Exile on Keyboard St. - Blog sur Linux et Debian

Aller au contenu | Aller au menu | Aller à la recherche

vendredi 17 février 2017

Encrypter et decrypter vos fichiers sensibles avec gpg

On utilise souvent gpg pour encrypter les mails avant envoi avec le module Enigmail installé dans Icedove ou Thunderbird.

Mais à partir du moment où on a généré une paire de clé sur sa machine, on peut très bien aussi utiliser celle-ci pour encrypter nos fichiers sensibles de la même façon que si on s'envoyait ces fichiers par mail à nous même.

Imaginons que vous n'ayez pas encore généré de clé gpg, on va donc le faire maintenant:

Etape 1: Générer une clé RSA avec gpg

debian@debian-jessie:~$ gpg --gen-key
gpg (GnuPG) 1.4.18; Copyright (C) 2014 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Sélectionnez le type de clef désiré :
   (1) RSA et RSA (par défaut)
   (2) DSA et Elgamal
   (3) DSA (signature seule)
   (4) RSA (signature seule)
Quel est votre choix ? 1
les clefs RSA peuvent faire une taille comprise entre 1024 et 4096 bits.
Quelle taille de clef désirez-vous ? (2048) 1024
La taille demandée est 1024 bits
Veuillez indiquer le temps pendant lequel cette clef devrait être valable.
         0 = la clef n'expire pas
      <n>  = la clef expire dans n jours
      <n>w = la clef expire dans n semaines
      <n>m = la clef expire dans n mois
      <n>y = la clef expire dans n ans
Pendant combien de temps la clef est-elle valable ? (0) 0
La clef n'expire pas du tout
Est-ce correct ? (o/N) O

Une identité est nécessaire à la clef ; le programme la construit à partir
du nom réel, d'un commentaire et d'une adresse électronique de cette façon :
   « Heinrich Heine (le poète) <heinrichh@duesseldorf.de> »

Nom réel : GPG Test
Adresse électronique : gpg-test@debian-jessie
Commentaire : 
Vous avez sélectionné cette identité :
    « GPG Test <gpg-test@debian-jessie> »

Faut-il modifier le (N)om, le (C)ommentaire, l'(A)dresse électronique
ou (O)ui/(Q)uitter ? O
Une phrase secrète est nécessaire pour protéger votre clef secrète.

De nombreux octets aléatoires doivent être générés. Vous devriez faire
autre chose (taper au clavier, déplacer la souris, utiliser les disques)
pendant la génération de nombres premiers ; cela donne au générateur de
nombres aléatoires une meilleure chance d'obtenir suffisamment d'entropie.

Il n'y a pas suffisamment d'octets aléatoires disponibles. Veuillez faire
autre chose pour que le système d'exploitation puisse rassembler plus
d'entropie (287 octets supplémentaires sont nécessaires).
.+++++
+++++
De nombreux octets aléatoires doivent être générés. Vous devriez faire
autre chose (taper au clavier, déplacer la souris, utiliser les disques)
pendant la génération de nombres premiers ; cela donne au générateur de
nombres aléatoires une meilleure chance d'obtenir suffisamment d'entropie.
.....+++++
.+++++
gpg: clef B92948DE marquée de confiance ultime.
les clefs publique et secrète ont été créées et signées.

gpg: vérification de la base de confiance
gpg: 3 marginale(s) nécessaire(s), 1 complète(s) nécessaire(s),
     modèle de confiance PGP
gpg: profondeur : 0  valables :   1  signées :   0
     confiance : 0 i., 0 n.d., 0 j., 0 m., 0 t., 1 u.
pub   1024R/B92948DE 2017-02-12
 Empreinte de la clef = C5F3 6E3A 69D8 7A63 434F  43BF 4768 0256 B929 48DE
uid                  GPG Test <gpg-test@debian-jessie>
sub   1024R/7F8FD1CF 2017-02-12

Afin que la génération de la clé ne soit pas trop longue, on a utilisé une longueur de clé de 1024 bits. Et hormis l'adresse e-mail, le nom réel et la passphrase de la clé privée, on a conservé les valeurs par défaut.

Vérifions la clé générée

Etape 2: Lister les clés gpg

debian@debian-jessie:~$ gpg --list-keys --armor
/home/debian/.gnupg/pubring.gpg
-------------------------------
pub   1024R/B92948DE 2017-02-12
uid                  GPG Test <gpg-test@debian-jessie>
sub   1024R/7F8FD1CF 2017-02-12

Voilà, nous somme prêt à encrypter un fichier.

Etape 3: Encrypter un fichier avec gpg

Voici les données que nous allons encrypter:

debian@debian-jessie:~$ cat secret_file.txt
This file contains sensitive data that we do not want to disclose.

That's why we will encrypt it with gpg asymetric encryption.

La commande à utiliser est toute simple. Il faut préciser:

  • la clé publique à utiliser pour encrypter, ce qui se fait en donnant l'adresse e-mail de celle-ci,
  • le fichier à encrypter
debian@debian-jessie:~$ gpg --recipient gpg-test@debian-jessie --encrypt secret_file.txt 
debian@debian-jessie:~$ ls secret_file.txt*
secret_file.txt  secret_file.txt.gpg

Le fichier initial secret_file.txt a été encrypté dans un fichier secret_file.txt.gpg.

Attention: Le fichier initial secret_file.txt n'est pas supprimé par gpg, c'est à vous de le faire explicitement !!!

Maintenant si on souhaite que le fichier encrypté s'appele autrement, par exemple safe_file.ext pour tromper l'ennemi:

debian@debian-jessie:~$ gpg --recipient gpg-test@debian-jessie --output safe_file.ext --encrypt secret_file.txt 

Cela se fait avec le flag --output qu'il faut placer avant le flag --encrypt.

Etape 4: Décrypter un fichier encrypté avec gpg

Maintenant, nous allons décrypter le fichier précédemment encrypté de la façon suivante:

debian@debian-jessie:~$ gpg --recipient gpg-test@debian-jessie --decrypt safe_file.ext 

Une phrase secrète est nécessaire pour déverrouiller la clef secrète de
l'utilisateur : « GPG Test <gpg-test@debian-jessie> »
clef RSA de 1024 bits, identifiant 7F8FD1CF, créée le 2017-02-12 (identifiant de clef principale B92948DE)

gpg: chiffré avec une clef RSA de 1024 bits, identifiant 7F8FD1CF, créée le 2017-02-12
      « GPG Test <gpg-test@debian-jessie> »
This file contains sensitive data that we do not want to disclose.

That's why we will encrypt it with gpg asymetric encryption.

On utilise maintenant le flag --decrypt, gpg nous demande la passphrase de la clé privée nécessaire à la décryption, et le contenu décrypté s'affiche sur la sortie standard.

Si l'on souhaite que le contenu décrypté soit enregistré dans le fichier output.txt, on utilise le flag --output comme suit:

debian@debian-jessie:~$ gpg --recipient gpg-test@debian-jessie --output output.txt --decrypt safe_file.ext 

Une phrase secrète est nécessaire pour déverrouiller la clef secrète de
l'utilisateur : « GPG Test <gpg-test@debian-jessie> »
clef RSA de 1024 bits, identifiant 7F8FD1CF, créée le 2017-02-12 (identifiant de clef principale B92948DE)

gpg: chiffré avec une clef RSA de 1024 bits, identifiant 7F8FD1CF, créée le 2017-02-12
      « GPG Test <gpg-test@debian-jessie> »

Vérifions le fichier décrypté:

debian@debian-jessie:~$ cat output.txt 
This file contains sensitive data that we do not want to disclose.

That's why we will encrypt it with gpg asymetric encryption.

Voilà, ce billet est un peu long. J'espère qu'il démystifie quelque peu l'utilisation de gpg pour ceux qui ne l'utilisent pas habituellement.

lundi 30 janvier 2017

Le Tor Browser Launcher ne fonctionne plus sur Debian ?

La dernière fois que j'ai utilisé le Tor Browser sur Debian, installé avec le paquet torbrowser-launcher, tout fonctionnait parfaitement.

Mais depuis, lors du lancement, le Tor Browser veut télécharger la dernière version du bundle et à la fin ce processus échoue en disant que la signature du fichier téléchargé est incorrecte:

Capture-Tor_Browser.png

J'ai essayé plusieurs fois et j'ai toujours le même message: "SIGNATURE VERIFICATION FAILED".

Dans la configuration du Tor Browser, on peut spécifier si le téléchargement s'effectue avec Tor ou non.

Capture-Tor_Browser_Launcher_Settings.png

Mais que la mise à jour soit faites par Tor ou non ne change rien au problème.

J'aimerai bien pouvoir utiliser ma version 6.0.8 bien qu'elle soit obsolète mais cela semble interdit ... C'est dommage, je le trouvais très commode ce paquet torbrowser-launcher pour utiliser Tor :-(

Je vais donc creuser la piste qui consiste à forcer l'utilisation de la version actuelle ou essayer d'utiliser les autres miroirs mais je pense qu'il y a une régression dans le code de vérification de la somme de contrôle du fichier.

Enfin, désinstaller complètement le paquet et le ré-installer n'a rien donné non plus.

mercredi 12 novembre 2014

Enregistrer les mots de passe dans le navigateur avec Mozilla Firefox

Quand on navigue sur Internet en utilisant des services sur lesquels on est authentifié, on passe son temps à saisir des mots de passe: par exemple un agrégateur de flux, le mail, etc ...

Utiliser le même mot de passe partout est, rappelons le, très fortement déconseillé et pas vraiment applicable en raison de la diversité des règles de choix d'un mot de passe (password policies) d'un site à l'autre.

Noter ses mots de passe sur un petit papier à coté de l'écran est encore pire :-(

Il reste alors la solution du gestionnaire de mots de passe, logiciel avec lequel on entre nos mots de passe avec les identifiants correspondants. Le gestionnaire de mots de passe nous demandera alors ... un mot de passe pour protéger le tout.

Les gestionnaires de mots de passe peuvent être classés d'une part dans deux catégories selon qu'ils sont:

  • locaux - les données restent sur votre machine,
  • en ligne - les données vont sur le 'cloud' (par exemple LastPass ou Firefox Sync)

Et d'autre part selon qu'ils sont:

  • externes au navigateur comme: KeePassX, KeePass2, ...
  • intégrés au navigateur comme la fonctionnalité d'enregistrement des mots de passe dans Firefox

En principe, je me méfie des gestionnaires de mots de passe en ligne et préfère utiliser le 'cloud' pour des données moins sensibles et de préférence que j'aurai cryptées préalablement.

Les gestionnaires externes comme KeePassX sont très bien faits, sécurisés, avec beaucoup d'options mais au final on passe son temps à Copier/Coller les mots de passe vers le navigateur.

D'où l'intérêt d'utiliser le système d'enregistrement de mots de passe de Firefox, à condition d'utiliser un mot de passe maître.

ATTENTION: Sans mot de passe maître, tout utilisateur de votre navigateur pourra voir les mots de passe enregistrés et aussi les exporter avec un Plugin adéquat.

Concrètement:

  • le mot de passe maître est demandé lorsque vous naviguez sur le premier site qui requiert un mot de passe,
  • cela complète les champs identifiants et mot de passe de l'authentification,
  • il n'y a plus qu'à s'authentifier sur le site en question

De plus, le fait de saisir le mot de passe maître au démarrage ne permet pas pour autant de voir la liste des mots de passe: cette opération requiert de saisir le mot de passe maître A CHAQUE FOIS et c'est heureux !

Enfin Firefox propose s'enregistrer chaque nouveau mot de passe, on peut confirmer ou infirmer cette action, et même avoir une liste de sites pour lesquels on n'enregistre jamais de mots de passe.

samedi 26 juillet 2014

Attention: Faux mails de remboursement d'impôts

Au mois de septembre prochain, le montant de l'impôt dû sera connu et on recevra notre petite feuille dans la boîte aux lettres. Si vous payez des impôts comme moi, vous savez qu'obtenir un remboursement n'est pas courant.

Il y a pourtant des petits filous qui essaient de nous faire croire le contraire ...

En effet, je viens de recevoir le mail suivant:

phishing-impots.jpg

A première vue, l'hameçonnage n'est pas si mal réussi, Gmail n'a pas vu de problème concernant la véracité de l'adresse de l'expéditeur, les images des impôts sont bien imitées même si elles manquent de définition.

Par contre ce qui ne trompe pas dans ce mail, ce sont les nombreuses fautes d'orthographe et le sujet du mail qui reprend l'adresse e-mail du soi-disant expéditeur: normalement les impôts utilisent un vrai sujet comme: "Votre déclaration en ligne".

Si par hasard vous cliquez sur le lien en question, on arrive sur la page suivante qui mime le mieux possible le site des impôts, à part qu'aucun lien ne fonctionne évidemment ... et que parmi les informations que l'on vous demande pour être remboursé figure VOTRE MOT DE PASSE !!!!

Rappelons le, aucune administration ou entreprise sérieuse ne vous demandera jamais votre mot de passe, si ce n'est pour en changer, et encore après vous être authentifié.

phishing-impots-site.png

Inutile de vous dire que l'expérience s'arrête là et qu'il ne faux surtout pas remplir ce formulaire avec vos identifiants, il suffit de regarder le début de l'URL du site "des impôts": http://nissan-club.by.

Vous pouvez maintenant retourner dans votre boite mail et signaler le message comme étant du phishing, cela évitera aux autres destinataires de ce message de se faire avoir.

Il est d'ailleurs conseillé dans les options de Firefox, sur l'onglet "Sécurité" de cocher l'option: "Bloquer les sites signalés comme étant des contrefaçons", comme cela c'est le navigateur qui bloquera de lui même l'accès à de tels sites.

- page 1 de 3