 05-03-2017 21:52:37

Patrick Debian
Membre
Distrib. : Debian 8.8 Oldstable main_contrib_non-free_backpor
Noyau : Linux 3.16.0-4-amd64
(G)UI : Mate
Inscription : 14-12-2016

Re : [Résolu]Signature PGP ou S/Mime

Bonsoir,
Un autre moyen généralement utilisé, pour être sûr que la clé publique est la bonne, est de mettre l'empreinte numérique de sa clé publique sur son site Web, son blog ou dans sa signature de membre d'un forum (Comme je fais, tu peux la voir en bas de mon message), comme cela, il est très difficile à quelqu'un de l'usurper. Par plus de sécurité pour approcher les 100 %, quand tu prends cette empreinte du site, blog ou signature, tu demandes à la personne de vérifier si un cracker n'a pas changer son empreinte.

Pour ce qui est d'utiliser le chiffrement asymétrique que pour les messages sensibles, cela, est de ce que j'ai comprit sur plusieurs manuels, une erreur, car un attaquant verra alors clairement les messages qu'ils devra attaquer. Il faut noyer les messages sensibles avec les messages ordinaires et utiliser GnuPG avec les correspondants sensibles et les ordinaires afin que l'attaquant ne sache pas où attaquer et soit déborder.

Dans le titre des messages, ne pas mettre « sujet sensible », mais un sujet ordinaire « lettre de ce 02/02/2017 ».

                                debian.pngdebian.png

8227 E1b9 96a8 0824 Ffa4  8100 310d B96b A792 F6e1
keys.gnupg.net

Hors ligne

#20 05-03-2017 22:04:38

kyodev
Banni(e)
Lieu : Lyon
Distrib. : Debian
Noyau : probablement stretch
(G)UI : variable selon l'humeur de naguam
Inscription : 18-08-2013

Re : [Résolu]Signature PGP ou S/Mime

otyugh a écrit :

Windows risque d'en avoir d'ouvertes

tu as des preuves?
je plaisante, respire et ne bernacle pas


patrick à tout à fait raison,  mais actuellement si on chiffre tout, on a plus beaucoup d'amis...
en clair, le sujet n'est pas chiffré, donc visible.

--
B2C9 FAC9 A205 0D95 C293 A004 3FA3 F14C E8E3 8A11

Dernière modification par kyodev (05-03-2017 22:11:25)


[mode aéré]

Hors ligne

#21 05-03-2017 22:23:43

Patrick Debian
Membre
Distrib. : Debian 8.8 Oldstable main_contrib_non-free_backpor
Noyau : Linux 3.16.0-4-amd64
(G)UI : Mate
Inscription : 14-12-2016

Re : [Résolu]Signature PGP ou S/Mime

Hey ! Kyodev !

Soit tu as fait une blague en mettant tes caractères, soit tu t'ais trompé, (d'ailleurs, il n'y a que des majuscules !?), soit tu ne t'ais pas « exporté » sur un keyserveur.

De plus, ta citation n'est pas de moi, mais d'un « monstre » en informatique.

                     :-)

8227 E1b9 96a8 0824 Ffa4  8100 310d B96b A792 F6e1
keys.gnupg.net

Hors ligne

#22 05-03-2017 22:41:41

kyodev
Banni(e)
Lieu : Lyon
Distrib. : Debian
Noyau : probablement stretch
(G)UI : variable selon l'humeur de naguam
Inscription : 18-08-2013

Re : [Résolu]Signature PGP ou S/Mime

quoi? un monstre ou?

non sur ce coup, je comprend pas la manip que j'ai pu faire, mais j'ai corrigé bien avant ta remarque, pardon /o\

pour le reste, je comprend pas:
http://pgp.mit.edu/pks/lookup?search=0x … erprint=on
tout en majuscule comme enigmail me l'a sorti, je m'identifie smile

[mode aéré]

Hors ligne

#23 05-03-2017 22:44:32

Patrick Debian
Membre
Distrib. : Debian 8.8 Oldstable main_contrib_non-free_backpor
Noyau : Linux 3.16.0-4-amd64
(G)UI : Mate
Inscription : 14-12-2016

Re : [Résolu]Signature PGP ou S/Mime

Désolé, l'empreinte est bonne, c'est moi qui suis pas bon dans la recherche de clé sur un serverkeys. Il faut que je me perfectionne

8227 E1b9 96a8 0824 Ffa4  8100 310d B96b A792 F6e1
keys.gnupg.net

Hors ligne

#24 05-03-2017 23:01:15

kyodev
Banni(e)
Lieu : Lyon
Distrib. : Debian
Noyau : probablement stretch
(G)UI : variable selon l'humeur de naguam
Inscription : 18-08-2013

Re : [Résolu]Signature PGP ou S/Mime

en fait, t'es peut-etre pas si mauvais;)
j'avais  pool.sks-keyservers.net et  keys.gnupg.net en carafe quand j'ai voulu vérifier
maintenant ils fonctionnent

[mode aéré]

Hors ligne

#25 07-03-2017 16:16:41

kyodev
Banni(e)
Lieu : Lyon
Distrib. : Debian
Noyau : probablement stretch
(G)UI : variable selon l'humeur de naguam
Inscription : 18-08-2013

Re : [Résolu]Signature PGP ou S/Mime

@Albator_123, \o/ : C'est résolu ? Bien mais il faut l'indiquer dans l'titre.

et hop, ma com. en pt choco qui va tomber bientôt

[mode aéré]

Hors ligne

Pied de page des forums