Attention ce tutoriel est très vieux, les informations ne sont plus à jour. Ce tuto reste pour des raisons historiques

>

Petit tutoriel imagé pour créer et gérer ses clefs GnuPG sous (k)ubuntu, avec KGpg.

L'ensemble de la théorie relative aux clefs GnuPG abordée ici est détaillée dans cet article sur Ubunbu-Fr.

Ce tutoriel à été réalisé sur une Kubuntu 7.04 (KDE 3.5.6), avec un KGpg 1.2.2.
Il est donc possible que quelques liens ou options sélectionnées par défaut ne soient pas valides sur d'autres distributions. Bonne lecture à tous.

Sous Gnome, l'application de gestion de clefs s'appelle Seahorse. Si des bonnes âmes se portent volontaires pour un tutoriel sur ce logiciel ils sont les bienvenus.

nstallation, et création de sa paire de clefs

Installation :

Avec un gestionnaire de paquets :

Dans Synaptic (ubuntu) ou Adept (Kubuntu), installez le paquet kgpg.

Avec un terminal :

Dans un terminal tapez :

 sudo apt-get install kgpg

Vous devrez donner votre mot de passe administrateur, et confirmer la demande d'installation.

Ouvrir KGpg pour la première fois :

Dans votre gestionnaire d'applications, à la rubrique 'Utilitaires", sélectionnez Kgpg.



Vous devriez alors avoir un interface comme celui-ci :



Si à l'ouverture de KGpg vous avec un message de ce type :

----
L'agent GnuPG a été activé dans le fichier de configuration de GnuPG
(/home/votrenomdutilisateur/.gnupg/gpg.conf).
Cependant, l'agent ne semble pas être actif. Cela peut causer des
problèmes de signature / déchiffrement.
Veuillez désactiver l'agent GnuPG dans les réglages de KGpg ou rendre
l'agent actif.
----
C'est que vous devrez installer et configurer vous même l'agent GnuPG. Pour ce faire, suivez la procédure décrite ici : http://doc.ubuntu-fr.org/kmail_openpgp bien que ce soit décrit pour utiliser GnuPG avec Kmail, cela résout le problème de dialogue entre KGpg et l'agent GnuPG.

Créer une paire de clefs GnuPG :

Pour créer une nouvelle paire de cléfs, allez dans le menu: Clefs -> Générer une paire de clefs...



Ceci vous donnera accès à une mini fenêtre ou vous devrez donner des informations telles que votre prénom, votre Nom, et votre adresse email. Notons à ce stade que si vous avez plusieures adresses emails donnez en une ici, peut importe laquelle, car vous pourez associer toutes vos adresses email à cette clé par la suite. Concernant les autres paramètres, laissez tout par défaut, sur une taille de clé de 1024 et l'algorthme "DSA & Elgamal", cela vous donnera un clef bien suffisante pour un usage privé ou professionnel.
Conseil : Rentrez vos noms et prénoms complets, et non un pseudonyme, n'oubliez pas que cette paire de clefs sera pour biee faire la seule et unique que vous aurez, aussi bien pour gérer vos contacts privés que publics. Votre pseudo renrez le dans les commentaires. Par la suite vous pourrez associer vos emails et adresses de messageries à chacun de vos pseudonyme, mais pour la création de la clef spécifiez vos noms et prénoms réels.

Une fois appuyé sur OK vous serez invités à donner une clef confidentielle pour votre paire de clef. C'est en fait un mot de passe pour ce trousseau de deux clefs. Déterminez les très sérieusement, car si vous l'oubliez votre clef ne vous sera plus d'aucune utilité.


Un fois que les deux mots de passe coïncident, le bouton "OK" deviens clicable, et la clef est générée. Durant le processus de génération de la clef, bougez votre souris, les mouvements de la souris sont tenus en compte pour la génération aléatoire de la clef.

Si tout se passe bien, vous devrez voir apparaitre un écran de ce style :



Votre paire de clefs est générée, vous pouvez cliquer sir "Ok", ce qui vous raménera à l'écran de départ, mais avec cette fois votre paire de clef ajoutée à votre trousseau personnel.

Exporter sa clef publique

Maintenant que nous avons une paire de clef, il faut le faire savoir. En effet, pour pouvoir vous identifier, ou décrypter vos messages, vos connaissances ont besoin de connaître votre clé publique :

Signature : Cette clef publique leur permettra d'identifier votre "signature", que vous aurez pris le soin d'encoder avec votre clef privée, et qui ne pourra donc être ouverte qu'avec votre clef publique.
Cryptage : Si vous voulez destiner un message ou un fichier à une personne en particulier, vous encoderez ce message ou ce fichier en utilisant la clef publique du destinataire, et lui sera donc capable de l'ouvrir avec sa clef privée, qu'il est le seul à avoir.

On le voit, avoir la clef publique d'un interlocuteur est indispensable. Il y a plusieurs moyens de l'obtenir.
Nous allons aborder ici deux solutions : une manuelle, l'autre via un serveur de clef.

Exporter sa clef manuellement

Pour exporter une clef, sélectionner votre paire de clef, puis cliquez sur l'icône avec la flèche vers le haut  "Exporter les clef publiques".



Ceci devrai vous ouvrir une boite de dialogue ressemblant à ceci, mais bien sur avec le dossier "gvincke" remplacé par votre propre nom d'utilisateur, et le fichier prenom.asc nommé avec le prénom que vous avez fournis pour la clé :



Laissez tout comme ceci et cliquez sur OK. Ceci vous génèrera le fichier .asc, nécéssaire pour donner votre clé publique à vos conaissances.

Exporter sa clef publique sur un serveur de clefs

Pour envoyer sa clef publique sur un serveur de clef, rien de plus simple. Cochez "Serveurs de clefs par défaut" et cliquez sur "Ok".

Si vous voulez spécifier un autre serveur que le serveur de clefs par défaut, sélectionnez votre paire de clefs, puis cliquez sur l'icône "Serveurs de clefs".



Dans la boite de dialogue qui s'ouvre allez sur "Exporter", sélectionnez le serveur de clefs sur lequel vous voulez exporter votre clef, et cliquez sur "Exporter". Vous devriez assez rapidement recevoir la confirmation que votre clef a bien été exportée sur le serveur de votre choix.



Le serveur de clef de ubuntu répond très rapidement, et vous permettra d'exporter votre clef très facilement.
Si vous voulez que votre clef puisse être trouvée facilement par tous vos contacts, exportez votre clef sur plusieurs serveurs.

Rajouter un serveur à la liste

La liste des serveurs présents par défaut ne comprend pas le serveur pgp.mit.edu c'est à dire le serveur de clef le plus utilisé au monde, celui du Massachusets Institute of Technology. Ce serveur est cependant victime de son succès, et votre clef, une fois exportée dessus, ne sera disponible qu'après une délai pouvant parois dépasser les 24h.

Pour rajouter e serveur à votre liste, allez dans le panneau de configuration de kgpg : Configuration -> Configurer KGpg.



Une fois dans l'interface de configuration, allez dans l'espace réservé aux serveurs, cliquez sur ajouter, entrez l'adresse du serveur, et le voila rajouté. Attention: pensez à mettre le protocole spécifique des serveurs de clefs, c'est a dire hkp:// devant l'adresse de votre serveur, comme pour les autres serveurs de la liste.



Une fois votre serveur ajouté, vous pouvez recommencer la procédure d'exportation de votre clé publique, en le sélectionnant cette fois dans la liste des serveurs.

Importer des clef publiques de connaissances

Importer la clef publique d'un ami

Afin de pouvoir identifier si les documents signés par une clef GPG sont bien attribuable à leur auteur, et pour décrypter ceux qui vous sont destinés, vous devez avoir la clé publique de votre interlocuteur. Pour obtenir cette clef vous devez soi la lui demander, sous la forme d'un fichier .asc, celui la même que nous avons appris à exporter au chapitre précédent, soit la télécharger depuis un serveur de clefs.

Importation manuelle

Pour importer une clef manuellement, vous devez avoir le fichier .asc que votre correspondant aura eu le soin de vous fournir. Dans votre KGpg, ouvrez la boite d'importation en cliquant sur l'icône avec une clef et une flèche vers le bas :

Ceci ouvrira la boite de dialogue suivante :

En cliquant sur le dossier bleu vous irez naviguer dans vos dossiers pour saisir le fichiers .asc, et en cliquant "Ok" vous l'inclurez à votre trousseau.

Téléchargement depuis un serveur de clefs

Allons avant tout regarder comment on peut aller consulter un serveur de clefs par le web.
Voici l'écran que vous auriez en consultant l'adresse du serveur de clefs sélectionné par défaut dans KGpg sous kubuntu 7.04 : http://keyserver.ubuntu.com:11371/
Pour notre example nous allons chercher un ami qui s'apelle Stuut Oufti. Faisons une recherche sur "stuut" :


Voici ce que le serveur nous renvoie :


Je peux y lire que mon ami à effectivement une clef GPG, qu'elle est associée à l'adresse stuut.oufti@brol.be, qu'elle a été crée le 28 août 2007 et qu'elle expirera le 02 septembre 2007.

Si vous cliquez sur le lien "BD356D60D, vous pouvez consulter la clef publique de votre ami :


Sélectionnez l'entièreté de la clef :

 Copiez le contenu, soit par un raccourci clavier (ctrl+c), soit en cliquant sur le menu "copier" de votre navigateur préféré, soit en faisant un clic droit sur cette zone sélectionnées, et en sélectionnant l'option "copier". Cette opération à pour conséquence de mettre la clef dans le presse papier de votre session.
Allez ensuite dans KGpg, cliquez comme dans l'exemple ci dessus sur "Importer une clef", mais cette fois sélectionnez "depuis le presse papier". Validez. La clef est inclue à votre trousseau.



Notez que la clef importée n'a qu'une icône de clé jaune. Cela signifie que vous n'avez que la clef publique de ce contact.



Autre moyen encore plus simple :
Ouvrez l'onglet des serveurs de clefs (petit globe bleu) et cette fois restez sur le volet "Importer". Sélectionnez le serveur que vous voulez interroger, définissez vos mots de recherches, et cliquez sur "Chercher".



Vous obtiendrez une liste de clefs correspondant à votre critère de recherche. Logiquement la même liste que depuis le site consulté précédemment. Sélectionnez la clef qui vous semble correspondre à la personne dont vous voulez identifier et décrypter les messages et cliquer sur "Importer". Elle sera automatiquement ajoutée à votre trousseau.



A ce stade, si vous recevez un message signé avec cette clef, vous saurez l'ouvrir, et il sera bien attribué à Stuut Oufti, mais vous n'aurez pas encore la certitude que c'est bien cette personne la qui se cache derrière cette clef et non pas quelqu'un qui usurpe son identité. Pour ca vous devez signer cette clef.

Rendez vous est donc pris au chapitre suivant ;-)

La signature des clefs

A ce stade, si vous avez répété l'étape précédente plusieurs fois, vous devriez avoir toutes vos connaissances dans votre trousseau :



Pour chacune de ces connaissances la confiance en leur clef est minimale car elles n'ont pas été signées. C'est a dire que vous n'avez pas encore garantit que cette clef est bien celle de celui ou celle auquel elle prétend appartenir. Pour signer la clef de Stuut Oufti, commencons par consulter sa clef. Double cliquez sur sa clef, vous obtiendrez quelque chose comme ceci :



Vous avez toutes les options disponibles. Première constatation, on peut inclure sa photo dans sa clef GnuPG, au format jpeg ou png. C'est pratique. Mais le plus important ici est le champs "Empreinte". Cette série de lettre et de chiffres est la véritable carte d'identité de cette clef.

Pour valider l'appartenance de la clef, contactez, ou mieux, rencontrez le détenteur de la clef, demandez lui son empreinte ("fingerprint" en anglais), ainsi qu'une preuve d'identité, qui prouve qu'il est bien lui (carte d'identité, permis de conduire, ...) et vérifiez que l'empreinte que vous avez pour lui correspond bien à celle qu'il vous donne. Si c'est le cas, et qu'il est administrativement bien celui qu'il prétend être, c'est que c'est bon, vous pouvez authentifier que cette clef lui appartient bien.

Pour cela, sélectionnez la clef, et cliquer sur l'icône de signature :



Vous allez voir une alerte qui vous rapelle qu'on ne signe pas une clef à la légère :



Cliquez sur "Continuer".

Vous arriverez à une boite de dialogue qui vous demande de spécifier à quel point vous avez vérifié l'identité du propriétaire de la clef. Soyez le plus honnête possible, car ces données eront publiées par la suite sur le serveur de clef.



Une fois ceci réglé, validez votre signature. Faites de même avec les autres clefs de votre trousseau. A ce moment votre trousseau ressemblera à ceci, avec toutes les confiances au vert :

Publication des signatures :

Afin de transmettre à toute la communauté que vous, Prénom Nom, vous avez vérifié et validé la clef de Stuut Oufti, exportez à nouveau sur le serveur de clef votre clef publique comme au paragraphe précédent, mais aussi et surtout la sienne, qui comporte meintenant votre signature. Ceci étant fait, consultez à nouveau le site web du serveur. Vous devriez voir ceci :



On peut donc bien y voir que vous avez signé la clef de Stuut Oufti, garantissant ainsi sa validité. Plus une clef est signée par d'autre, plus la confiance des prochain utilisateurs de cette clef publique sera grande. Voila une des forces du système GnuPG.

Pour voire cette signature dans votre KGpg, sélectionnez la clef de Stuut et faites un clic-droit dessus, et sélectionnez "Rafraîchir les clefs depuis le serveur de clefs". Cela rechergera la clef publique ainsi que les signatures qui lui sont attachées.



Une fois que c'est fait, cliquez sur le petit + au début de la ligne de la clef : votre signature est visible ;-).



Faites cette opération régulièrement pour toutes les clefs de votre trousseau, ainsi vous aurez les dernières signatures mises à jour, et qui vous permettrons d'utiliser cs clef publiques à bon escient.

Ajouter une photo et d'autres identités à sa clef

Ajouter une photo d'identité à sa clef GnuPG :


Cette option n'est possible qu'avec les clef qui vous appartiennent, c.a.d. celles dont vous êtes le posseur de la clef privée. Faites un clic droit sur votre clef, et choisissez "Ajouter une photo".



Suivez les instruction pour préparer votre photo au bon format, et l'ajouter à votre clef.
Une fois que c'est fait, exportez à nouveau votre clef sur un ou plusieurs serveurs, afin que vos contacts puissent en bénéficier en mettant votre clef publique jour.

Ajouter plusieurs identités à votre clef :

Si vous avez plusieurs adresses email, adresses, de messagerie, etc... vous ne devez pas refaire un jeu de clef par adresse, mais bien les inclure dans cette clef. Pour cela, faites un clic-droit sur votre clef, et dans le menu illustré ici au dessus sélectionnez cette fois "Ajouter l'identifiant de l'utilisateur" . Cela vous donneras la boite de dialogue suivante :



Ajouter le nom de cette identité. SI c'est le même que l'identité précédente, remettez le. Spécifies l'adresse, et enregistrez.

Si vous avez fait toutes les étapes précédentes, vous devriez avoir une belle clef comme la mienne :



Notez qu'à tout moment vous pouvez modifier le degré de confiance que vous avez pour la correspondance entre la clef et son soit disant possesseur.

Quoi qu'il soit, à chaque modification de votre clef publique, ou de celle d'un de vos contact, exportez les à nouveau sur les serveurs de clefs afin de synchroniser toute la communauté de ces changement.

Voila qui met fin à ce tutoriel, j'espère qu'il vous a plu.

A bientôt, lors d'une Key Signing Party, vous avez déjà mon empreinte ;-)

Configurer son client mail pour utiliser ses clefs GnuPG

Pour finir, voici deux liens très utiles pour configurer son logiciel de gestion d'email afin de pouvoir signer/authentifier et crypter/décrypter ses mails avec son trousseau de clef GnuPG:

Kmail :
http://doc.ubuntu-fr.org/kmail_openpgp

Evolution :
http://doc.ubuntu-fr.org/evolution_gpg

Quelques liens

GnuPG sur Wikipédia:
http://fr.wikipedia.org/wiki/GNU_Privacy_Guard

Principe de la cryptographie assymétrique :
http://fr.wikipedia.org/wiki/Cryptographie_asym%C3%A9trique

GPG sous Mac OSX:
http://openpgp.vie-privee.org/mac.html

PGP sous Windows:
http://openpgp.vie-privee.org/gnupg-win.htm

Fil des commentaires de ce billet

Ajouter un commentaire

Le code HTML est affiché comme du texte et les adresses web sont automatiquement transformées.

-