Un article très intéressant expliquant le chiffrement au sein des gestionnaires de mots de passe.
Un bon article sur LUKS.
L'erreur que j'avais quand je voulais envoyer un mail chiffré :
GnuPG a rapporté une erreur de communication avec gpg-agent (un composant de GnuPG).
Ceci est une erreur d’installation ou de configuration qui empêche Enigmail de fonctionner correctement et qui ne peut pas être corrigée automatiquement.
Nous vous conseillons vivement de consulter notre page de support sur notre site internet à l’adresse https://enigmail.net/faq.
Je cite la solution qui m'a aidée :
Solution pour Debian 8
Dans le cas Icedove (Thunderbird sur Debian)
– Ouvrir Icedove/Thunderbird
– Supprimer Enigmail dans les Plugins/Add-ons puis fermer Icedove/Thunderbird
– Ouvrir le gestionnaire de paquets Synaptic, rechercher enigmail, l’installer selon la procédure habituelle
– Relancer Icedove
J'ai juste utilisé un
sudo aptitude install enigmail
À la place de passer par Synaptic, mais ça a le même effet. :-)
Une comparaison de dix clients pour Let's Encrypt. Je cite la liste :
Je suis en train d'installer Ring pour tester ce que ça donne.
[Edit: Ring sur Android demande accès à plein plein de trucs!
Est-ce que tout ça se justifie ? Ça a beau être un logiciel sous GPLv3 soutenu par la FSF, ça a tendance à me refroidir un peu...
Quelques exemples simples pour chiffrer un fichier en utilisant OpenSSL et l'un de ses nombreux algos de chiffrement.
Pour chiffrer (ici avec AES) :
| ==========
$ openssl enc -e -aes-256-cbc -in fichier -out fichier-chiffré
| ==========
Pour déchiffrer :
| ==========
$ openssl enc -d -aes-256-cbc -in fichier-chiffré -out fichier-déchiffré
| ==========
C'est vrai que c'est pas mal du tout ! :-) Surtout qu'on trouve maintenant des clé USB 3.0 de 64, 128, 256 et même 512Go*!
Dans le même genre, j'avais lu quelque chose pour mettre la partition "/boot" sur une clé USB afin de ne pas pouvoir démarrer l'ordinateur sans cette clé. (Ce qui fait une protection supplémentaire mais n'empêche pas de chiffrer le DD.)
*à 512Go, ça commence à couter cher mais on est à ~50€ pour une 64Go, ce qui reste raisonnable.
(via http://www.warriordudimanche.net/shaarli/?1mdnew et plein d'autres sur shaarlo.fr )
'Jour tout le monde.
J'ai fait des bêtises en exportant ma clé publique la dernière fois, j'ai mal précisé quel(les) clé(s) je voulais exporter... Donc ma clé contenait aussi la clé publique de quelqu'un d'autre... (WHAAAT?!).
J'ai tout corrigé, modifié sur mon blog, sur le fichier my_PGP.asc et j'ai exporté la bonne clé vers les serveurs de clés publiques. Si vous aviez ajouté ma clé publique, merci de mettre à jour. (Et désolé...)
La NSA aurait-elle investi des centaines de millions de dollars pour casser du VPN ? Ça parait tellement énorme comme investissement... Mais le retour doit l'être également.
Ça fait -encore une fois- bien peur!
[Edit : https://reflets.info/cryptographie-on-va-tous-mourir-encore/
En gros, le problème n'est pas la crypto mais une erreur possible de configuration (si de nombreux serveurs utilisent le même nombre premier comme base pour les calculs, il y a beaucoup moins d'efforts à faire pour récupérer leurs communications. Ça ne veut pas dire que la crypto a un soucis ni que Diffie-Hellman est "cassé".
C'est bien de dire qu'on va chiffrer le contenu des ordiphones mais... Si on montre jamais la clé ? Elle est générée comment ? Par qui ?
Si Google ou les renseignements ont accès à la clé (ou à l'appareil allumé?), qu'est-ce que ça change ? Ça permet juste qu'on ne puisse pas voler nos données si l'appareil est volé. Mais à part ça ?
J'utilise encore TextSecure mais je penserai à passer à SMSSecure quand j'ai un peu de temps.
(via http://sebsauvage.net/links/?75HUHA )
Une page toute propre et toute belle pour expliquer pourquoi et comment chiffrer ses mails avec GnuPG.
J'ai déjà fait une petite liste de liens intéressants sur le sujet, voir http://links.simonlefort.be/?jC0OvQ
(via https://www.debian-fr.org/thunderbird-chiffrer-ses-emails-t52811.html )
Je me suis posé la question il n'y a pas longtemps sans avoir le temps de regarder... Merci à Genma pour ces explications claires !
TL;DR : Les paquets font le même chemin en sens inverse.
La mienne est là : http://blog.simonlefort.be/pages/myPGP.html et là : https://keybase.io/simonlefort
Empreinte : 95BF AB19 5D4E AB64
Et pour moi on dit PGP (le standard étant OpenPGP, voir : https://fr.wikipedia.org/wiki/OpenPGP ). GPG c'est dans le cas où on utilise l'implémentation GnuPrivacyGuard ( https://fr.wikipedia.org/wiki/GNU_Privacy_Guard ) mais je me souviens avoir pas mal hésité et pas avoir trouvé ça très clair...
Vraiment bon ! Il a même retrouvé ma clé sur keybase. :-)
Par contre il m'a dit que je pouvais pas utiliser une adresse d'origine yyy@zzz.email (pas valide qu'il dit... Alors qu'elle marche très bien mon adresse! hum!)
( via plein de gens sur Shaarli.fr )
C'est considéré comme du chiffrement à ce niveau ? :-(
(via http://sebsauvage.net/links/?RTjbAg )
Un article intéressant sur le chiffrement de fichiers pour les placer ensuite dans un nuage quelconque. L'intérêt est de pouvoir avoir un accès facile aux dossiers et de pouvoir accéder à un fichier en particulier dans un dossier complet. Faut que j'analyse en détail plus tard.
Loin des politiciens, ceux qui s'occupent techniquement du blocage des sites terroristes, pédopornographiques et autres, ont la tête sur les épaules. Ils savent que les blocages qu'ils emploient ne sont pas infranchissables. Ils ne stigmatisent pas internet comme étant le mal absolu (comme on a pas l'entendre de la bouche de certains politiciens) et finalement, ils cherchent avant tout à éviter que "n'importe quel gamin" ne tombe pas sur des vidéos de viol ou de décapitation par hasard.
| ========
Lorsque des vidéos difficilement supportables sont diffusées, il est satisfaisant de pouvoir en bloquer l’accès, au moins pour les internautes français. De savoir que n’importe quel gamin ne tombera pas sur cette vidéo en tapant « Daech » dans Google. C’est une part un peu modeste, mais c’est déjà bien.
| ========
Finalement, sur le terrain, les gens essayent de faire leur taf au mieux...
(via https://sammyfisherjr.net/Shaarli/?KKVpzg )
Lien direct vers le projet : http://trytolisten.me
Le projet consiste à proposer un chat et un partage de document avec chiffrement de bout en bout grâce à la librairie openPGP.js. Super ! :-)
Ceux qui veulent m'ajouter pour tester :
Name: Simon Lefort
Finger Print: 1bb78a84cf7b2d77193a979898eb72e4b8ab92c8
Quelques (petites) remarques :
La procédure de création de compte n'est pas "claire". (Peut-être juste possible de préciser qu'il faut choisir un nom, entrer une passphrase, cliquer sur "generate keys" et que le fingerprint s'ajoute automatiquement avant qu'on cliquer sur "Register")
Préciser où les clés s'enregistrent afin qu'on puisse les copier d'un ordinateur à l'autre si besoin.
Proposer une interface en français ? (Je pense aux utilisateurs lambda là...)
(via http://shaarli.memiks.fr/?HL8fpw , http://sebsauvage.net/links/?ydUpMw )
J'ai apporté ma petite pierre à l'édifice en faisant un don de 10€.
Je suis le cinquième "Simon" de la liste des donateurs. :-D
Une procédure de backup. Faudra que je m'attaque à ça un de ces quatre...
( via http://my.shaarli.fr/tsyr2ko/?nf31Ww )
Il est possible de chiffrer ses conversations facebook avec CryptoCat.
Une alternative : Le plugin OTR de Pidgin. ( voir http://links.simonlefort.be/?yShVJg )
Un tutoriel sur l'utilisation d'EncFS, que j'ai testé ce matin. Ça semble vraiment bien marcher et on peut synchroniser le dossier chiffré en toute sécurité. :-)
Test - Création d'un dossier chiffré ( ~/.chiffre ) et d'un dossier en clair ( ~/clair ) :
| ========
02:30:02-[simon@debian]:~$ encfs ~/.chiffre ~/clair
Le répertoire "/home/simon/.chiffre/" n'existe pas. Doit-il être créé ? (y/n) y
Le répertoire "/home/simon/clair" n'existe pas. Doit-il être créé ? (y/n) y
Création d'un nouveau volume chiffré.
Veuillez choisir au moins une des options suivantes :
entrez "x" pour le mode de configuration expert,
entrez "p" pour un mode pré-configuré paranoïaque,
n'importe quoi d'autre ou une ligne vide sélectionnera le mode standard.
?>
Configuration standard sélectionnée.
Configuration terminée. Le système de fichiers sur le
point d'être créé a les caractéristiques suivantes :
Chiffrement de système de fichiers "ssl/aes", version 3:0:2
Encodage du nom de fichier : "nameio/block", version 3:0:1
Taille de clé : 192 bits
Taille de bloc : 1024 octets
Chaque fichier comprend un en-tête de 8 octets avec des données IV uniques.
Nom de fichiers chiffrés en utilisant le mode de chaînage IV.
File holes passed through to ciphertext.
Vous allez maintenant devoir entrer un mot de passe
pour votre système de fichiers.
Vous allez devoir absolument vous souvenir de ce mot de passe,
car il n'y a aucun mécanisme de secours.
Cependant, le mot de passe pourra être changé plus tard
en utilisant encfsctl.
Nouveau mot de passe EncFS :
Vérifiez le mot de passe EncFS :
02:30:45-[simon@debian]:~$ ls clair/
02:30:49-[simon@debian]:~$ ls .chiffre/
02:30:55-[simon@debian]:~$ cp fichier_test.txt clair/fichier_test.txt
02:31:07-[simon@debian]:~$ ls clair/
fichier_test.txt
02:31:10-[simon@debian]:~$ ls .chiffre/
HCM0A9eNcXTRKR42Dm0CHW9D
02:31:11-[simon@debian]:~$ fusermount -u /home/simon/clair
02:31:20-[simon@debian]:~$ ls clair/
02:31:24-[simon@debian]:~$ ls .chiffre/
HCM0A9eNcXTRKR42Dm0CHW9D
02:31:27-[simon@debian]:~$ encfs ~/.chiffre ~/clair
Mot de passe EncFS :
02:31:44-[simon@debian]:~$ ls clair/
fichier_test.txt
| ========
Pour simplifier le montage/démontage du dossier, on peut créer des alias dans le fichier .bash_aliases :
| ========
02:33:47-[simon@debian]:~$ vim .bash_aliases
| # Alias encfs
| alias ouvrir-coffre="encfs ~/.chiffre ~/clair"
| alias fermer-coffre="fusermount -u /home/simon/clair"
02:34:58-[simon@debian]:~$ source .bashrc
02:35:07-[simon@debian]:~$ ls clair/
fichier_test.txt
02:35:09-[simon@debian]:~$ fermer-coffre
02:35:13-[simon@debian]:~$ ls clair/
02:35:15-[simon@debian]:~$ ouvrir-coffre
Mot de passe EncFS :
02:35:25-[simon@debian]:~$ ls clair/
fichier_test.txt
| ========
C'est quand même beaucoup plus simple/rapide !
Je cite l'intro :
Vous souhaitez conserver des données sensibles et/ou privées, mais sans chiffrer tout votre disque dur. Idéalement, vous voudriez pouvoir restreindre l'accès à certains répertoires seulement, par mot de passe. Les données stockées dans ce(s) répertoire(s) seraient chiffrées et accessibles uniquement après authentification.
EncFS permet de réaliser cela très simplement. Pour ce faire, vous allez utiliser deux répertoires :
· un premier répertoire dans lequel seront stockées les données chiffrées ("source directory") ;
· un second répertoire dans lequel vous pourrez créer des données en clair, après authentification ("mount directory").
EncFS permet donc de chiffrer facilement un dossier qu'on voudrait synchroniser entre plusieurs machines, par exemple. À regarder de plus près.
Je découvre Keybase.io et ses possibilités.
Article qui en parle :
[Edit: mon profil Keybase : https://keybase.io/simonlefort
Lors de différentes arrestations, il a été reproché aux suspects qu'ils utilisaient des mails "sécurisés". Depuis quand c'est un crime d'utiliser des outils bien faits qui respectent la vie privée ?! Si on utilise un chiffrement basé sur PGP, c'est un fait aggravant ? Quelle blague !
(La FDN a donné son soutient à RiseUp : http://www.ffdn.org/fr/article/2015-01-07/la-federation-fdn-soutient-riseup-security-not-crime )
Des explications pour utiliser OpenPGP.
(via Jeekajoo : https://fralef.me/links/?rMakgA )
Ça peut toujours être utile...
Explication pour installer Pidgin et le plugin OTR (Off-The-Record). Je l'ai installé en très peu de temps sur ma Debian et mon frère l'a installé sur Windows. Ça fonctionne très bien!
Comme (beaucoup trop de) gens n'utilisent plus que facebook, on a utilisé nos comptes FB pour tester et c'est assez marrant de voir que facebook affiche "[message chiffré]" dans la communication. On utilise leur réseau tout en les empêchant de lire ce qu'on écrit. :-)
Un autre lien avec des explications simples sur OTR :
https://otr.cypherpunks.ca/help/4.0.1/levels.php?lang=fr
(Utile pour expliquer à vos contacts, par exemple.)
Objectif : Un système de mails chiffrés de bout en bout utilisable facilement. On verra ce que ça donne. :-)
( via https://fralef.me/links/?EFEyzg )
En gros, la NSA ne saurait pas encore déchiffrer les mails en PGP, aurait encore du mal avec TOR, le chiffrement des messageries instantanées par OTR ainsi que le VoIP qui utilise le protocole ZRTP. Pour SSH, ils auraient apparemment pu récupérer des couples login/mdp mais ça ne veut pas dire que le protocole est troué. Pareil pour les VPN : Ils ont réussis à mettre la main sur des clés pour les déchiffrer, ça ne veut pas dire que le VPN en soit est un soucis. Ça veut dire qu'il faut bien sécuriser ses clés.
Ce qui est important, c'est de BIEN utiliser tous ces outils. (Clé de chiffrement longues (!!), pas d'erreurs de configuration, ... )
Un projet de réseau maillé, décentralisé et chiffré. Ça semble intéressant, quelqu'un en a entendu parler ? Je suis tombé dessus en cherchant des subreddit random
( https://www.reddit.com/r/darknetplan/ ). Hyperboria est un réseau basé sur le projet mais il faut connaître au moins une autre personne pour y accéder. Pas encore eu le temps d'aller demander sur IRC...
Plus d'infos :
http://cjdns.info/
http://hyperboria.net/
https://projectmeshnet.org/
http://linuxfr.org/users/agentsteel/journaux/cjdns-hyperboria-reseau-decentralise-et-securise
Je retiens. Ne pas activer le module de chiffrement d'OwnCloud pour l'instant...
Duplicity est un outil de backup qui s'utilise apparemment comme "rsync" ( http://doc.ubuntu-fr.org/rsync ) mais permet de chiffrer les backups à la volée avec GnuPG. Miam.
(via un commentaire sur l'article de Genma : http://genma.free.fr/?Comment-sauvegarder-son-Raspberry-Pi )
Suite aux articles de Zythom (voir http://links.simonlefort.be/?ZbpUtQ ), je me suis décidé à tester (enfin!) le chiffrement de mails. Voici différents liens intéressants que j'ai trouvé :
Je pense avoir compris la base mais j'ai encore quelques tests à faire pour me sentir à l'aise.
Zythom commence une série d'articles sur le chiffrement des mails pour sécuriser une correspondance. J'aime bien sa manière d'expliquer les choses, simplement et avec pragmatisme. Il faut vraiment que j'apprenne à utiliser PGP... Une grosse lacune encore pour moi.
Suite à l'arrivée d'une autorité de certification avec la fondation Mozilla, Cisco et d'autres ( https://letsencrypt.org/ ), je suis tombé sur StartSSL. Ils proposent des certificats gratuits pour passer son/ses serveur(s) en HTTPS. Je remarque simplement que le serveur est en Israël ? Ils me semblent qu'ils ont de bons hackers dans l'armée là-bas, non ? Est-ce que diffuser leurs certificats n'est pas intéressant pour eux d'un point de vue stratégique ?
(Après, j'ai encore pas mal de lacunes, possible que je ne comprenne pas tout et qu'il n'y ai aucune inquiétude à avoir.)
Un article très intéressant de Mitsu sur la sauvegarde de ses données personnelles. Il passe par du chiffrement avec deja-dup (qui s'appuie sur duplicity) et ensuite il utilise le client owncloud pour synchroniser ses sauvegardes sur le "Cloud". Il conseille également de diversifier les services de cloud pour être certains de pouvoir toujours récupérer ses données.
Un projet pour bâtir un standard simple pour le chiffrement des mails, sms, etc. À regarder de plus près.
MyCryptoChat est un chat chiffré dans le navigateur écrit en javascript et php par Tommy de " http://blog.howtommy.net/ ". Certains ont dit qu'il n'était pas parfait, que javascript n'était pas prévu pour faire de la crypto, etc... Je pense qu'il sera toujours moins risqué d'utiliser sa propre instance de MyCryptoChat que de discuter sur Facebook. Et na ! ;-)
Télécharger la dernière version sur https://mycryptochatphp.codeplex.com/ et l'envoyer sur le serveur.
| ========
| simon@ordi:~$ scp -P [PORT] MyCryptoChatPHP\ Web\ v1.0.4.zip [LOGIN]@[IP_DU_SERVEUR]:
| ========
Se connecter sur le serveur avec SSH.
| ========
| simon@ordi:~$ ssh [LOGIN]@[IP_DU_SERVEUR] -p [PORT]
| ========
Installer les dépendances. (php5 et sqlite)
| ========
| [LOGIN]@[SERVEUR]:~$ sudo aptitude install php5 sqlite php5-sqlite
| ========
"Dézipper" l'archive avec unzip.
| ========
| ( [LOGIN]@[SERVEUR]:~$ sudo aptitude install unzip )
| [LOGIN]@[SERVEUR]:~$ unzip MyCryptoChatPHP\ Web\ v1.0.4.zip
| ========
Créer le dossier pour mettre MyCryptoChat :
| ========
| [LOGIN]@[SERVEUR]:~$ sudo mkdir /var/www/default-site/chat/
| ========
Aller dans le dossier dézippé et copier tout son contenu dans le dossier "/var/www/default-site/chat/".
| ========
| [LOGIN]@[SERVEUR]:~$ cd MyCryptoChatPHP\ Web\ v1.0.4
| [LOGIN]@[SERVEUR]:~/MyCryptoChatPHP Web v1.0.4$ sudo cp -r * /var/www/default-site/chat/
| ========
Il faut maintenant changer le propriétaire du répertoire /var/www/default-site/chat/ avec la commande chown.
| ========
| [LOGIN]@[SERVEUR]:~$ sudo chown -R www-data:www-data /var/www/default-site/chat/
| ========
Il est possible "d'écouter" le travail du processeur en vérifiant simplement les variations de tensions à la masse et en les amplifiant... Grâce à cela, ces scientifiques ont réussis à récupérer des clés de chiffrement (implémentation GnuPG de RSA). Ça fait un peu peur, même si ce n'est pas à la portée du premier venu.
(via http://sebsauvage.net/links/?QcJDvg )
Quand on utilise ssh-keygen pour générer une clé, on laisse généralement la taille par défaut mais il est possible pour RSA de spécifier avec l'argument "-b" suivi de la taille.
| ========
| simon@ordi:~$ ssh-keygen -t rsa -b 8192
| ========
L'article a été copié à différents endroits :
Mon gros ordinateur m'a lâché. J'ai sorti le disque dur pour récupérer les données et quand je l'ai ouvert, je me suis rendu compte que le /home/simon/ était quasiment vide...
| simon@PetitOrdi /media/simon/c083dd9b-c2e9-48c2-893f-125117c93745/home/simon $ ls -al
| total 12
| dr-x------ 3 simon simon 4096 mai 20 2013 .
| drwxr-xr-x 4 root root 4096 mai 20 2013 ..
| lrwxrwxrwx 1 simon simon 56 mai 20 2013 Access-Your-Private-Data.desktop -> /usr/share/ecryptfs-utils/ecryptfs-mount-private.desktop
| drwx------ 3 simon simon 4096 mai 20 2013 .cache
| lrwxrwxrwx 1 simon simon 31 mai 20 2013 .ecryptfs -> /home/.ecryptfs/simon/.ecryptfs
| lrwxrwxrwx 1 simon simon 30 mai 20 2013 .Private -> /home/.ecryptfs/simon/.Private
| lrwxrwxrwx 1 simon simon 52 mai 20 2013 README.txt -> /usr/share/ecryptfs-utils/ecryptfs-mount-private.txt
Voici la commande pour restaurer cette partition :
| simon@PetitOrdi /media/backup_gros/home/simon $ sudo ecryptfs-recover-private
| INFO: Searching for encrypted private directories (this might take a while)...
| INFO: Found [/media/simon/c083dd9b-c2e9-48c2-893f-125117c93745/home/.ecryptfs/simon/.Private].
| Try to recover this directory? [Y/n]:
| INFO: Found your wrapped-passphrase
| Do you know your LOGIN passphrase? [Y/n]
| INFO: Enter your LOGIN passphrase...
| Passphrase:
| Inserted auth tok with sig [6e06a0438b77a49b] into the user session keyring
| INFO: Success! Private data mounted at [/tmp/ecryptfs.94zEigk7].
Après cette étape, je retrouve le dossier /home que je veux récupérer dans le dossier /tmp/ecryptfs.94zEigk7 . Ouf !
Je garde le lien dans le coin également.
(via https://fralef.me/links/?xBCRsQ )