PGP-GPG : met­tez vos cour­riers dans des en­ve­loppes (3ème par­tie)

Main­te­nant que vous com­pre­nez le concept et le jar­gon, et qu'ac­ces­soi­re­ment vous avez ré­cu­péré les sources (ici et là), vous voilà prêt à ins­tal­ler, confi­gu­rer et uti­li­ser GPG. Ras­su­rez-vous, le plus dur est passé. Hem, qu'est-ce que j'ai dit ? Non pas vrai­ment, le plus dur est presque passé…

Ins­tal­la­tion

Nous al­lons ins­tal­ler cinq ou­tils.

1. GnuPG for OS X : rien de plus fa­cile. C'est un ins­tal­la­teur à la sauce Apple. Un double-clic fait par­fai­te­ment l'af­faire. Tous les ou­tils Unix né­ces­saires se­ront mis à la bonne place et le ré­glage de PATH sera ef­fec­tué.
    
2. GPG Pre­fe­rences : même pu­ni­tion. Le pan­neau de ré­glage des pré­fé­rences sera ins­tallé sans sou­cis. Au pire, si votre confi­gu­ra­tion est par­ti­cu­liè­re­ment "tor­due", vous de­vrez re­dé­mar­rer… Vous voyez, je vous l'avais dit, le plus dur est passé…
    
3. GPG Key­chain Ac­cess est le pro­gramme qui gère vos clés. Il est sous forme zip­pée, à vous de le dé­com­pres­ser (avec Stuf­fit ou le dé­zip­peur d'Apple). Vous aurez alors un dos­sier conte­nant ceci :
   

   que vous ins­tal­le­rez où vous vou­lez (le dos­sier Ap­pli­ca­tions est un bon choix). Au pas­sage, tirez le pro­gramme sur le Dock, et met­tez le à côté du Trous­seau d'Ac­cès d'Apple…
    

4. GPG­Fi­le­Tool n'est pas in­dis­pen­sable. C'est l'ou­til qui per­met de cryp­ter vos fi­chiers en in­terne, pour vous-même. Comme le pré­cé­dent, c'est un lo­gi­ciel à dé­com­pres­ser et ran­ger.
    
5. J'ai gardé l'adap­ta­teur GPG­Mail pour la bonne bouche. C'est le plus dif­fi­cile, car OS X 10.4.1 désac­tive au­to­ma­ti­que­ment toutes les ex­ten­sions de Mail. Bien que les ins­truc­tions sur la page de l'au­teur soient très claires, je vous les re­donne pour qu'il n'y ait pas de risque d'er­reur :
   1. Quit­ter Mail
   2. Dans le Fin­der, re­nom­mer le dos­sier :
      ~/Bibliothèque/Mail/Bundles (Disabled)
      en :
      ~/Bibliothèque/Mail/Bundles
      (au­tre­ment dit, sup­pri­mer le "Di­sa­bled" et ses pa­ren­thèses)
   3. Dans le Ter­mi­nal, taper les deux lignes sui­vantes, en fai­sant un re­tour à la fin de cha­cune (vous pou­vez faire un co­pier / col­ler) :
      defaults write com.apple.mail EnableBundles 1
defaults write com.apple.mail BundleCompatibilityVersion 2
   4. Re­lan­cer Mail

Ça va ? Vous avez sur­vécu ? On ne peut pas dire qu'Apple nous ait vrai­ment fa­ci­lité la tâche. Un cer­ti­fi­cat Thawte est plus fa­cile à faire. Cer­tains y ver­ront une rai­son de plus d'ins­tal­ler PGP-GPG…

Confi­gu­ra­tion fa­cile ? Non.

Main­te­nant, vous devez créer vos clés. Comme vous le voyez sur la copie d'écran à côté, il faut de­man­der à GPG Trous­seau d'Ac­cès à ce qu'elles soient "gé­né­rées". Ca se passe comme ça, du moins en théo­rie (ne com­men­cez pas tout de suite) :

1. Type de clé ? DSA et El Gamal sont un bon choix.
2. Taille de la clé ? 1024 est la ré­ponse par dé­faut, et convient tout à fait.
3. Date d'ex­pi­ra­tion ? Ja­mais… À noter que si vous fixez une date d'ex­pi­ra­tion, on vous pro­pose de vous aler­ter avant avec iCal. Ça, c'est vrai­ment gen­til !
4. Nom, adresse élec­tro­nique et com­men­taire. Vous pou­vez y aller sans crainte, ces in­for­ma­tions ne sont que pour vous fa­ci­li­ter la vie. Elles ne se­ront pas ré­cu­pé­rées…
5. Phrase de passe : c'est ce qui pro­tège votre clé pri­vée. Sans cette phrase, per­sonne ne peut en faire usage, et il n'y a aucun moyen de la ré­cu­pé­rer (alors que votre mot de passe de ses­sion, lui…). Pour votre pre­mière paire de clés (pu­blique et pri­vée), al­lez-y molo. Évi­tez les ac­cents, les ca­rac­tères bi­zar­roïdes et spé­ciaux et les phrases trop longues écrites aussi vite qu'ou­bliées. Quand vous serez plus à l'aise,vous pour­rez vous lâ­cher.
6. Vient enfin la phase de créa­tion. Bou­gez la sou­ris, tapez sur des touches au ha­sard, ça ajou­tera des phé­no­mènes aléa­toires qui sé­cu­ri­se­ront en­core plus votre clé.
7. Et voilà ! Une belle clé toute neuve…

Sauf que chez moi, ça ne marche ja­mais… Ro­gn­tud­jûûû !!!

Confi­gu­ra­tion fa­cile ? Oui !

Il faut donc y aller "à la dure". Avec le Ter­mi­nal. Mais vous allez voir que c'est de la gno­gnote ! Sur­tout que là, c'est moi qui vais faire l'as­sis­tant.

1. Lan­cer le Ter­mi­nal
2. tapez gpg --gen-key puis sur Re­tour (hé, pas trop fort !)
3. Il vous ré­pon­dra un truc comme ça :
   gpg (GnuPG) 1.4.1; Copyright (C) 2005 Free Software Foundation, Inc.
This program comes with ABSOLUTELY NO WARRANTY.
This is free software, and you are welcome to redistribute it
under certain conditions. See the file COPYING for details.
Please select what kind of key you want:
   (1) DSA and Elgamal (default)
   (2) DSA (sign only)
   (5) RSA (sign only)
Your selection? 
4. Tapez sur Re­tour, vous aurez le choix par dé­faut (le 1), qui est très bien.
    
   et on est re­parti, exac­te­ment comme pré­cé­dem­ment. Sauf que là, ça marche…
    
5. Taille de la clé ? 2048 est pro­posé par dé­faut, c'est très bien, faites juste Re­tour.
6. Date d'ex­pi­ra­tion ? Ja­mais d'ex­pi­ra­tion est pro­posé par dé­faut, c'est le plus simple, faites juste Re­tour.
7. Il veut qu'on confirme ? Tapez y puis Re­tour (y c'est pour yes).
8. Nom ? Tapez votre nom, puis Re­tour.
9. Adresse élec­tro­nique ? Idem.
10. Com­men­taire ? Si ça vous amuse… N'ou­bliez pas le Re­tour.
11. Der­nière chance de chan­ger quelque chose. Non, tout va bien ? Alors tapez sur O (la lettre O, pour OK) et Re­tour.
12. Nous voilà à l'étape de la phrase de passe. C'est celle qui pro­tège votre clé pri­vée (comme ça, même si on vous vole votre or­di­na­teur, vous êtes tran­quille). Tou­jours les même conseils : faites une phrase (ou un mot) simple, courte et sans ac­cents. Pas trop court, quand même ! Il faut au moins six ca­rac­tères. Et un Re­tour.
13. Confir­ma­tion de la phrase de passe. C'est là que, quand on a été trop vite, on se trouve très bête… Heu­reu­se­ment, il vous pro­pose de re­com­men­cer.
     
14. Nous voilà par­tis dans une phase de cal­culs in­ten­sifs… Il vous le dit :
    We need to generate a lot of random bytes. It is a good idea to perform some other action (type on the keyboard, move the mouse, utilize the disks) during the prime generation; this gives the random number generator a better chance to gain enough entropy.
    Donc, on bouge la sou­ris, on fait du café et on re­vient dans 2 mi­nutes.
     
15. C'est pas beau, ça :
    gpg: key 56A68E39 marked as ultimately trusted
public and secret key created and signed.
Oui, oui… je tra­duis : les clés sont créées, elles sont va­li­dées et elles sont bien ajou­tées au trous­seau. D'ailleurs, si vous ou­vrez GPG Trous­seau d'Ac­cès, vous y ver­rez votre clé. Là, le trous­seau marche.

Uti­li­sa­tion

Enfin ! Je sup­pose que je me suis fait en­gueu­ler pour ne pas en être ar­rivé là plus tôt. Ou plu­tôt, que je vais me faire en­gueu­ler, ça dé­pend si on se place au mo­ment où j'écrit (la pre­mière par­tie vient de sor­tir) ou au mo­ment où vous me lirez… D'ac­cord, je sors…

Lan­cez Mail. De­man­dez à faire un nou­veau mes­sage. Et ad­mi­rez le ré­sul­tat (mé­rité) de vos ef­forts :

En des­sous de la par­tie consa­crée à l'en­ve­loppe, il y a une ligne de plus, consa­crée à PGP-GPG. Vous pou­vez y de­man­der la si­gna­ture (l'en­ve­loppe trans­pa­rente) et/ou le chif­fre­ment (l'en­ve­loppe opaque).

Si­gner un mes­sage

Dans la pra­tique, pour si­gner, vous co­chez la case. Vous pou­vez aussi sys­té­ma­ti­que­ment si­gner tout ce que vous en­voyez. Cela se règle dans les pré­fé­rences de Mail, où l'adap­ta­teur a ajouté un pan­neau qui lui est consa­cré (c'est pas beau, la vie ?)

Quand votre cor­res­pon­dant re­çoit un mes­sage signé, et qu'il n'a pas PGP, il voit le mes­sage, en­ca­dré de quelques bi­zar­re­ries, comme ceci :

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1   Le texte du message envoyé   -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.1 (Darwin) iD8DBQFCtqxhL16L4iGXv3gRAkJ3AJ4/FyF2Gh0JmK/xMZ0j3vK5rLbMhACeLRU/ 4UrGeFnbXh8Hi2kMk1nyrYY= =h8HQ -----END PGP SIGNATURE-----

Bien sûr, les in­di­ca­tion de PGP ne sont d'au­cune uti­lité pour lui…

Mais s'il a PGP, il voit, en plus, ceci :

En cli­quant sur Vé­ri­fier, il peut s'as­su­rer de l'iden­tité du si­gna­taire et être cer­tain que le mes­sage n'a pas été mo­di­fié.

Chif­frer un mes­sage

Les choses sont exac­te­ment aussi simples que pour les mes­sages si­gnés. Il faut co­cher la case… Sauf que, bien en­tendu, sans PGP, im­pos­sible de dé­chif­frer ! En effet, le mes­sage res­semble à ça :

-----BEGIN PGP MESSAGE----- Version: GnuPG v1.4.1 (Darwin) hQIOAxkLwExMI4F2EAgAnpcYmKdTlay3sp2yEN+JtBwRyGtaoTBkQM+sr2NK8qqA nglHB9iz+Wpg68xe0uiBhgOvkPC+sde1bPK7fDAUbZr7UgR17zb+QutAfOs+Yquz F8mUCL3ORNSQ2C9N8jYLhc8gMGAuEEhBFim20OHRDeSvgLWhx4qh5Bg1BBegjjSp 7Odg2frMFiofVResdr950FwrTJU/UCvgUoUTYnkBL0fSay6BjYpr+OboDvuqFpQr 4FvhWym1iabMspmdlL6t3u6+4UTybA9MEFKLAFCZXdpZ56Q5nqvPvcZsSY6JSZim yGS8Wn3nrY47jmzamE5xW2aaUFmEFtI9DOK2NbVQagf/U6/DPEBOo243kS/mzZme gINewpWtF6o0FhPINx7Itz13G+gzss5Os0FjVmWQTkk1Gg639PFLoGHYPfPadqQV WQXIxYpQ+FwyB3rjpP1ymkgxm4FIrsRCCi9vlfvuIDL2KVqF7gNtt2/uiJ76Vq+T u0tR3SIUxbfgPquMKqUfOLSCwZsjSfaavleOLajZqV3lTKNNOVV5H5hYm9t7C0fi 34jDyMRKbn+QtrUWDx+2FTneU/MNbQC9gs8L6CsAB+b3tRRupW7WW+1nd6rPs7fL 7i/BooDvVcPHooZzWDENF0bXHXa0/9eHcdrNb+3F7kx6mO7SD/aQPYhL179lzz0v utKqAZU7WWb72/IePGNU5Jq6ghhQcinJPPlPEjs1wp8U6fFKThuUMrwHB1XcNOgT UrRnKgYCrMbkzwehvgu18wc4DS/SCRqd+ZSNUdT0RtHwZqWpKDC3ogUSfAlRAfCk siqESe1vjF40DywBcY14lyw9Mxpe11+NYGvrFMq8lpyMF2rkezvAUkIjYxgP/1+K 1r3CIDN/GZnOpOXXYm4Hbjy3d+XLetHi3ClDIFE= =bfS7 -----END PGP MESSAGE-----

Et ça, pour le dé­co­der, bon­jour…

Chif­frer un fi­chier

PGP File Tools est une ap­pli­ca­tion "drag and drop". Faites glis­ser un fi­chier des­sus et lâ­chez le. L'ou­til va vous pro­po­ser de cryp­ter le fi­chier en uti­li­sant une des clés de votre trous­seau. Vous pou­vez prendre la vôtre ou celle d'un de vos cor­res­pon­dants. Dans ce der­nier cas, évi­dem­ment, vous ne pour­rez pas dé­chif­frer le fi­chier…

Pour dé­co­der, on fait la même chose. Pre­nez un fi­cher crypté (il porte l'ex­ten­sion ".gpg"). Un double-clic, la phrase de passe et le tour est joué.

Vous pou­vez mo­di­fier le com­por­te­ment de PGP File Tools en pas­sant par ses pré­fé­rences. C'est simple et clair.

Avant de conclure

À l'usage, PGP est par­ti­cu­liè­re­ment simple. Tel­le­ment simple qu'on l'ou­blie, et qu'on est par­fois sur­pris de re­ce­voir des ques­tions un peu in­quiètes de cor­res­pon­dants que la pré­sence de signes ca­ba­lis­tiques dé­range… N'est-ce pas, Maman ?

La fia­bi­lité est énorme. Un mail signé avec PGP-GPG est im­pos­sible à fal­si­fier, tous les ex­perts sont d'ac­cord. Je n'ai pas connais­sance d'une af­faire de contes­ta­tion por­tée de­vant la jus­tice, mais je ne doute guère du ré­sul­tat.

Pour ce qui est de dé­chif­frer un mes­sage qui ne vous est pas des­tiné (en force), au­cune chance. Un ru­meur veut que la NSA ait une base de don­nées des nombres pre­miers suf­fi­sam­ment grande pour lui per­mettre de "cas­ser" les clés PGP… Ça vaut ce que valent les ru­meurs.

Jus­qu'à pré­sent, je n'ai constaté qu'un dé­faut : GPG pour Mac force l'en­voi de cour­riers au for­mat UTF-8. Ça peut gêner cer­tains cor­res­pon­dants qui uti­li­se­raient des vieux OS. J'ai eu le cas avec un Linux…

Il nous reste en­core pas mal de choses à voir. Com­ment trans­mettre des clés pu­bliques, com­ment confi­gu­rer Mail et GPG pour que votre si­gna­ture soit adap­tée au­to­ma­ti­que­ment l'un à l'autre, la si­gna­ture des clés d'au­trui… Je vous pro­pose de le faire dans un pro­chain (et der­nier) ar­ticle, parce que je suis sûr que vous avez très envie d'al­ler jouer avec votre PGP-GPG tout beau, tout neuf, et de vous en­voyer des mes­sages se­crets à vous-même !