PGP 6.5.

8
Olivier Hoarau (olivier.hoarau@fnac.net) V1.1 du 1.10.00
1 2 3 4 5 6 Prambule........................................................................................................................... 1 Historique du document ..................................................................................................... 2 Prsentation ........................................................................................................................ 2 Comment a marche........................................................................................................... 2 Installation .......................................................................................................................... 4 Gestion des cls .................................................................................................................. 4 6.1 Cration des cls......................................................................................................... 4 6.2 Exporter la cl publique ............................................................................................. 6 6.3 Importer une cl publique........................................................................................... 6 6.4 Certifier une cl .......................................................................................................... 7 7 Chiffrer des donnes........................................................................................................... 7 7.1 Prsentation ................................................................................................................ 7 7.2 Crypter un fichier ....................................................................................................... 8 7.3 Dcrypter des donnes ............................................................................................... 9 8 Authentifier et s'authentifier............................................................................................... 9 8.1 S'authentifier............................................................................................................... 9 8.2 Authentifier .............................................................................................................. 10 9 Supprimer dfinitivement des fichiers ............................................................................. 10

1 Prambule
Ce document prsente PGP qui vous permet dchanger des donnes en toute confidentialit sur internet et de vous identifier et dauthentifier des personnes sur internet sans aucune ambigut. La dernire version de ce document est tlchargeable l'URL http://funix.free.fr. Ce document peut tre reproduit et distribu librement ds lors qu'il n'est pas modifi et qu'il soit toujours fait mention de son origine et de son auteur, si vous avez l'intention de le modifier ou d'y apporter des rajouts, contactez l'auteur pour en faire profiter tout le monde. Ce document ne peut pas tre utilis dans un but commercial sans le consentement de son auteur. Ce document vous est fourni "dans l'tat" sans aucune garantie de toute sorte, l'auteur ne saurait tre tenu responsable des quelconques misres qui pourraient vous arriver lors des manipulations dcrites dans ce document.

PGP 6.5.8

http://funix.free.fr

2 Historique du document
10.9.00 Cration du document 1.10.0 Rajout du paragraphe sur la fonction Wipe Rajout dun mot sur le patch corrigeant le bug ADK de la version franaise

3 Prsentation
Vous pouvez utiliser PGP (Pretty Good Privacy, qu'on peut traduire par plutt bonne confidentialit) pour protger vos emails, vos fichiers, il apporte un niveau supplmentaire de confidentialit dans votre utilisation quotidienne de l'ordinateur et dans les communications avec d'autres personnes. Accessoirement PGP permet de vous authentifier aux yeux de vos interlocuteurs, ou d'authentifier d'autres personnes. Cette version PGP corrige le ADK bug (Additional Decryption Key) qui a dfray la chronique dans le domaine , il y a encore peu. Les fonctionnalits de PGP sont les suivants: - PGPnet qui permet de scuriser les communications bases sur TCP/IP (pour l'instant a ne marche que pour Win 95b (OSR2), win98 et winNT4.0 mais pas pour Win95a (premire dition) et Win2000) - On peut encrypter des fichiers et des rpertoires sous forme d'un gros fichier, cet archive est autoextractible, c'est dire que quelqu'un ne possdant pas PGP, peut la dcompresser et la dcrypter, ds lors bien sr qu'on lui en ait donn les droits. - pour les inconditionnels de la ligne de commande, la commande peut aussi tre lanc d'une fentre DOS - il s'intgre Outlook 2000 et Outlook Express 5.0 Pour ce qui concerne la licence, le logiciel est libre d'utilisation pour une utilisation non commerciale de type perso, coles et autres universits, et organisations but non lucratif. NOTES : - Il existe une version traduite en franais que vous trouverez l'URL http://www.geocities.com/SiliconValley/Bay/9648/pgp651fr.htm, sur cette page vous y trouverez un patch pour corriger le but ADK. - Si vous avez encore des doutes sur la lgalit de PGP, allez jeter un coup d'oeil l'URL www.mtic.pm.gouv.fr/dossiers/documents/lat/pgp.shtml.

4 Comment a marche
PGP repose sur le principe de l'algorithme asymtrique base de cl publique et prive. La cl publique comme son nom l'indique est publique et peut tre largement diffuse sur le net, l'autre cl est prive, elle ne doit en aucun cas tre communique quelqu'un et doit rester secrte, elle est uniquement disponible pour son propritaire et seulement. L'metteur va chiffrer son message au moyen de la cl publique qui appartient au destinataire, ce dernier dchiffrera son message avec sa cl prive, et le tour est jou.

PGP 6.5.8

http://funix.free.fr

Par consquent le point crucial du systme est que vous ne communiquiez en aucun cas votre cl prive, vous devez faire en sorte que le fichier et rpertoire contenant votre cl prive soient d'accs hautement restrictifs. Le risque maintenant du systme est que la cl publique du destinataire que vous dtenez ne soit pas la bonne mais appartienne quelqu'un d'autre, ou que quelqu'un se soit fait passer pour votre destinataire (ce qui revient au mme) et ait donn sa cl publique. Pour parer cela, il faut ABSOLUMENT tre sr sans la moindre ambigut que la cl publique que vous receviez soit bien celle de votre destinataire, pour cela vous devez certifier la cl publique, vous ne devez en aucun cas certifiez une cl publique si vous avez des doutes sur son origine. PGP utilise plusieurs algo, voici le dtail des diffrents appels aux algos, lors du chiffrement d'un message : - cration d'une cl de session spcifique au message - utilisation de IDEA, CAST ou TripleDES pour chiffrer le message en utilisant la cl de session - utilisation de RSA ou DH/DSS pour chiffrer la cl de session avec la cl publique du destinataire - le message est chiffr par tre envoy Ct destinataire, on aura : - appel IDEA pour dchiffrer la cl secrte du destinataire partir du pass-phrase - appel RSA ou DH/DSS pour dchiffrer la cl de session avec la cl secrte - appel IDEA, CAST ou TripleDES pour dchiffrer le message avec la cl de session NOTE La limitation en France porte sur la taille de la cl de session qui sert chiffrer le message. Pour s'authentifier, vous aller crypter un fichier avec votre cl prive, seule la cl publique pourra le dcrypter, o est donc l'intrt puisque par dfinition celle-ci est publique et que n'importe qui peut y avoir accs ? Trs simple, a permettra celui qui possde votre cl publique et qui dcrypte le message de penser que vous seul pouvez en tre l'origine, puisque vous tes le seul avoir l'autre cl (la cl prive). Ce mcanisme permet d'une part de crer un systme de signatures lectroniques, d'assurer qu'un fichier est rest intgre (qu'il n'a pas t bidouill par des personnes tierces). Beaucoup de personnes utilise PGP essentiellement pour s'authentifier plutt que pour crypter les donnes. PGP repose sur le principe du "trousseau de cl" (keyring en anglais), chaque utilisateur va se constituer un catalogue de cls publiques, celles-ci pourront tre signes ou pas suivant le niveau de confiance qu'on a en elle. On dispose d'outils pour grer ce trousseau de cl qui sont principalement: -l'importation d' une cl publique, qui permet ensuite d'envoyer des messages chiffrs au propritaire de la cl publique, pour cela on rajoute sa cl publique dans le trousseau -ensuite on doit donner un degr de confiance la cl, par dfaut on a aucune confiance en la cl, pour authentifier la cl, on va signer la cl. -une fois signe, on peut ventuellement envoyer cette cl signe sur un serveur de cl,

PGP 6.5.8

http://funix.free.fr

comme a les autres pourront juger de la confiance accorder la dite cl. C'est l'tape d'exportation. Les versions 2.X de PGP utilisaient une gestion de cls de type RSA, les versions ultrieures ont utilis des cls de type Diffie-Hellman, ce qui fait qu'on n'avait pas forcment la compatibilit entre les diffrentes versions de PGP. Les versions plus rcentes grent la fois les types RSA et DH.

5 Installation
Vous devez rcuprer l'archive PGPFW658Win32.zip l'URL www.pgpi.org que vous dzipperez dans un rpertoire temporaire, crer pralablement, dans ce rpertoire lancez setup.exe. Lisez attentivement les fentres d'information, notamment celle concernant la licence puis celle sur les fonctionnalits plus particulirement au niveau des restrictions d'emploi (PGP Issues). Par dfaut le programme est install sous c:\Program Files\Network Associates\PGP. Vous avez le choix ensuite d'installer : - les programmes esssentiels PGP (Core PGP) - PGPnet Virtual Private Networking - PGP Qualcomm Eudora Plugin (plugin Eudora, non valid par dfaut) - PGP Microsoft Exchange/Outlook Plugin (comme son nom l'indique, slectionn par dfaut) - PGP Microsoft Outlook Express Plugin (comme son nom l'indique, slectionn par dfaut) Le total par dfaut fait 11Mo. A un moment de l'install on vous demande quelle interface rseau vous voulez scuris par PGPnet, j'ai eu le choix entre: - la carte d'accs distance (le modem pour aller sur le net) - la carte rseau Vous ne pouvez slectionner qu'une interface, j'ai choisi l'interface carte rseau pour mes essais. PGPnet n'est pas abord dans cette page pour l'instant. Il demande ensuite si on possde dj un jeu de cls (Keyrings), rpondez par oui (par dfaut) ou par non. L'ordinateur doit tre ensuite reboot.

6 Gestion des cls

6.1 Cration des cls
Au reboot de la machine, vous allez retrouver maintenant une petite icne au niveau de la barre de tches, quand vous cliquez dessus avec le bouton droit de la souris, le menu suivant apparat.

PGP 6.5.8

http://funix.free.fr

Pour l'instant ce qui nous intresse c'est la cration des cls publique et prive, slectionnez donc PGPKeys. La premire qu'on lance le programme, celui-ci demande si vous voulez gnrer votre paire de cls, cliquez sur suivant, saisissez votre nom et votre email, il sera attach votre cl publique pour qu'on puisse vous reconnatre. Ensuite il vous demande quel type de cl, vous voulez gnrer, vous avez le choix entre: - Diffie Hellman/DSS (par dfaut) - RSA Choisissez plutt le premier type qui est le plus usit. On vous donne ensuite le choix pour la longueur des cls (1024bits, 1536bits, 2048bits, 3072bits, et personnalis), on choisit la valeur par dfaut savoir 1024 bits. Vous pouvez ensuite faire en sorte que vos cls soient valides uniquement pendant une certaine priode, ou alors qu'elles n'expirent jamais, par dfaut elles n'expirent jamais (Key pair never expires). Tapez ensuite une phrase mot de passe (deux fois, la deuxime fois pour confirmer la frappe), cette phrase peut tre relativement longue et comporter des espaces. Si a vous gne de taper et de ne rien voir, cliquez sur Hide Typing. La gnration des cls peut commencer alors. Vous pouvez ensuite envoyer votre cl publique vers un serveur de cl se trouvant sur internet, vous pouvez passer cette tape. La cration des cls est termine. La fentre PGPKeys apparat, on y retrouve votre cl (sur le screenshot Veronique Hoarau) et les cls de vos correspondants (par dfaut un tas de personnes de pgp.com).

PGP 6.5.8

http://funix.free.fr

Pour y voir plus clair, on va supprimer de votre "trousseau" de cls toutes ces personnes que vous ne connaissez pas. Pour cela slectionnez les cls non dsires, puis Edit et Delete.

6.2 Exporter la cl publique

Slectionnez votre cl, puis dans la barre de menu, slectionnez Keys et Export, vous vous retrouvez avec une fentre pour se balader dans l'arborescence, par dfaut dans mon cas le fichier va s'appeler Veronique Hoarau.asc, si vous voulez filer la cl publique quelqu'un se trouvant sous Unix, je vous conseille de supprimer l'espace dans le nom du fichier. Dans cette mme fentre faites attention de ne pas cocher "Include Private Key(s)".

6.3 Importer une cl publique

Votre correspondant doit vous filer sa cl publique au format qui va bien, pour la mettre dans votre "trousseau" de cls, au niveau de la mme fentre, slectionnez Keys et Import, la cl publique doit tre contenue dans un fichier .txt ou .asc. Une fois le fichier slectionn :

PGP 6.5.8

http://funix.free.fr

Cliquez sur Import. L'interlocuteur concern va apparatre alors dans la fentre principale.

6.4 Certifier une cl

Vous remarquerez que pour chaque correspondant vous avez un champ "Trust" c'est une marque de confiance dans la cl, ou de certification, si vous tes absolument sr que la cl publique que vous venez de recevoir appartient bien au destinataire et seulement dans ce cas l, vous pouvez certifier sa cl. Pour cela slectionner la cl puis dans le menu Keys et Sign :

En signant (certificant) la cl de l'utilisateur concern, vous avez la certitude que la cl publique en votre possession est bien la sienne. Cliquez sur OK, vous devez alors ressaisir votre phrase password.

7 Chiffrer des donnes

7.1 Prsentation
Au niveau de l'icne PGP, on va slectionner maintenant PGPtools:

PGP 6.5.8

http://funix.free.fr

De gauche droite: - La premire icne rappelle l'utilitaire PGPKeys qu'on a vu prcdemment - La deuxime icne permet de crypter un fichier - La troisime pour signer un fichier - La 4eme pour encrypter et signer - La 5eme pour dcrypter et vrifier

7.2 Crypter un fichier

Cliquez sur l'icne correspondante, slectionnez le fichier correspondant, puis le destinataire dans la liste qui vous ont fourni leur cl publique :

Vous pouvez slectionner le destinataire (Recipient) par drag and drop ou en double cliquant dessus. A noter que vous pouvez supprimer le fichier d'origine en cliquant sur Wipe Original. Le fichier sera sauvegard avec l'extension .pgp. A noter que vous pouvez crer ici un fichier crypt qui pourra tre autoextractible en cliquant sur Self Decrypting Archive, vous devez saisir ensuite une phrase mot de passe qui sera ensuite au destinataire dcrypter le fichier, le fichier obtenu prend l'extension .sda.exe. A l'excution de ce programme, la fentre suivante apparat :
PGP 6.5.8 8 http://funix.free.fr

Il suffit de rentrer la phrase mot de passe pour que le fichier soit dcrypt, noter que ce mcanisme ne fait appel aux cls, mais uniquement un mot de passe.

7.3 Dcrypter des donnes

Au niveau de PGPtools, cliquer sur la cinquime icne en partant de la gauche, choisissez ensuite le fichier dcrypter et qui a du tre crypter avec votre cl publique puisque vous en tes destinataire.

On doit voir que le message a bien crypt avec votre cl publique, saisissez ensuite la phrase mot de passe de votre cl prive. Le fichier est alors dcrypt, dans le rpertoire o se trouve le fichier crypt.

8 Authentifier et s'authentifier
8.1 S'authentifier
La signature permet ce que vos interlocuteurs vous authentifient parfaitement, pour cela on prend un fichier, on le signe avec la cl prive, n'importe qui en possession de la cl publique pourra le dchiffrer et donc vous identifier car vous tes le seul capable de gnrer le texte. Pour cela cliquer sur la troisime icne (sign) en partant de la gauche de PGPtools, slectionner le fichier en question puis votre phrase mot de passe.

PGP 6.5.8

http://funix.free.fr

Le fichier obtenu porte l'extension .sig. ATTENTION Le but de la signature n'est pas de crypter un fichier, puisque n'importe qui en possession de votre cl publique pourra le dcrypter, mais bien de vous authentifier.

8.2 Authentifier
Cliquer sur l'icne Decrypt/Verify, choisissez le fichier crypt, la fentre suivante apparat :

Vous avez pu dcrypter le message car vous avez la cl publique de l'envoyeur ce qui identifie bien ce dernier. Ceci n'authentifie pas compltement l'expditeur, en effet quelqu'un pourrait trs bien pu piquer la cl prive de l'envoyeur, vous n'est pas assur 100% que ce soit encore lui. D'une autre manire quand vous rcuprerez des fichiers sous internet, on trouve de plus en plus de fichiers signatures, ils permettent de voir que vous rcuprer bien la bonne archive du bon auteur et non pas une archive dtourne avec des backdoors l'intrieur.

9 Supprimer dfinitivement des fichiers

Quand vous effacez un fichier avec le gestionnaire de fichiers par exemple, celui-ci n'est pas vraiment effac, les blocs qu'il occupe, ne sont pas effacs immdiatement, ils seront rutiliss dans un temps plus ou moins long par le systme de fichiers, il est donc toujours possible de pouvoir rcuprer un fichier. PGP offre la possibilit de supprimer immdiatement et dfinitivement un fichier avec la fonction Wipe.

PGP 6.5.8

10

http://funix.free.fr

Au niveau de la barre d'outils PGPTools, slectionnez l'icne Wipe (6eme partir de la gauche). Vous devez slectionner le fichier que vous voulez supprimer, une demande de confirmation de suppression vous est demande, puis le fichier est dfinitivement supprim avec aucune possibilit de rgnration. PGP dispose aussi d'un outil pour supprimer tous les blocs des fichiers que vous avez supprims, dans la barre PGPTools, c'est la dernire icne droite Freespace Wipe. Vous devez slectionner le disque nettoyer et le nombre de passe, plus ce nombre est lev meilleur est le "nettoyage" (3 passes par dfaut). Voici un screenshot pendant le nettoyage :

PGP 6.5.8

11

http://funix.free.fr