Chiffrement cryptographique de données insérées dans une page web

+2 votes
2,380 vues
question 19 Juillet 15 dans FTP & Filemanager par BenoitXVII (927 points)  
editée 20 Juillet 15 par BenoitXVII

(Je n'ai pas trouvé de catégorie adéquate pour poster)

Le but est que vous seul consultiez vos propres données confidentielles (listing de logins/password, numéro de passeports, etc.) partout dans le monde, sans que personne ne connaisse l'url de consultation (que vous seul connaissez) et sans vous tracasser d'un(e) éventuel(le) vol/perte de votre portable qui vous accompagne en voyage.

***************************
Ce petit exposé ne désire pas reproduire toute la documentation de tel ou tel programme mais d'extraire quelques infos utiles.
Si votre machine n'est pas propre, passez votre chemin, cela ne sert à rien (bon, vous me direz, qui peut affirmer avoir une machine propre >:->>).

***************************
1. OS et programme utilisé
2. Cas clinique
3. Législation
4. divers
***************************

1. OS et programme utilisé
Windows 8.1 et Gpg4win 2.2.5 ( http://www.gpg4win.org/ )

***************************

2. Cas clinique

Le plus dur dans cette affaire est de mémoriser la phrase secrète (le mot de passe) pour chaque paire de clefs.

Une fois gpg4win-2.2.5.exe (<30Mo) installé, l'on trouve:
- Documentation-compendium
- GPA
- Kleopatra
- Uninstall :))

Vous cliquez sur gpa.exe.

2A. Vous créez 2 voire 3 paires de clefs.
Petit conseil:
- préparez à l'avance, pour chaque création de paire de clefs, un pseudo - une adresse e-mail - un mot de passe à rallonge avec au moins un chiffre (les mensurations de votre conjoint, un alexandrin, etc.)
- car, si vous tardez à entrer ces données, le programme annonce des messages d''erreurs'. Pas de souci, il ne plante pas, même si sur la machine de test j'ai vu quelques fois: 'le programme ne répond pas'. Ne touchez à rien, l'annonce disparaîtra. Il arrive aussi que vous ayez non seulement le temps de boire un café, mais de planter le caféier, cueillir les grains, les torréfier, moudre, etc. Le programme arrête de fonctionner quand il n'est pas utilisé après 2-3 minutes.

On ne s'envoie pas des mails, on simule (pour une fois, ce n'est pas une nana qui écrit cela).

2B. Pour la rédaction:

A (clef privée de A, clef publique de B) vers B.

Vous choisissez A comme clef sélectionnée par défaut.
En haut, en 3° position en partant de gauche, vous cliquez sur 'Clefs', puis sur 'Clef de signature'. Vous sélectionnez votre A et, si auparavant, A n'est pas le choix par défaut, la phrase secrète de A sera demandée.

Vous cliquez sur 'Presse-papier'
Vous entrez vos données. Bon pour ne pas vous embêter, je ne vais pas présenter mes login/pass qui n'intéresse finalement que moi, mais vous présente un cas pris au hasard.
Donc, j'écris: En été, ma belle-mère a des bleus aux genoux, elle persiste à se balader en topless.

Je clique sur 'Chiffrer'. Là vous choisissez la clef publique de B avec la signature de A, puis vous validez.

-----BEGIN PGP MESSAGE-----
Version: GnuPG v2
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=XerQ
-----END PGP MESSAGE-----

Voilà, vous avez compris la manoeuvre.
Avec différents essais, je constate que le résultat a tjs comme squelette de présentation:

-----BEGIN PGP MESSAGE-----
Version: GnuPG v2

Votre prose moulinée ici
-----END PGP MESSAGE-----

Donc, sur une page web, afin de 'dérouter' un peu plus un lecteur qui passerait par hasard sur cette page, vous indiquez seulement:

hQGMA7v/FNbWSwR1AQv+Kz0FpB+vA6s5GHxx95uWgIGvx58z6Jl64QsdebmVOeSC
yaaeZC95HmT3IZ944mZPTXoxG1mmbbCuP1bkF2UW449LVaToAO5llW1xxyywNf+I
NSHmV1ldEb3abRt4SbomYfunfPmap9VuaPJSfLDj/reFfNjHatsqY4tlOpH9A5Aj
+/xUNKCo6wD9SfFF4cUjF/L9Ws3degv2C6Fe2cLqJSWuWAC8lLlBbhhIYabnRTi0
eTAzNgowYMZT9hnW34AArU7h+7vGXQTaLwL95C1LTb3Esf4/FdaXdXG8/Tu6hun0
WGl6j6farDnXSjFYVGHJddm/bgDm7okrHaFtNya5rBY5J4H+K8dX9ESugRPdAzF5
3RDr3qb/67KpWUyYG8G7PS+5Li8dRttVPJ0GE+wEk5SdszWUB+cl1FO7uGtcjQRA
9hVy+ke1b1Dcs91G09NAo+Vf6cUGZrIdNzMiDdkTVezbOEuu0YqTRXGrt7HwRMBt
qdmqIenAHsFi8A6yrj2R0kIBhw5x7cg/bUs5pWWVjQXBjvwwvMOtgRq8U/2TG/fe
QkD4o6e5PzciFRIvBa+65ICohcoUlc9W2Iu8fwqk8ZB07T0=
=XerQ

Ou vous enrobez avec de fausses en-tête, telles: "data:image/png;base64,

2C. Pour la lecture
Sur la machine qui va déchiffrer, il faut la clef privée de B, la phrase secrète de B et la clef publique de A.

Dans l'essai, j'ai rebooté.
J'ai relancé gpa.exe, puis cliqué sur le presse-papier, y ai copié

-----BEGIN PGP MESSAGE-----
Version: GnuPG v2
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=XerQ
-----END PGP MESSAGE-----
 
en tenant compte du squelette de présentation, ai cliqué sur 'déchiffrer', ai écrit la phrase secrète de B, puis validé.
Résultat:
'En été, ma belle-mère a des bleus aux genoux, elle persiste à se balader en topless.' s'affiche.

***************************

3. Législation

Là où j'ai été étonné, cela concerne de fausses rumeurs véhiculées - bon, vous me direz, rien de nouveau sous le soleil - : les ricains sont des méchants, vive les européens concernant la protection de nos données.
ERREUR!

Sur http://openpgp.vie-privee.org/intimite.htm , l'on peut lire:
Les décrets du 17 mars 1999 (Journal Officiel du 19 mars 1999) autorisent l'utilisation des logiciels de cryptographie possédant une longueur de clef inférieure ou égale à 128 bits. (décret n°99-200 du 17 mars 1999)
[…]
(Ne pas confondre la longueur de la clef publique et la longueur de la clef de session: la clef de session de PGP, seule visée par la législation, ne dépasse jamais 128 bits.)
[…]
GnuPG versions 1.0.7 et suivantes ont été autorisées pour diffusion, utilisation, importation ou exportation, en juillet 2002 par la DCSSI.
(Mise à jour : octobre 2002)

http://openpgp.vie-privee.org/pgp-legal.htm

Si un juriste désire actualiser cette info, je le remercie d'avance.

***************************

4. divers

4a. Ce n'est qu'une méthode, gratuite. Les pros peuvent dire: perfectible dans la méthode et la présentation. Juste.

4b. Si une phrase secrète est égarée/oubliée, je n'ai pas trouvé le moyen de la récupérer. (Donc planquez-la bien, en respectant la casse: majuscule/minuscule/etc.)

4c. Je ne sais pas si on peut générer des clefs sans les sauvegarder sur un serveur ad hoc (j'ai utilisé un serveur européen).

4d. L'exemple présenté utilise des clefs RSA de 3072bits.
Il existe le clan RSA et le clan ... Je n'ai pas trouvé d'arguments de poids pour différencier les écoles: certains aiment les blondes à forte poitrine, d'autres les brunes...

4e. D'après certains experts, trop de bits pour une clef est nuisible (je suis désolé, je n'ai pas noté les urls).
4ei. Nuit à la sécurité de la machine, car trop de ressources fragilise le système de protection.
4eii. Beaucoup de chevaux ne font gagner que quelques km/h à une voiture: donc débauche de moyens pour un futile gain de performance.

4f. Petite cerise sur le gâteau: créez des adresses dont l'extension n'existe pas.
recette@orange.confitures sera accepté.

4g. http://www.gpg4win.org/doc/en/gpg4win-compendium.html

***************************

commentée 20 Juillet 15 par ladmin (2,272 points)  
pourriez vous dire clairement pour le lecteur de passage quel est le but de la manoeuvre ?
commentée 20 Juillet 15 par BenoitXVII (927 points)  
Fait: le titre et l'intro sont un peu plus explicites.
commentée 20 Juillet 15 par ladmin (2,272 points)  
C'est très fin ... peut être trop ? c'est bien ce que nous faisons tous, en noyant nos mots de passe dans des masses d'infos , espérant bien mémoriser un algo d'extraction. Mais c'est dangereux. J'ai planté un projet quand un disque crypté est devenu inaccessible. Ou encore ce client qui , quand il a eu besoin de ses sauvegardes, a vu l'employé chargé de la clé de départ - d'ailleurs lui même sur le départ - prétendre ne pas s'en souvenir.
commentée 20 Juillet 15 par ladmin (2,272 points)  
J'ai une amie qui sait faire : elle n'a qu'un code à mémoriser, celui de sa CB :)
commentée 22 Juillet 15 par meca (160 points)  
+1 pour l'humour mais je prefere faire confiance a ma mémoire

Se connecter ou S'inscrire pour répondre à cette question.

Feel free to ask and answer in english

Bienvenue sur les FAQ de 123.fr, posez vos questions ou répondez à celles des autres usagers.

...