From: Michel Bouissou To: pingouin@sphinx.i-quake.com Date: Mon, 17 Sep 2001 12:42:50 +0200 Subject: [pingouin] GnuPG: Gestion de différentes adresses mail Poursuivons notre exploration de GnuPG... Si nous utilisons plusieurs adresses e-mail, par exemple: - une adresse privée albert.mudas@club-ouanadur.fr - une adresse professionnelle a.mudas@grosseboite.com - et un pseudonyme joyeux@7nains.org ...et que nous désirons utiliser GnuPG pour chiffrer notre mail avec ces différentes adresses, il est conseillé de faire apparaître chacune de ces adresses sur notre, ou nos clés GnuPG. Cela facilitera la vie de nos correspondants. En effet, les outils d'intégration de GnuPG dans des logiciels de mail (comme KMail) utilisent les adresses e-mail présentes dans les clés pour déterminer quelle clé utiliser pour le chiffrement. Ainsi, si je me crée une clé "albert.mudas@club-ouanadur.fr" et que je l'envoie à mes correspondants, mais si je leur écris ensuite en utilisant mon adresse "joyeux@7nains.org", mes correspondants ne pourront pas chiffrer automatiquement les messages pour "joyeux@7nains.org". Il leur faudra à chaque fois sélectionner à la main la clé "albert.mudas@club-ouanadur.fr", car le système ne sera pas en mesure de faire de lui-même le lien entre l'adresse e-mail et la clé. Bien. Nous voulons donc refléter toutes nos adresses e-mail dans nos clés GnuPG. Il y a plusieurs manières de procéder: - Nous pouvons nous créer une paire de clés différente (clé publique + clé privée) pour chacune de nos adresses e-mail. ou - Nous pouvons indiquer plusieurs adresses e-mail pour une même clé. En général, nous indiquerons plusieurs adresses e-mail sur la même clé si ces adresses e-mail remplissent à peu près la même fonction, et son équivalentes entre elles. Par exemple, si nous avons trois adresses e-mail "personnelles": - albert.mudas@club-ouanadur.fr - bebert812@freebertyride.com - amudas@hushmail.com ...Il sera logique d'indiquer ces différentes adresses sur la même paire de clés. Par contre, si nous avons des adresses e-mail destinées à des fins totalement différentes, et que nous ne désirons pas que ces adresses soient associées entre elles (par exemple, si nous ne désirons pas rendre évident que joyeux@7nains.org et a.mudas@grosseboite.com sont la même personne), il sera plus approprié de créer des paires de clés différentes pour ces différentes adresses. De plus, les messages chiffrés pour ces deux adresses seront alors chiffrés en utilisant des clés réellement différentes, avec peut-être une phrase secrète différente, ce qui offre un cloisonnement opportun entre la vie privée et la vie professionnelle. Comment procéder ? 1) Si nous voulons générer une deuxième paire de clés ============================================= Rien de plus simple. Il suffit de procéder exactement comme pour la génération de la première, avec: gpg --gen-key ...et créer ainsi une paire de clés flambant neuve. Nous posséderons alors deux (ou davantage) paires de clés (privée+publique) dans notre "trousseau", et chacune de ces paires de clés correspondra à une adresse e-mail différente. => On peut utiliser la même "phrase secrète" pour les différentes clés secrètes (pour se faciliter la vie), ou choisir une phrase secrète différente. Le choix pourra être basée sur l'estimation que l'on peut faire de devoir un jour révéler la phrase secrète d'une clé pour une raison quelconque (et qui impliquera la révocation immédiate de cette clé). Par exemple, on peut choisir d'utiliser la même phrase secrète pour différentes clés d'usage privé (adresses réelles ou pseudonymes), mais d'utiliser une phrase secrète différente pour une clé d'usage professionnel. => Si on dispose de plusieurs paires de clés dans son trousseau, il est alors conseillé de définir dans son fichier /home/albert/.gnupg/options quelle sera la clé privée à utiliser "par défaut", c'est-à-dire si on ne le précise pas à l'utilisation de GnuPG. => Si on ne définit pas la "clé par défaut", GnuPG utilisera la première qu'il trouvera, ce qui n'est pas forcément l'effet désiré. Supposons que nous ayions plusieurs clés, et que notre clé "par défaut" soit: [michel@silenus michel]$ gpg --list-keys albert.mudas pub 1024D/08989A8C 2001-09-17 Albert Mudas sub 2048g/F3DC19F2 2001-09-17 Nous préciserons alors dans notre fichier .options: # If you have more than 1 secret key in your keyring, you may want # to uncomment the following option and set your preffered keyid default-key 08989A8C 2) Si nous voulons définir plusieurs adresses e-mail pour la même clé: ======================================================== Nous pouvons alors ajouter de nouveaux "identifiants" à notre clé existante. Nous utiliserons pour cela la commande gpg --edit-key et la directive "adduid" Exemple: [michel@silenus michel]$ gpg --list-keys albert.mudas pub 1024D/08989A8C 2001-09-17 Albert Mudas sub 2048g/F3DC19F2 2001-09-17 [michel@silenus michel]$ gpg --edit-key 08989A8C La clé secrète est disponible. gpg: /home/michel/.gnupg/trustdb.gpg: base de confiance créée pub 1024D/08989A8C créée: 2001-09-17 expire: never confiance: -/u sub 2048g/F3DC19F2 créée: 2001-09-17 expire: never (1). Albert Mudas Commande> adduid Nom réel: Albert Mudas Adresse e-mail: bebert812@freebertyride.com Commentaire: Vous avez sélectionné ce nom d'utilisateur: "Albert Mudas " Changer le (N)om, le (C)ommentaire, l'(E)-mail ou (O)K/(Q)uitter ? O Vous avez besoin d'un mot de passe pour déverrouiller la clé secrète pour l'utilisateur: "Albert Mudas " clé de 1024 bits DSA, ID 08989A8C, créée le 2001-09-17 pub 1024D/08989A8C créée: 2001-09-17 expire: never confiance: -/u sub 2048g/F3DC19F2 créée: 2001-09-17 expire: never (1). Albert Mudas (2) Albert Mudas Commande> adduid Nom réel: Albert Mudas Adresse e-mail: amudas@hushmail.com Commentaire: Vous avez sélectionné ce nom d'utilisateur: "Albert Mudas " Changer le (N)om, le (C)ommentaire, l'(E)-mail ou (O)K/(Q)uitter ? O Vous avez besoin d'un mot de passe pour déverrouiller la clé secrète pour l'utilisateur: "Albert Mudas " clé de 1024 bits DSA, ID 08989A8C, créée le 2001-09-17 pub 1024D/08989A8C créée: 2001-09-17 expire: never confiance: -/u sub 2048g/F3DC19F2 créée: 2001-09-17 expire: never (1). Albert Mudas (2) Albert Mudas (3) Albert Mudas Commande> save [michel@silenus michel]$ gpg --list-keys albert.mudas pub 1024D/08989A8C 2001-09-17 Albert Mudas uid Albert Mudas uid Albert Mudas sub 2048g/F3DC19F2 2001-09-17 Voilà. Nous avons maintenant trois identités (adresses e-mail) présentes sur la même clé. => Chacun des correspondants à qui nous enverrons cette clé verra alors que ces adresses appartiennent à la même personne, et leur outil de mail pourra sélectionner automatiquement cette clé, quelle que soit l'adresse mail qu'ils utilisent pour nous écrire. => Après avoir modifié nos clés ou créé de nouvelles clés, PENSONS IMMEDIATEMENT A FAIRE UNE COPIE DE SECOURS du contenu de notre répertoire .gnupg Nous pouvons maintenant exporter nos nouvelles clés, ou notre clé "enrichie", dans un fichier texte, afin de la (les) transmettre à nouveau à nos correspondants concernés. Comme expliqué dans mon précédent message, par exemple: [michel@totor michel]$ gpg --export -a albert.mudas@club-ouanadur.fr > ma-cle-publique.asc (à taper en une seule ligne) Nous obtenons un fichier "ma-cle-publique.asc" dans notre répertoire courant, qui contient notre clé publique. Nous pouvons maintenant coller dans un e-mail le contenu de ce fichier texte, et l'expédier à nos correspondants. INTEGRATION DANS KMAIL ======================== Si nous utilisons KMail version 1.2 ou inférieure, il n'est possible d'indiquer qu'une seule identité PGP (Sous Configuration / Configurer KMail / Sécurité / PGP) => C'est toujours cette clé qui sera utilisée pour "signer" électroniquement nos messages, et pour chiffrer les messages pour "nous-même". Si, à un moment donné, nous voulons utiliser une autre clé pour signer, il faudra donc changer l'identifiant de clé indiqué ici. Si nous utilisons KMail version 1.3 ou supérieure (à partir de KDE 2.2), nous pouvons indiquer (sous Configuration / Configurer KMail / Identité) une clé GnuPG différente (si nécessaire) pour chacune de nos adresses e-mail. KMail utilisera alors automatiquement la "bonne clé" pour signer nos messages, en fonction de l'adresse e-mail que nous aurons choisie pour les émettre. La suite au prochain numéro ;-) -- Michel Bouissou - OpenPGP DH/DSS ID 0x5C2BEE8F michel@bouissou.net Faites plaisir à votre ordinateur: Offrez-lui un pingouin ! _________________________________________________________ Liste de diffusion hébergée par Internet-Quake. http://www.i-quake.com Pour tout savoir sur cette liste ou pour vous désabonner, rendez-vous sur la page web: http://sympa.i-quake.com/wws/info/pingouin Pour vous désabonner directement par mail, envoyez un e-mail vide à l'adresse sympa@sympa.i-quake.com, avec pour sujet: signoff pingouin