(Je n'ai pas trouvé de catégorie adéquate pour poster)
Le but est que vous seul consultiez vos propres données confidentielles (listing de logins/password, numéro de passeports, etc.) partout dans le monde, sans que personne ne connaisse l'url de consultation (que vous seul connaissez) et sans vous tracasser d'un(e) éventuel(le) vol/perte de votre portable qui vous accompagne en voyage.
***************************
Ce petit exposé ne désire pas reproduire toute la documentation de tel ou tel programme mais d'extraire quelques infos utiles.
Si votre machine n'est pas propre, passez votre chemin, cela ne sert à rien (bon, vous me direz, qui peut affirmer avoir une machine propre >:->>).
***************************
1. OS et programme utilisé
2. Cas clinique
3. Législation
4. divers
***************************
1. OS et programme utilisé
Windows 8.1 et Gpg4win 2.2.5 ( http://www.gpg4win.org/ )
***************************
2. Cas clinique
Le plus dur dans cette affaire est de mémoriser la phrase secrète (le mot de passe) pour chaque paire de clefs.
Une fois gpg4win-2.2.5.exe (<30Mo) installé, l'on trouve:
- Documentation-compendium
- GPA
- Kleopatra
- Uninstall :))
Vous cliquez sur gpa.exe.
2A. Vous créez 2 voire 3 paires de clefs.
Petit conseil:
- préparez à l'avance, pour chaque création de paire de clefs, un pseudo - une adresse e-mail - un mot de passe à rallonge avec au moins un chiffre (les mensurations de votre conjoint, un alexandrin, etc.)
- car, si vous tardez à entrer ces données, le programme annonce des messages d''erreurs'. Pas de souci, il ne plante pas, même si sur la machine de test j'ai vu quelques fois: 'le programme ne répond pas'. Ne touchez à rien, l'annonce disparaîtra. Il arrive aussi que vous ayez non seulement le temps de boire un café, mais de planter le caféier, cueillir les grains, les torréfier, moudre, etc. Le programme arrête de fonctionner quand il n'est pas utilisé après 2-3 minutes.
On ne s'envoie pas des mails, on simule (pour une fois, ce n'est pas une nana qui écrit cela).
2B. Pour la rédaction:
A (clef privée de A, clef publique de B) vers B.
Vous choisissez A comme clef sélectionnée par défaut.
En haut, en 3° position en partant de gauche, vous cliquez sur 'Clefs', puis sur 'Clef de signature'. Vous sélectionnez votre A et, si auparavant, A n'est pas le choix par défaut, la phrase secrète de A sera demandée.
Vous cliquez sur 'Presse-papier'
Vous entrez vos données. Bon pour ne pas vous embêter, je ne vais pas présenter mes login/pass qui n'intéresse finalement que moi, mais vous présente un cas pris au hasard.
Donc, j'écris: En été, ma belle-mère a des bleus aux genoux, elle persiste à se balader en topless.
Je clique sur 'Chiffrer'. Là vous choisissez la clef publique de B avec la signature de A, puis vous validez.
-----BEGIN PGP MESSAGE-----
Version: GnuPG v2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=XerQ
-----END PGP MESSAGE-----
Voilà, vous avez compris la manoeuvre.
Avec différents essais, je constate que le résultat a tjs comme squelette de présentation:
-----BEGIN PGP MESSAGE-----
Version: GnuPG v2
Votre prose moulinée ici
-----END PGP MESSAGE-----
Donc, sur une page web, afin de 'dérouter' un peu plus un lecteur qui passerait par hasard sur cette page, vous indiquez seulement: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=XerQ
Ou vous enrobez avec de fausses en-tête, telles: "data:image/png;base64,
2C. Pour la lecture
Sur la machine qui va déchiffrer, il faut la clef privée de B, la phrase secrète de B et la clef publique de A.
Dans l'essai, j'ai rebooté.
J'ai relancé gpa.exe, puis cliqué sur le presse-papier, y ai copié
-----BEGIN PGP MESSAGE-----
Version: GnuPG v2
hQGMA7v/FNbWSwR1AQv+Kz0FpB+vA6s5GHxx95uWgIGvx58z6Jl64QsdebmVOeSC
yaaeZC95HmT3IZ944mZPTXoxG1mmbbCuP1bkF2UW449LVaToAO5llW1xxyywNf+I
NSHmV1ldEb3abRt4SbomYfunfPmap9VuaPJSfLDj/reFfNjHatsqY4tlOpH9A5Aj
+/xUNKCo6wD9SfFF4cUjF/L9Ws3degv2C6Fe2cLqJSWuWAC8lLlBbhhIYabnRTi0
eTAzNgowYMZT9hnW34AArU7h+7vGXQTaLwL95C1LTb3Esf4/FdaXdXG8/Tu6hun0
WGl6j6farDnXSjFYVGHJddm/bgDm7okrHaFtNya5rBY5J4H+K8dX9ESugRPdAzF5
3RDr3qb/67KpWUyYG8G7PS+5Li8dRttVPJ0GE+wEk5SdszWUB+cl1FO7uGtcjQRA
9hVy+ke1b1Dcs91G09NAo+Vf6cUGZrIdNzMiDdkTVezbOEuu0YqTRXGrt7HwRMBt
qdmqIenAHsFi8A6yrj2R0kIBhw5x7cg/bUs5pWWVjQXBjvwwvMOtgRq8U/2TG/fe
QkD4o6e5PzciFRIvBa+65ICohcoUlc9W2Iu8fwqk8ZB07T0=
=XerQ
-----END PGP MESSAGE-----
en tenant compte du squelette de présentation, ai cliqué sur 'déchiffrer', ai écrit la phrase secrète de B, puis validé.
Résultat:
'En été, ma belle-mère a des bleus aux genoux, elle persiste à se balader en topless.' s'affiche.
***************************
3. Législation
Là où j'ai été étonné, cela concerne de fausses rumeurs véhiculées - bon, vous me direz, rien de nouveau sous le soleil - : les ricains sont des méchants, vive les européens concernant la protection de nos données.
ERREUR!
Sur http://openpgp.vie-privee.org/intimite.htm , l'on peut lire:
Les décrets du 17 mars 1999 (Journal Officiel du 19 mars 1999) autorisent l'utilisation des logiciels de cryptographie possédant une longueur de clef inférieure ou égale à 128 bits. (décret n°99-200 du 17 mars 1999)
[…]
(Ne pas confondre la longueur de la clef publique et la longueur de la clef de session: la clef de session de PGP, seule visée par la législation, ne dépasse jamais 128 bits.)
[…]
GnuPG versions 1.0.7 et suivantes ont été autorisées pour diffusion, utilisation, importation ou exportation, en juillet 2002 par la DCSSI.
(Mise à jour : octobre 2002)
http://openpgp.vie-privee.org/pgp-legal.htm
Si un juriste désire actualiser cette info, je le remercie d'avance.
***************************
4. divers
4a. Ce n'est qu'une méthode, gratuite. Les pros peuvent dire: perfectible dans la méthode et la présentation. Juste.
4b. Si une phrase secrète est égarée/oubliée, je n'ai pas trouvé le moyen de la récupérer. (Donc planquez-la bien, en respectant la casse: majuscule/minuscule/etc.)
4c. Je ne sais pas si on peut générer des clefs sans les sauvegarder sur un serveur ad hoc (j'ai utilisé un serveur européen).
4d. L'exemple présenté utilise des clefs RSA de 3072bits.
Il existe le clan RSA et le clan ... Je n'ai pas trouvé d'arguments de poids pour différencier les écoles: certains aiment les blondes à forte poitrine, d'autres les brunes...
4e. D'après certains experts, trop de bits pour une clef est nuisible (je suis désolé, je n'ai pas noté les urls).
4ei. Nuit à la sécurité de la machine, car trop de ressources fragilise le système de protection.
4eii. Beaucoup de chevaux ne font gagner que quelques km/h à une voiture: donc débauche de moyens pour un futile gain de performance.
4f. Petite cerise sur le gâteau: créez des adresses dont l'extension n'existe pas.
recette@orange.confitures sera accepté.
4g. http://www.gpg4win.org/doc/en/gpg4win-compendium.html
***************************
