Page suivante
Page précédente
Table des matières
3. Installation et manipulations initiales
3.1 Au commencement …
Avant tout, il est indispensable de récupérer si cela n’est pas déjà fait une
version de GnuPG compatible avec votre système (compilation des sources,
paquetages RPM, DEB, etc.) et de l’installer en suivant le processus habituel.
Pour ce faire, lisez la documentation fournie sur le site de GnuPG (
http://www.gnupg.org/ ).
Pour les utilisateurs de Debian, il suffit de taper apt-get install gnupg
en tant que root.
Une fois cette installation faite, il faut créer une clé qui va nous suivre
tout au long de ce processus. Cette clé doit être pérenne si vous voulez
l’utiliser à long terme, donc il faut la créer avec soin.
La commande magique pour ce faire est :
gpg --gen-key
Le cas échéant, il va afficher la ligne :
gpg: you have to start GnuPG again, so it can read the new options file
Dans ce cas, il suffit de taper une nouvelle fois :
gpg --gen-key
Plusieurs questions sont posées. Il est recommandé de prendre les valeurs par
défaut, à moins de savoir exactement ce que vous faites.
- Le real name et l’email address sont le nom et l’adresse
email qui seront associés à la clé, et qui apparaîtront dans les annuaires et
lorsque les autres personnes récupéreront notre clé : il est donc recommandé
d’y mettre des informations valides, qui pourront servir à nous différencier. - L’adresse email sera utilisée dans les logiciels de messagerie, elle
doit donc être celle avec laquelle on veut signer, chiffrer et déchiffrer des
messages. - Enfin, la passphrase est une sorte de mot de passe. Elle doit
être complexe, pas trop courte, et difficilement trouvable. Elle sera demandée
à chaque processus de signature ou de chiffrement. Un bon mot de passe
mélangera des lettres, des chiffres et des symboles non alpha-numériques, des
majuscules et des minuscules, et ne devra pas être trop court. Un bon mot
passe serait par exemple Epg(3£9mVfAjpD !
Le programme va peut-être afficher un message disant qu’il n’a pas assez de
nombres aléatoires en réserve. Afin de générer de l’entropie dans le système,
il suffit d’ouvrir un autre terminal sur la machine et de lancer une commande
gourmande en CPU (par exemple, find / -name toto).
À la fin, un message doit nous indiquer que les clés publique et secrète ont
été créées.
3.2 OK, j’ai tapé ces commandes. Mais qu’est-ce qui s’est passé réellement ?
Nous avons généré deux clés. L’une d’elle est la clé publique, que l’on
va pouvoir donner à tout le monde. L’autre est la clé secrète, qu’on doit
absolument être le seul à conserver. Ces clés sont enregistrées dans le
répertoire par défaut qui est le répertoire .gnupg dans le répertoire par
défaut de l’utilisateur (cd ~/.gnupg/). Lorsqu’on regarde à
l’intérieur de ce répertoire, on remarque en effet qu’il y a en particulier
deux fichiers, pubring et secring.
Les clés publique et secrète sont étroitement liées. L’une sert à défaire ce
que l’autre a fait :
- lorsqu’on signe un message, on chiffre un résumé (hash) avec la clé
secrète, et n’importe qui avec la clé publique peut déchiffrer ce résumé pour
vérifier s’il correspond bien au message. Vu que personne ne doit connaître la
clé secrète, si le message est valide à la fin, c’est qu’il a été signé par la
bonne personne ; - lorsqu’on chiffre un message, on utilise la clé publique, et seul
le propriétaire de la clé secrète pourra appliquer la formule pour déchiffrer
le message.
Pour de plus amples informations concernant les algorithmes de chiffrement,
visiter le lien
http://laurent.flaum.free.fr/pgpintrofr.htm.
On se rend compte que la clé secrète est une des clés de voûte du système. Si
quelqu’un d’autre a accès à notre clé secrète, il pourra envoyer des messages
en se faisant passer pour nous, ou bien il pourra lire des message chiffrés à
notre intention. C’est à ce moment qu’intervient le concept de passphrase :
pour améliorer encore plus la sécurité, les programmes demanderont la
passphrase pour pouvoir utiliser la clé secrète (techniquement, la clé secrète
est chiffrée avec la passphrase). Ainsi, en plus de la clé secrète, il faut
connaître la passphrase pour pouvoir utiliser les fonctionnalités de GnuPG.
Mais cela n’empêche pas de faire extrêmement attention à sa clé secrète, en
particulier si on est sur un ordinateur partagé par de nombreux utilisateurs.
3.3 Certificats de révocation
Avant d’aller plus loin, il est préférable de créer des certificats de
révocation. En effet, il se peut, pour X raisons, que notre clé ne soit plus
sûre, perdue, ou tout simplement périmée. Afin de pouvoir dire au reste du
monde que cette clé est périmée, on peut utiliser un certificat qu’on aura
créé auparavant (quand on n’avait pas encore perdu la clé par exemple) et que
l’on publiera, afin que les personnes soient au courant.
Pour ce faire, la commande suivante suffit :
gpg --gen-revoke mon_id
mon_id, comme on le retrouvera par la suite, est une chaîne de caractères
propre à une clé du trousseau. Typiquement, cela peut être le nom, ou l’ID de
la clé (voir plus loin), ou encore l’adresse email.
Il est conseillé de générer un certificat pour les trois types de révocation,
afin d’être prêt dans tous les cas de figure. Une fois ces certificats
générés, il faut les garder dans plusieurs endroits sûrs où on est sûr que
personne n’y aura accès (il ne faut pas que n’importe qui puisse révoquer
notre clé …).
Une fois les clés et les certificats créés, l’itinialisation du processus est
faite. On peut se mettre à l’utiliser dans la vie de tous les jours …