Protégez votre vie privée avec Linux
gpg
commander. Utilisez un cryptage de classe mondiale pour protéger vos secrets. Nous allons vous montrer comment utiliser gpg pour travailler avec des clés, crypter des fichiers et les décrypter.
Gnu Privacy Guard ( GPG ) vous permet de crypter des fichiers en toute sécurité afin que seul le destinataire prévu puisse les décrypter. Plus précisément, GPG est conforme à la OpenPGP la norme. Il est calqué sur un programme appelé Pretty Good Privacy ( PGP ). PGP a été écrit en 1991 par Phil Zimmerman .
GPG repose sur l'idée de deux clés de chiffrement par personne. Chaque personne a un privé clé et un public clé. La clé publique peut déchiffrer quelque chose qui a été chiffré à l'aide de la clé privée.
Pour envoyer un fichier en toute sécurité, vous le cryptez avec votre clé privée et la clé publique du destinataire. Pour décrypter le fichier, ils ont besoin de leur clé privée et votre clé publique.
Vous verrez à partir de là que les clés publiques doivent être partagées. Vous devez avoir la clé publique du destinataire pour crypter le fichier et le destinataire a besoin de votre clé publique pour le décrypter. Il n'y a aucun danger à rendre vos clés publiques juste cela - publiques. En fait, il existe des serveurs de clés publiques à cette fin, comme nous le verrons. Les clés privées doivent rester privées. Si votre clé publique appartient au domaine public, votre clé privée doit être gardée secrète et sécurisée.
Il y a plus d'étapes impliquées dans la configuration de GPG que dans son utilisation. Heureusement, vous n'avez généralement besoin de le configurer qu'une seule fois.
Générer vos clés
le
gpg
La commande a été installée sur toutes les distributions Linux vérifiées, y compris Ubuntu, Fedora et Manjaro.
Vous n'êtes pas obligé d'utiliser GPG avec les e-mails. Vous pouvez crypter les fichiers et les rendre disponibles pour téléchargement, ou les transmettre physiquement au destinataire. Cependant, vous devez associer une adresse e-mail aux clés que vous générez, alors choisissez l'adresse e-mail que vous allez utiliser.
Voici la commande pour générer vos clés. le
--full-generate-key
option génère vos clés dans une session interactive dans la fenêtre de votre terminal. Vous serez également invité à entrer une phrase secrète. Assurez-vous de vous souvenir de la phrase secrète. Trois ou quatre mots simples associés à la ponctuation sont une bonne
modèle robuste pour les mots de passe et les phrases de passe
.
gpg --full-generate-key
Il vous sera demandé de choisir un type de cryptage dans un menu. Sauf si vous avez une bonne raison de ne pas le faire, tapez
1
et appuyez sur Entrée.
Vous devez choisir une longueur en bits pour les clés de chiffrement. Appuyez sur Entrée pour accepter la valeur par défaut.
Vous devez spécifier la durée de vie de la clé. Si vous testez le système, entrez une courte durée comme
5
pour cinq jours. Si vous comptez conserver cette clé, entrez une durée plus longue, comme 1 an, pendant un an. La clé durera 12 mois et devra donc être renouvelée après un an. Confirmez votre choix avec un
Oui
.
Vous devez entrer votre nom et votre adresse e-mail. Vous pouvez ajouter un commentaire si vous le souhaitez.
Vous serez invité à entrer votre mot de passe. Vous aurez besoin de la phrase secrète chaque fois que vous travaillerez avec vos clés, alors assurez-vous de savoir de quoi il s'agit.
Clique le
D'accord
lorsque vous avez entré votre mot de passe. Vous verrez cette fenêtre pendant que vous travaillez avec
gpg
, alors assurez-vous de vous souvenir de votre phrase secrète.
La génération de clé aura lieu et vous serez renvoyé à l'invite de commande.
Générer un certificat de révocation
Si votre clé privée devient connue des autres, vous devrez dissocier les anciennes clés de votre identité afin de pouvoir en générer de nouvelles. Pour ce faire, vous aurez besoin d'un certificat de révocation. Nous allons le faire maintenant et le stocker dans un endroit sûr.
le
--production
L'option doit être suivie du nom de fichier du certificat que vous souhaitez créer. le
--gen-révoquer
option causes
gpg
pour générer un certificat de révocation. Vous devez fournir l'adresse e-mail que vous avez utilisée lors de la génération des clés.
gpg --output ~ / revocation.crt --gen-revoke [email protected]
Il vous sera demandé de confirmer que vous souhaitez générer un certificat. presse
Oui
et appuyez sur Entrée. Il vous sera demandé la raison pour laquelle vous générez le certificat. Comme nous le faisons à l'avance, nous ne le savons pas avec certitude. presse
1
comme une supposition plausible et appuyez sur Entrée.
Vous pouvez saisir une description si vous le souhaitez. Appuyez deux fois sur Entrée pour terminer votre description.
Il vous sera demandé de confirmer vos paramètres, appuyez sur
Oui
et appuyez sur Entrée.
Le certificat sera généré. Vous verrez un message renforçant la nécessité de conserver ce certificat en toute sécurité.
Il mentionne quelqu'un appelé Mallory. Les discussions sur la cryptographie sont utilisées depuis longtemps Bob et Alice comme les deux personnes communiquant. Il existe d'autres personnages de soutien. Eve est une espionne, Mallory est un attaquant malveillant. Tout ce que nous devons savoir, c'est que nous devons garder le certificat en sécurité.
Au minimum, supprimons toutes les autorisations en dehors des nôtres du certificat.
chmod 600 ~ / revocation.crt
Vérifions avec
ls
pour voir quelle est la permission maintenant:
ls -l
C'est parfait. Personne en dehors du propriétaire du fichier - nous - ne peut rien faire avec le certificat.
Importer la clé publique d'une autre personne
Pour crypter un message qu'une autre personne peut décrypter, nous devons avoir sa clé publique.
Si vous avez reçu leur clé dans un fichier, vous pouvez l'importer avec la commande suivante. Dans cet exemple, le fichier de clé s'appelle «mary-geek.key».
gpg --import mary-geek.key
La clé est importée et le nom et l'adresse e-mail associés à cette clé s'affichent. Évidemment, cela devrait correspondre à la personne dont vous l'avez reçu.
Il est également possible que la personne dont vous avez besoin d'une clé ait téléchargé sa clé sur un serveur de clé publique. Ces serveurs stockent les clés publiques de personnes du monde entier. Les serveurs de clés se synchronisent régulièrement les uns avec les autres afin que les clés soient universellement disponibles.
Le serveur de clés publiques du MIT est un serveur de clés populaire et régulièrement synchronisé, la recherche devrait donc aboutir. Si quelqu'un a récemment téléchargé une clé, cela peut prendre quelques jours pour apparaître.
le
--keyserver
L'option doit être suivie du nom du serveur de clés que vous souhaitez rechercher. le
--search-keys
L'option doit être suivie du nom de la personne que vous recherchez ou de son adresse e-mail. Nous utiliserons l'adresse e-mail:
gpg --keyserver pgp.mit.edu --search-keys [email protected]
Les correspondances sont répertoriées pour vous et numérotées. Pour en importer un, saisissez le numéro et appuyez sur Entrée. Dans ce cas, il n'y a qu'une seule correspondance, nous tapons donc
1
et appuyez sur Entrée.
La clé est importée et le nom et l'adresse e-mail associés à cette clé s'affichent.
Vérification et signature d'une clé
Si une personne que vous connaissez vous a remis un fichier de clé publique, vous pouvez affirmer en toute sécurité qu'il appartient à cette personne. Si vous l'avez téléchargée à partir d'un serveur de clé publique, vous pouvez ressentir le besoin de vérifier que la clé appartient à la personne à laquelle elle est destinée.
le
--empreinte digitale
option causes
gpg
pour créer une courte séquence de dix ensembles de quatre caractères hexadécimaux. Vous pouvez demander à la personne de vous envoyer l'empreinte digitale de sa clé.
Vous pouvez ensuite utiliser le
--empreinte digitale
option pour générer la même séquence d'empreintes digitales de caractères hexadécimaux et les comparer. S'ils correspondent, vous savez que la clé appartient à cette personne.
gpg - empreinte digitale [email protected]
L'empreinte digitale est générée.
Lorsque vous êtes convaincu que la clé est authentique et appartient à la personne à laquelle elle est censée être associée, vous pouvez signer sa clé.
Si vous ne le faites pas, vous pouvez toujours l'utiliser pour crypter et décrypter les messages de et vers cette personne. Mais
gpg
vous demandera à chaque fois si vous souhaitez continuer car la clé n'est pas signée. Nous utiliserons le bien nommé
--sign-key
option et indiquez l'adresse e-mail de la personne, afin que
gpg
sait quelle clé signer.
gpg --sign-key [email protected]
Vous verrez des informations sur la clé et la personne, et vous serez invité à confirmer que vous voulez vraiment signer la clé. presse
Oui
et appuyez sur Entrée pour signer la clé.
Comment partager votre clé publique
Pour partager votre clé sous forme de fichier, nous devons l'exporter à partir du
gpg
magasin de clés local. Pour ce faire, nous utiliserons le
--exportation
, qui doit être suivie de l'adresse e-mail que vous avez utilisée pour générer la clé. le
--production
L'option doit être suivie du nom du fichier dans lequel vous souhaitez exporter la clé. le
--armure
option dit
gpg
pour générer une sortie d'armure ASCII au lieu d'un fichier binaire.
gpg --output ~ / dave-geek.key --armor --export [email protected]
Nous pouvons jeter un œil à l'intérieur du fichier clé avec
Moins
.
moins dave-geek.key
La clé est montrée dans toute sa splendeur:
Vous pouvez également partager votre clé publique sur un serveur de clé publique. le
--send-keys
L'option envoie la clé au serveur de clés. le
--keyserver
L'option doit être suivie de l'adresse Web du serveur de clé publique. Pour identifier la clé à envoyer, l'empreinte digitale de la clé doit être fournie sur la ligne de commande. Notez qu'il n'y a pas d'espaces entre les ensembles de quatre caractères.
(Vous pouvez voir l'empreinte digitale de votre clé en utilisant le
--empreinte digitale
option.)
gpg --send-keys --keyserver pgp.mit.edu 31A4E3BE6C022830A804DA0EE9E4D6D0F64EEED4
Vous recevrez la confirmation que la clé a été envoyée.
Cryptage des fichiers
Nous sommes enfin prêts à crypter un fichier et à l'envoyer à Mary. Le fichier s'appelle Raven.txt.
le
--Crypter
option dit
gpg
pour crypter le fichier, et le
--signe
l'option lui dit de signer le fichier avec vos coordonnées. le
--armure
L'option indique à gpg de créer un fichier ASCII. le
-r
L'option (destinataire) doit être suivie de l'adresse e-mail de la personne à laquelle vous envoyez le fichier.
gpg --encrypt --sign --armor -r [email protected]
Le fichier est créé avec le même nom que l'original, mais avec «.asc» ajouté au nom du fichier. Jetons un coup d'œil à l'intérieur.
moins Raven.txt.asc
Le fichier est totalement illisible et ne peut être déchiffré que par une personne qui possède votre clé publique et la clé privée de Mary. La seule personne à avoir les deux devrait être Mary.
Nous pouvons maintenant envoyer le fichier à Mary avec la certitude que personne d'autre ne peut le déchiffrer.
Décrypter des fichiers
Mary a envoyé une réponse. Il se trouve dans un fichier crypté appelé coded.asc. Nous pouvons le décrypter très facilement en utilisant le
--décrypter
option. Nous allons rediriger la sortie dans un autre fichier appelé plain.txt.
Notez que nous n'avons pas à dire
gpg
de qui provient le fichier. Cela peut fonctionner à partir du contenu crypté du fichier.
gpg --decrypt coded.asc> plain.txt
Examinons le fichier plain.txt:
moins plain.txt
Le fichier a été décrypté avec succès pour nous.
Rafraîchir vos clés
Périodiquement, vous pouvez demander
gpg
pour vérifier les clés dont il dispose par rapport à un serveur de clés publiques et pour actualiser celles qui ont changé. Vous pouvez le faire tous les quelques mois ou lorsque vous recevez une clé d'un nouveau contact.
le
--refresh-clés
option causes
gpg
pour effectuer le contrôle. le
--keyserver
L'option doit être suivie du serveur de clés de votre choix. Une fois que les clés ont été synchronisées entre les serveurs de clés publiques, peu importe celle que vous choisissez.
gpg --keyserver pgp.mit.edu --refresh-keys
gpg
répond en listant les clés qu'il vérifie et en vous informant si certaines ont été modifiées et mises à jour.
La confidentialité est un sujet brûlant
La vie privée n'est jamais loin de l'actualité de nos jours. Quelles que soient vos raisons de vouloir garder vos informations sécurisées et privées,
gpg
fournit un moyen simple d'appliquer un cryptage incroyablement puissant à vos fichiers et communications.
Il existe d'autres façons d'utiliser
gpg
. Vous pouvez obtenir un plugin pour
Thunderbird
appelé
Enigmail
. Il s'accroche directement à votre
gpg
configuration pour vous permettre de crypter les e-mails depuis Thunderbird.
