PGP,
ça marche comment, concrètement ?
Le
principe : la cryptographie À CLEF PUBLIQUE
* LA PAIRE DE CLEFS : PGP génère une
paire de clefs
: clef publique + clef secrète.
La clef publique est distribuée au plus grand nombre, la clef
secrète reste sur l'ordinateur de son propriétaire.
La clef publique sert à chiffrer.
La clef secrète sert à déchiffrer.
Les correspondants de X lui envoient leurs fichiers
cryptés avec
sa clef publique.
Ce qui a été chiffré avec la clef publique de
X, ne peut être déchiffré que par la clef
secrète
de X. X est seul détenteur de cette clef secrète et doit
saisir un long mot de passe (une phrase) à chaque fois qu'il
veut
l'utiliser.
Le fichier de clefs secrètes contient en principe une seule
clef; le fichier de clefs publiques contient la clef de chacun de ses
correspondants.
L'utilité
: la CONFIDENTIALITÉ...
* LA CONFIDENTIALITÉ : Quiconque peut envoyer
un message
chiffré à X, même s'il ne l'a jamais
rencontré,
dès lors qu'il est en possession de sa clef publique (de
nombreux
serveurs de clefs publiques existent sur le Web, aux États-Unis
mais aussi dans chaque pays de l'Union Européenne). Seul X
pourra
déchiffrer ce message.
...
et la SIGNATURE DIGITALE
* L'AUTHENTIFICATION : PGP permet d'apposer une
signature digitale
sur les documents. Cette signature, effectuée par X à
l'aide
de sa clef secrète, est vérifiée par son
correspondant
à l'aide de la clef publique de X.
Y
a-t-il des précautions à prendre quand on utilise PGP?
Oui, au moins trois :
1) La longueur de la paire de clefs :
* PGP 5.x ou 6.x : générer une paire de clefs
DH/DSS de
2048 bits.
* PGP 2.6x : générer une paire de clefs RSA de 2048 bits.
(ATTENTION : si PGP vous demande de remuer la souris ou de
taper
du texte aléatoire sur le clavier, essayez de le faire avec
"hasard",
sinon ce peut être une cause de faiblesse de votre clef !)
2) La "phrase de passe" (long mot de passe)
protégeant la
clef secrète :
20 caractères sont un minimum (un mot de passe de
8 caractères est tout simplement inutile : quiconque aura
accès
à la clef secrète pourra craquer ce mot de passe !)
En théorie : pas de mot, de noms communs ou de noms propres,
ni de dates ou de nombres ayant une signification quelconque.
En pratique : une phrase dont vous vous rappellerez (tapez-la en
enlevant
les espaces entre les mots). Exemple : c'estavecunplaisirmafoinondissimulé
quejeremetsmaclésecrèteàuntiersdeconfiance:-(
3) Le stockage de la clef secrète :
Si plusieurs personnes ont accès à l'ordinateur,
le fichier
SECRING.PGP ou SECRING.SKR devra être gardé en lieu
sûr
: il contient votre clef secrète. Si quelqu'un le recopie il ne
lui manque plus que la phrase de passe pour utiliser cette clef
secrète
et signer... en vos lieu et place !
L'existence
de PGP a-t-elle des répercussions "politiques" ?
Oui, très importantes.
PGP modifie le rapport de force entre l'individu et les puissances
publiques ou privées car il permet à n'importe qui de
disposer
gratuitement, pour toutes ses données numérisées,
d'un coffre-fort imperçable. C'est pourquoi les gouvernements
ont
longtemps qualifié la cryptographie d'"arme de guerre" et
l'interdisaient
par principe puisqu'elle permet de se soustraire à leur
curiosité.
PGP autorise le secret total pour tous ceux qui le
désirent,
les amoureux comme les pires criminels, les entreprises ou les
organisations
de défense des droits de l'Homme comme les trafiquants de drogue
ou les négationnistes. Il créé une sphère
privée
irréductible. En cela, il est un élément
fondamental
de la révolution "Internet".
Un texte explique bien le "besoin" auquel a répondu PGP
: le
célèbre passage du Manuel d'utilisation de Zimmermann : "Pourquoi
j'ai écrit PGP"
Quelle
est l'histoire de PGP ?
D'une petite ville du Colorado en 1991 jusqu'au fin fond des
bourgades
françaises en 2000, l'histoire de la
diffusion
de PGP est pleine de rebondissements... et de versions diverses et
plus ou moins compatibles.
PGP
est-il piégé par la NSA américaine ?
Régulièrement, des rumeurs apparaissent, qui
expliquent
que PGP a pu être exporté des USA car la NSA (l'agence
d'espionnage
américaine) l'a piégé, c'est-à-dire a
inclus
dans le code une "porte arrière" (backdoor) lui permettant
d'accéder
aux messages cryptés.
PGP est-il piégé ? La réponse est NON.
Le code-source est public, donc des cryptographes
indépendants
peuvent le scruter, et précisément PGP est sans doute le
logiciel de cryptographie qui a été le plus
étudié.
On peut imaginer sans peine le retentissement mondial et la
publicité
qu'obtiendrait l'individu ou la compagnie qui aurait réussi
à
trouver un "piège" dans une version de PGP.
Phil Zimmermann, le créateur de PGP, s'est exprimé
au sujet de ces rumeurs (voir la traduction
française
de ce texte, qui avait été envoyé à
l'origine
à M. Bouissou, un des traducteurs français du manuel PGP
6.02i en juin 1999, suite à une vague de dénigrements en
France).
Si vous voulez en savoir plus, lisez cette page sur PGP
et les rumeurs.
Où
trouver des informations sur PGP et la cryptographie?
En
français :
Les
différentes versions
de PGP (traduit par Emilio Oriente)
Security.tao
Cryptologie et
sécurité
sur PC
FAQ sur la
longueur
des clefs en cryptographie (par Thomas Pornin)
La
FAQ
de "sci.crypt" (traduite par Michel Arboi)
Pour
la libéralisation de la cryptographie (par Ron Rivest)
Cryptographie
et réseau (par Philip Zimmermann)
Dossiers IRIS
Crypto
Encore
une page sur la crypto (la page de Sven Knispel)
Le "Crypto-Gram"
mensuel
de Bruce Schneier (traduit par Gilbert Fernandes)
La
réglementation
de la cryptologie (la page de Johannes Baagøe)
Une faille
dans
la loi sur la cryptologie (la page de Laurent Pelé)
Le chiffrement en
France
(la page de Stéphane Bortzmeyer)
Association des Utilisateurs
d'Internet
Delis (pas de crypto,
mais
des informations sur l'interconnexion informatique)
CNIL (Commission Nationale de
l'Informatique
et des Libertés) (pas de crypto, mais des informations sur
les
Libertés Publiques et l'informatique)
Forum de discussion : fr.misc.cryptologie
Forum de discussion : fr.comp.securite
Accès aux forums de discussion par le web : DejaNews
(entrer comme recherche le nom du forum).
En
anglais :
PGPi : International PGP Home
Page
(situé en Norvège)
La FAQ officielle de
PGPi
(par Ståle Schumacher Ytteborg)
La page de PGP Corporation
(situé
aux Etats-Unis)
La Homepage de Phil
Zimmermann
(créateur de PGP)
La page de GnuPG (version
libre
de PGP)
La page PGP de Tom McCune
Robert Guerra's
Cryptography,
PGP & Privacy Links
The
pgp-users
mailing list
Scramdisk Home page
(logiciel
de cryptage du disque dur - FAQ sur PGP)
Cryptome (nouvelles sur
la
cryptologie)
Crypto
Law Survey (les législations du monde entier)
RSA "FAQ
about
Today's Cryptography" 4.0
Electronic Privacy Information
Center
(EPIC)
Center for Democracy and Technology
(CDT)
Electronic Frontier Foundation (EFF)
Galactus
Anonymity
and privacy on the Internet
La page
de
la version PGP 2.63uin de Georg Bauer
The
Unofficial
International PGP Home Page (par Steve Crompton)
Trouver une clef PGP
sur
le serveur de Surfnet (Pays-Bas)
Publier une clef PGP
sur
le serveur de Surfnet (Pays-Bas)
Serveur de clefs publiques PGP
du
MIT
PGP Europe
Forum de discussion : alt.security.pgp
Forum de discussion : alt.security.scramdisk
Forum de discussion : sci.crypt
Accès aux forums de discussion par le web : DejaNews
(entrer comme recherche le nom du forum).
Mise à jour : octobre 2002
Publié sous licence OpenContent
Copyright (c) 1997-2002, pplf
|
L'