3 votes

John Beckett avatar

Utilisation correcte du GPG

Demandé el 19 de Août, 2011
Quand la question a-t-elle été
1869 affichage
Nombre de visites la question a
4 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je suis novice en matière de cryptage en général et de GPG en particulier. Mon cas d'utilisation est le stockage de documents personnels sur un lecteur réseau. Ces documents sont des scans (par exemple, des diplômes, des papiers). J'ai généré une clé GPG en utilisant gpg --gen-key puis a crypté quelques images en utilisant gpg -e -r <name> <file> . Par défaut, il semble produire des fichiers nommés d'après l'original et suffixés par .gpg par exemple diploma.jpg devient diploma.jpg.gpg .

Si le type de document est connu, est-ce que j'ouvre la porte à une attaque en texte clair connu ?

Par ailleurs, quelles mesures dois-je prendre pour sauvegarder ma clé (l'imprimer sur papier...) ?

Demandé el 19 de Août, 2011 par John Beckett

Réponses

Trop de publicités?

2voto

akira avatar
akira Points 58339

Je ne m'inquiéterais pas du nom de fichier et de la connaissance éventuelle des premiers octets. mais si vous n'êtes pas à l'aise avec cela, considérez ceci :

  • vous pourriez utiliser un conteneur, soit .7z ou .zip avec un cryptage aes
  • vous pouvez utiliser un programme conteneur tel que truecrypt

gardez à l'esprit :

  • gpg crypte votre fichier en mode mixte, c'est-à-dire qu'il utilise la clé asymétrique pour crypter une "clé de session" et utilise ensuite cette clé de session pour crypter les données réelles. donc, vous ne gagnez rien à utiliser des clés asymétriques pour crypter des choses dont vous seul avez besoin (rappelez-vous : le cryptage asymétrique n'est utile pour quelque chose comme l'échange de clés que lorsque la quantité de données est relativement faible).

  • il n'y a aucune raison de ne pas utiliser le cryptage symétrique puisque vous voulez de toute façon mémoriser la phrase de passe pour vos fichiers / le conteneur : gpg --symmetric -e

puisque vous vous décrivez comme un novice en la matière : lisez un peu le manuel gnupg :

http://www.gnupg.org/gph/en/manual.html#CONCEPTS

Répondu el 19 de Août, 2011 par akira (58339 Points )

1voto

Ben avatar
Ben Points 1519

GPG comprime le fichier avant de le crypter, ce qui réduit les risques d'attaque en texte brut, quel que soit le type de fichier. En outre, si le cas rare d'un message compromis se produit, il est possible d'utiliser le chiffrement GPG. no indiquant une clé compromise parmi les destinataires de ce message.

La raison de cette dernière partie est liée au processus par lequel GPG crypte les messages et les fichiers. Le contenu est d'abord compressé, généralement à l'aide de zlib. Ensuite, les données compressées sont cryptées symétriquement avec un mot de passe unique appelé clé de session. La clé de session est ensuite chiffrée de manière asymétrique avec les clés publiques des destinataires. Lorsque le message est décrypté, le processus est inversé : le destinataire déverrouille la clé de session à l'aide de sa clé secrète et de sa phrase de passe, GPG utilise la clé de session pour décrypter les données cryptées de manière symétrique et enfin, le message est décompressé.

Une attaque sur un seul message a plus de chances d'aboutir à la détermination de la clé de session que de compromettre l'une des clés publiques.

Si vous souhaitez toujours dissimuler les types de fichiers, procédez comme suit :

gpg -ear $RECIPIENT_ID -o filename.asc filename.odt

Pour restaurer le nom de fichier original lors du décryptage, procédez comme suit :

gpg --use-embedded-filename filename.asc

GPG écrira les données décryptées au nom de fichier original, qui est stocké dans les données cryptées symétriquement, ainsi que d'autres informations nécessaires pour reconstruire les données.

Remarque : n'utilisez pas l'indicateur de nom de fichier incorporé ci-dessus si vous décryptez manuellement le texte chiffré d'un programme de messagerie, en particulier si vous utilisez Thunderbird et Enigmail. De nombreux programmes de cryptage de courrier électronique (y compris Thunderbird et Enigmail) n'attribuent pas de nom de fichier original à partir du brouillon et le décryptage de cette façon pourrait causer des problèmes, comme essayer d'écrire des données dans un nom de fichier nul.

Répondu el 22 de Septembre, 2013 par Ben (1519 Points )

0voto

m0skit0 avatar
m0skit0 Points 1337

A priori, connaître le type de données contenues dans un fichier crypté n'est d'aucune utilité pour le piratage, puisque le cryptage ne se soucie pas du type de données. Pour le cryptage, il s'agit de simples bits (chiffres) sans aucune signification.

Pour ce qui est de votre clé, l'option la plus sûre est de s'en souvenir car votre esprit ne peut être consulté ;)

Répondu el 19 de Août, 2011 par m0skit0 (1337 Points )

0voto

Utilisateur non enregistré avatar
Utilisateur non enregistré Points 0

Pour répondre à la deuxième partie de votre question :

Par ailleurs, quelles mesures dois-je prendre pour sauvegarder ma clé (l'imprimer sur papier...) ?

Parlons d'abord du certificat de révocation. Vous devez absolument créer et sauvegarder le certificat de révocation de votre clé principale. De nombreuses personnes font une copie papier (ascii blindé ou code QR) et la stockent dans un endroit sûr comme un coffre-fort, une boîte ignifugée verrouillée ou un coffre-fort dans une banque. Si votre clé maîtresse (la clé de certification) est compromise, vous aurez une sauvegarde qui pourra la révoquer au cas où le certificat de révocation disparaîtrait de votre appareil, ou si l'appareil est perdu, etc.

Si vous n'avez pas de certificat de révocation, créez-le avec la commande ci-dessous. "mykey" est le nom de la clé, qui pourrait être les 8 derniers caractères de l'empreinte digitale.

enter image description here

gpg --output revoke.asc --gen-revoke mykey

Le certificat de révocation ressemblera à quelque chose comme ceci, qui est facile à imprimer. Mais vous devez être prudent. L'impression peut l'exposer à la compromission.

-----DÉBUT DU BLOCAGE DE LA CLÉ PUBLIQUE PGP-----

Commentaire : Il s'agit d'un certificat de révocation

iQG2BCABCAAgFiEEiz1thFzdqmEJkNsdNgBokN1gxcwFAlsrcOsCHQAACgkQNgBo kN1gxczZ1Qv/aUNZgG0Sjasbu2sDMcX+rjEUNpIGUB6zjcTsPwpXfFo11aM3yefb k0FgMohA8HUwmN4ka+P31jYuNuLNCqFdT8DKKuQk6XgKnX3NieahG/dFaVANXyHR ..................................... ceci n'est qu'un exemple certificat de révocation................................................... =4lcB

-----END PGP PUBLIC KEY BLOCK-----

Maintenant, à propos de la sauvegarde de votre clé principale :

Solution 1 : sauvegarder la clé maîtresse peut être aussi simple que de copier son fichier entier. Deuxième solution : disposer d'une clé maîtresse hors ligne (C) renforce votre sécurité et peut en valoir la peine, en fonction de votre évaluation des risques. Si vous utilisez un ordinateur portable ou un netbook pour stocker vos clés, il peut être particulièrement judicieux de déplacer votre clé maîtresse hors ligne.

Il y a deux façons d'avoir une clé maîtresse hors ligne : la manière forte y le chemin le plus facile et le plus difficile .

Après avoir retiré la clé secrète de votre clé principale (C) et exécuté

gpg2 -K

Le résultat devrait ressembler à ceci :

enter image description here

Remarquez le # à côté de sec -- cela indique que la clé secrète n'existe plus.

Répondu el 21 de Juin, 2018 par Utilisateur non enregistré (0 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X