Debian-facile

MdgRUN

Membre

Lieu : Plaine des Cafres

Distrib. : Bullseye

Noyau : 5.10....et+

(G)UI : Lxqt

Inscription : 27-09-2016

Certificats et cryptographie.

Bonjour, je synchronise habituellement des machines qui présentent  "syncthing"
dans le menu du bureau (Mate, Xfce,...) et après identification + MdPass
une interface en GTK s'ouvre et parfois la version par le navigateur est
proposée. RAS.

En voulant connecter un portable équipé d'une distribution "Trisquel", je lance
le serveur en ligne de commande car la version GTK est absente.
L'ouverture du navigateur se fait classiquement en https://127.0.0.1:8384/
mais avec une mise en garde: CERTIFICAT de SECURITE INVALIDE

j'en obtiens les dates de validité ( de 2022 à 2049 ) et l'algorithme
de signature : SHA-256 with RSA Encryption.....qui me semble léger quand j'ai
dû manipuler de clés privées de 4096 bits.

Je suis bien là dans une forme d'intranet mais le principal défaut de sécurité
semble être le fait que ce certificat est AUTO-SIGNE .

Quelle autorité de signature mettre en place pour continuer à échanger des
fichiers par un WiFi sécurisé entre ces machines ?


Le certificat actuellement en place concerne-t-il uniquement Firefox .....et
quel que soit le port ouvert ?

Peut-on renforcer ce certificat en le ré-éditant ?

Quelle sécurité obtenue par la couche GTK à partir de l'ID+MdPass ?

---

**Donnez une poignée de sable à un poète,il en fera des étoiles **

MdgRUN

Membre

Lieu : Plaine des Cafres

Distrib. : Bullseye

Noyau : 5.10....et+

(G)UI : Lxqt

Inscription : 27-09-2016

Re : Certificats et cryptographie.

En relisant mon message précédent, je vois que je me suis mélangé les pinceaux 

Pour une confidentialité persistante (PFS - Perfect Forward Secrecy)
qui suppose un échange synchrone pour se transmettre une clé de chiffrement
temporaire ( OTR ou à TLS ou SSH ) je renvoie à cette adresse:

---> /ssl-tools.net/

Par contre pour la construction de mes clés/GPG je manque de "bruit aléatoire " sur une machine:

  cat /proc/sys/kernel/random/entropy_avail  

  256

J'ai installé nrgtools5.

   rngtest --help

 Usage: rngtest [OPTION...]
Check the randomness of data using FIPS 140-2 RNG tests.

  -b, --blockstats=n         Dump statistics every n blocks (default: 0)
  -c, --blockcount=n         Exit after processing n blocks (default: 0)
  -p, --pipe                 Enable pipe mode: work silently, and echo to
                             stdout all good blocks
  -t, --timedstats=n         Dump statistics every n secods (default: 0)
  -?, --help                 Give this help list
      --usage                Give a short usage message
  -V, --version              Print program version


 

   RNGD --->   Check and feed random data from hardware device to kernel random device

 rngd -f -r /dev/urandom &  

  [1] 43688

  cat /proc/sys/kernel/random/entropy_avail  

  256

Qu'est-ce qui m'échappe?

Bien sûr sur cette machine j'ai pu importer ma clé depuis 1 server:

(Cette clé a été fabriquée sur une machine qui affiche régulièrement une
entropie > 3000 )

  gpg --keyserver pgp.########--recv-keys xxxxxxxxxxxx

 gpg: data source: http://:11371
gpg: en-tête d'armure : Version: SKS 1.1.6
gpg: en-tête d'armure : Comment: Hostname: pgp.########
gpg: pub  rsa4096/xxxxxxxxxxxxx2021-10-26  XXXXXXadresseMAILXXXXXXXXX
gpg: utilisation du modèle de confiance pgp
gpg: clef xxxxxxxxxxx : clef publique importée
gpg:       Quantité totale traitée : 1
gpg:                     importées : 1                                

Savez-vous d'ailleurs si l'on peut spécifier plusieurs serveurs dans
la conf. de .gnupg/gpg.conf ?

Enfin que me conseillez-vous de placer dans /usr/local/share/ca-certificates/ ?

---

**Donnez une poignée de sable à un poète,il en fera des étoiles **