Fatmawati Achmad Zaenuri / Shutterstock.com

Protégez votre vie privée avec Linux gpg commander. Utilisez un cryptage de classe mondiale pour protéger vos secrets. Nous allons vous montrer comment utiliser gpg pour travailler avec des clés, crypter des fichiers et les décrypter.

GnuPrivacy Guard (GPG) vous permet de crypter en toute sécurité les fichiers afin que seul le destinataire prévu puisse les décrypter. Plus précisément, GPG est conforme à la norme OpenPGP. Il est calqué sur un programme appelé Pretty Good Privacy (PGP). PGP a été écrit en 1991 par Phil Zimmerman.

GPG s’appuie sur l’idée de deux clés de chiffrement par personne. Chaque personne a un privé clé et Publique clé. La clé publique peut déchiffrer quelque chose qui a été chiffré à l’aide de la clé privée.

Pour envoyer un fichier en toute sécurité, vous le cryptez avec votre clé privée et la clé publique du destinataire. Pour décrypter le fichier, ils ont besoin de leur clé privée et votre clé publique.

Vous verrez de cela que les clés publiques doivent être partagées. Vous devez disposer de la clé publique du destinataire pour crypter le fichier, et le destinataire a besoin de votre clé publique pour le décrypter. Il n’y a aucun danger à rendre vos clés publiques justes — publiques. En fait, il y a des serveurs de clé publique à cet effet, comme nous le verrons. Les clés privées doivent rester privées. Si votre clé publique est dans le domaine public, votre clé privée doit être gardée secrète et sécurisée.

La configuration de GPG comporte plus d’étapes que son utilisation. Heureusement, vous n’avez généralement besoin de le configurer qu’une seule fois.

Générer vos clés

le gpg La commande a été installée sur toutes les distributions Linux qui ont été vérifiées, y compris Ubuntu, Fedora et Manjaro.

Vous n’avez pas besoin d’utiliser GPG avec le courrier électronique. Vous pouvez crypter des fichiers et les rendre disponibles pour téléchargement, ou les transmettre physiquement au destinataire. Cependant, vous devez associer une adresse e-mail aux clés que vous générez, alors choisissez l’adresse e-mail que vous allez utiliser.

Voici la commande pour générer vos clés. le --full-generate-key L’option génère vos clés dans une session interactive dans la fenêtre de votre terminal. Vous serez également invité à saisir une phrase secrète. Assurez-vous de vous souvenir de la phrase secrète. Trois ou quatre mots simples associés à la ponctuation sont un bon et robuste modèle pour les mots de passe et les phrases secrètes.

gpg --full-generate-key

gpg --full-generate-key dans une fenêtre de terminal

Il vous sera demandé de choisir un type de cryptage dans un menu. Sauf si vous avez une bonne raison de ne pas le faire, tapez 1 et appuyez sur Entrée.

Vous devez choisir une longueur de bit pour les clés de chiffrement. Appuyez sur Entrée pour accepter la valeur par défaut.

questions de génération de clés dans une fenêtre de terminal

Vous devez spécifier la durée de la clé. Si vous testez le système, entrez une courte durée comme 5 pour cinq jours. Si vous souhaitez conserver cette clé, saisissez une durée plus longue, comme 1 an pendant un an. La clé durera 12 mois et devra donc être renouvelée après un an. Confirmez votre choix avec un Y.

Vous devez saisir votre nom et votre adresse e-mail. Vous pouvez ajouter un commentaire si vous le souhaitez.

questions de génération de clés dans une fenêtre de terminal

Vous serez invité à saisir votre phrase secrète. Vous aurez besoin de la phrase secrète chaque fois que vous travaillez avec vos clés, alors assurez-vous de savoir de quoi il s’agit.

fenêtre de phrase secrète gpg

Clique le OK lorsque vous avez saisi votre mot de passe. Cette fenêtre s’affiche lorsque vous travaillez avec gpg, alors assurez-vous de vous souvenir de votre phrase secrète.

La génération de clés aura lieu et vous retournerez à l’invite de commande.

génération de clé gpg terminée dans une fenêtre de terminal

Génération d’un certificat de révocation

Si votre clé privée devient connue des autres, vous devrez dissocier les anciennes clés de votre identité afin de pouvoir en générer de nouvelles. Pour ce faire, vous aurez besoin d’un certificat de révocation. Nous allons le faire maintenant et le stocker dans un endroit sûr.

le --output L’option doit être suivie du nom de fichier du certificat que vous souhaitez créer. le --gen-revoke l’option provoque gpg pour générer un certificat de révocation. Vous devez fournir l’adresse e-mail que vous avez utilisée lors de la génération des clés.

gpg --output ~/revocation.crt --gen-revoke [email protected]

gpg --output ~ / revocation.crt --gen-revoke dave-geek@protonmail.com dans une fenêtre de terminal

Il vous sera demandé de confirmer que vous souhaitez générer un certificat. presse Y et appuyez sur Entrée. Il vous sera demandé la raison pour laquelle vous générez le certificat. Comme nous le faisons à l’avance, nous n’en sommes pas sûrs. presse 1 comme une supposition plausible et appuyez sur Entrée.

Vous pouvez saisir une description si vous le souhaitez. Appuyez deux fois sur Entrée pour terminer votre description.

Il vous sera demandé de confirmer vos paramètres, appuyez sur Y et appuyez sur Entrée.

questions de certificat gpg dans une fenêtre de terminal

Le certificat sera généré. Vous verrez un message renforçant la nécessité de protéger ce certificat.

Il mentionne quelqu’un appelé Mallory. Les discussions sur la cryptographie ont longtemps utilisé Bob et Alice comme deux personnes communiquant. Il existe d’autres personnages secondaires. Eve est une écoute indiscrète, Mallory est un attaquant malveillant. Tout ce que nous devons savoir, c’est que nous devons garder le certificat en sécurité.

Supprimons au minimum toutes les autorisations, à l’exception des nôtres, du certificat.

chmod 600 ~/revocation.crt

chmod 600 ~ / revocation.crt dans une fenêtre de terminal

Vérifions avec ls pour voir quelles sont les autorisations maintenant:

ls -l

http://cryptocouple.com/ dans une fenêtre de terminal

C’est parfait. Personne à part le propriétaire du fichier – nous – ne peut rien faire avec le certificat.

Importation de la clé publique de quelqu’un d’autre

Pour crypter un message qu’une autre personne peut décrypter, nous devons avoir sa clé publique.

Si vous avez reçu leur clé dans un fichier, vous pouvez l’importer avec la commande suivante. Dans cet exemple, le fichier de clé est appelé « mary-geek.key ».

gpg --import mary-geek.key

gpg --import mary-geek.key dans une fenêtre de terminal

La clé est importée et le nom et l’adresse e-mail associés à cette clé s’affichent. De toute évidence, cela devrait correspondre à la personne de qui vous l’avez reçu.

clé importée avec succès dans une fenêtre de terminal

Il est également possible que la personne dont vous avez besoin d’une clé ait téléchargé sa clé sur un serveur de clés publiques. Ces serveurs stockent les clés publiques des utilisateurs du monde entier. Les serveurs de clés se synchronisent périodiquement afin que les clés soient universellement disponibles.

Le serveur de clés publiques du MIT est un serveur de clés populaire et régulièrement synchronisé, la recherche doit donc réussir. Si quelqu’un n’a téléchargé que récemment une clé, l’affichage peut prendre quelques jours.

le --keyserver L’option doit être suivie du nom du serveur clé que vous souhaitez rechercher. le --search-keys L’option doit être suivie soit du nom de la personne recherchée, soit de son adresse e-mail. Nous utiliserons l’adresse e-mail:

gpg --keyserver pgp.mit.edu --search-keys [email protected]

gpg --keyserver pgp.mit.edu --search-keys mary-geek@protonmail.com dans une fenêtre de terminal

Les matchs sont répertoriés pour vous et numérotés. Pour en importer un, saisissez le numéro et appuyez sur Entrée. Dans ce cas, il y a une seule correspondance, nous tapons donc 1 et appuyez sur Entrée.

gpg keyserver donne une fenêtre de terminal

La clé est importée et le nom et l’adresse e-mail associés à cette clé s’affichent.

Vérification et signature d’une clé

Si un fichier de clé publique vous a été remis par une personne que vous connaissez, vous pouvez sans risque dire qu’il appartient à cette personne. Si vous l’avez téléchargée à partir d’un serveur de clés publiques, vous pouvez ressentir le besoin de vérifier que la clé appartient à la personne à laquelle elle est destinée.

le --fingerprint l’option provoque gpg pour créer une courte séquence de dix ensembles de quatre caractères hexadécimaux. Vous pouvez demander à la personne de vous envoyer l’empreinte de sa clé.

Vous pouvez ensuite utiliser le --fingerprint option pour générer la même séquence d’empreintes digitales de caractères hexadécimaux et les comparer. S’ils correspondent, vous savez que la clé appartient à cette personne.

gpg --fingerprint [email protected]

gpg - empreinte digitale mary-geek@protonmail.com dans une fenêtre de terminal

L’empreinte digitale est générée.

empreinte gpg dans une fenêtre de terminal

Lorsque vous êtes convaincu que la clé est authentique et appartient à la personne à laquelle elle est censée être associée, vous pouvez signer sa clé.

Si vous ne le faites pas, vous pouvez toujours l’utiliser pour crypter et décrypter les messages de et vers cette personne. Mais gpg vous demandera à chaque fois si vous souhaitez continuer car la clé n’est pas signée. Nous allons utiliser le bien nommé --sign-key option et fournissez l’adresse e-mail de la personne, afin que gpg sait quelle clé signer.

gpg --sign-key [email protected]

gpg --sign-key mary-geek@protonmail.com dans une fenêtre de terminal

Vous verrez des informations sur la clé et la personne, et il vous sera demandé de vérifier que vous souhaitez vraiment signer la clé. presse Y et appuyez sur Entrée pour signer la clé.

confirmation de signature de clé gpg dans une fenêtre de terminal

Comment partager votre clé publique

Pour partager votre clé sous forme de fichier, nous devons l’exporter depuis gpg magasin de clés local. Pour ce faire, nous utiliserons le --export , qui doit être suivie de l’adresse e-mail que vous avez utilisée pour générer la clé. le --output L’option doit être suivie du nom du fichier dans lequel vous souhaitez exporter la clé. le --armor option indique gpg pour générer une sortie d’armure ASCII au lieu d’un fichier binaire.

gpg --output ~/dave-geek.key --armor --export [email protected]

gpg --output ~ / dave-geek.key --armor --export dave-geek@protonmail.com dans une fenêtre de terminal

Nous pouvons jeter un œil à l’intérieur du fichier clé avec less.

less dave-geek.key

fichier de clé publique en moins dans une fenêtre de terminal

La clé est montrée dans toute sa splendeur:

fichier de clé publique en moins dans une fenêtre de terminal

Vous pouvez également partager votre clé publique sur un serveur de clés publiques. le --send-keys L’option envoie la clé au serveur de clés. le --keyserver L’option doit être suivie de l’adresse Web du serveur de clé publique. Pour identifier la clé à envoyer, l’empreinte de la clé doit être fournie sur la ligne de commande. Notez qu’il n’y a pas d’espaces entre les ensembles de quatre caractères.

(Vous pouvez voir l’empreinte digitale de votre clé en utilisant le --fingerprint option.)

gpg --send-keys --keyserver pgp.mit.edu 31A4E3BE6C022830A804DA0EE9E4D6D0F64EEED4

gpg --send-keys --keyserver pgp.mit.edu 31A4E3BE6C022830A804DA0EE9E4D6D0F64EEED4 dans une fenêtre de terminal

Vous recevrez une confirmation que la clé a été envoyée.

la clé de confirmation a été envoyée au serveur de clés dans une fenêtre de terminal

Chiffrement des fichiers

Nous sommes enfin prêts à crypter un fichier et à l’envoyer à Mary. Le fichier s’appelle Raven.txt.

le --encrypt option indique gpg pour crypter le fichier, et --sign L’option lui dit de signer le fichier avec vos coordonnées. le --armor L’option indique à gpg de créer un fichier ASCII. le -r L’option (destinataire) doit être suivie de l’adresse e-mail de la personne à laquelle vous envoyez le fichier.

gpg --encrypt --sign --armor -r [email protected]

gpg --encrypt --sign --armor -r mary-geek@protonmail.com dans une fenêtre de terminal

Le fichier est créé avec le même nom que l’original, mais avec «.asc» ajouté au nom du fichier. Jetons un œil à l’intérieur.

less Raven.txt.asc

moins Raven.txt.asc dans une fenêtre de terminal

Le fichier est complètement illisible et ne peut être déchiffré que par une personne disposant de votre clé publique et de la clé privée de Mary. La seule personne à avoir les deux devrait être Mary.

Contenu crypté de raven.txt.asc dans une fenêtre de terminal

Nous pouvons maintenant envoyer le fichier à Mary, confiant que personne d’autre ne peut le décrypter.

Déchiffrer des fichiers

Mary a envoyé une réponse. Il se trouve dans un fichier crypté appelé coded.asc. Nous pouvons le déchiffrer très facilement en utilisant le --decrypt option. Nous allons rediriger la sortie dans un autre fichier appelé plain.txt.

Notez que nous n’avons pas besoin de le dire gpg de qui provient le fichier. Cela peut fonctionner à partir du contenu crypté du fichier.

gpg --decrypt coded.asc > plain.txt

gpg --decrypt coded.asc> plain.txt dans une fenêtre de terminal » width= »646″ height= »212″ onload= »pagespeed.lazyLoadImages.loadIfVisibleAndMaybeBeacon(this); » onerror= »this.onerror=null;pagespeed.lazyLoadImages.loadIfVisibleAndMaybeBeacon(this); »></p>
<p>Regardons le fichier plain.txt:</p>
<pre>less plain.txt</pre>
<p><img decoding=

Le fichier a été déchiffré avec succès pour nous.

fichier décrypté en moins dans une fenêtre de terminal

Rafraîchir vos clés

Périodiquement, vous pouvez demander gpg pour vérifier les clés qu’il possède par rapport à un serveur de clés publiques et pour actualiser celles qui ont changé. Vous pouvez le faire tous les quelques mois ou lorsque vous recevez une clé d’un nouveau contact.

le --refresh-keys l’option provoque gpg pour effectuer la vérification. le --keyserver l’option doit être suivie par le serveur clé de votre choix. Une fois les clés synchronisées entre les serveurs de clés publiques, peu importe celui que vous choisissez.

gpg --keyserver pgp.mit.edu --refresh-keys

gpg --keyserver pgp.mit.edu --refresh-keys dans une fenêtre de terminal

gpg répond en listant les clés qu’il vérifie et en vous faisant savoir si certaines ont changé et ont été mises à jour.

la touche gpg est actualisée dans une fenêtre de terminal

La confidentialité est un sujet brûlant

La confidentialité n’est jamais loin de l’actualité de nos jours. Quelles que soient vos raisons de vouloir garder vos informations sécurisées et privées, gpg fournit un moyen simple d’appliquer un cryptage incroyablement puissant à vos fichiers et communications.

Il existe d’autres façons d’utiliser gpg. Vous pouvez obtenir un plugin pour Thunderbird appelé Enigmail. Il se connecte directement à votre gpg configuration pour vous permettre de crypter les e-mails depuis Thunderbird.

LEAVE A REPLY

Please enter your comment!
Please enter your name here