Vous êtes sur la page 1sur 3

Ateliers_sécurité Pr.

Nabil Benamar

Atelier sur gnupg2

1. vérifiez si la version 2 de gnupg est installée


$ dpkg-query -W | grep -i gnupg2
2. installez gnupg2 le cas échéant
$ sudo apt-get install gnupg2
3. GnuPG utilise la cryptographie à clé publique afin que les utilisateurs puissent
communiquer de manière sécurisée. Dans un système à clé publique, chaque utilisateur
possède une paire de clés comprenant une clé privée et une clé publique. Générez la paire de
clés avec gnupg2

$ gpg2 –gen-key

4. GnuPG utilise un système un peu plus sophistiqué dans lequel un utilisateur a une paire de
clés primaire et zéro ou plus de paires de clés additionnelles. Les paires de clés primaires et
secondaires sont regroupés afin de faciliter la gestion des clés et le tout peut souvent être
considéré comme une simple paire de clés. GnuPG est capable de créer plusieurs types de
paires de clés, mais une clé primaire doit être capable de faire les signatures.
Sélectionnez le type de clé désiré:
(1) RSA and RSA (default)
(2) DSA and Elgamal
(3) DSA (signature seule)
(4) RSA (signature seule)
5. Tapez 1 pour choisir RSA pour le chiffrement et la signature.
6. Les clés RSA peuvent faire entre 1024 et 4096 bits de longueur. Prenez une taille de clé de
(2048)
7. Spécifiez combien de temps cette clé devrait être valide. Pour cela tapez 1w pour choisir une
durée de vie de 1 semaine.
8. Vous avez besoin maintenant d'un ID d'utilisateur pour identifier votre clé; le logiciel
construit l'ID utilisateur à partir du nom réel, de commentaires et d'adresse e-mail
"nabil (chiffrement et signature) <benamar73@gmail.com>"
9. Vous avez besoin d'une phrase de passe pour protéger votre clé secrète. il faut absolument se
souvenir de cette passphrase sinon vous ne pourrez plus utilisez votre clé secrète (privée)
10. Pendant la génération des clés, un grand nombre d'octets aléatoires doit être généré. Vous
devriez faire autre-chose (taper au clavier, déplacer la souris, utiliser les disques) pendant la
génération de nombres premiers; cela donne au générateur de nombres aléatoires une
meilleure chance d'avoir assez d'entropie.
11. Après la création de votre paire de clés, vous devez immédiatement créer un certificat de
révocation pour la clé public primaire en utilisant l'option gen--revoke

$ gpg2 --output revok.asc --gen-revoke ID_de_votre_clé

Si vous oubliez votre mot de passe ou si votre clé privée est compromise ou perdue,
ce certificat de révocation peut être publié pour notifier aux autres que la clé publique ne

nabilbenamar.ipv6-lab.net 1
Ateliers_sécurité Pr. Nabil Benamar

devrait plus être utilisé. Une clé publique révoquée peut toujours être utilisée pour vérifier
les signatures faites par vous dans le passé, mais elle ne peut pas être utilisée pour chiffrer
vos futurs messages.

12. éditez le certificat de révocation


$ vim revok.asc
13. Pour communiquer avec les autres, vous devez échanger vos clés publiques. Pour lister les
clés de votre trousseau de clés publiques utilisez l'option -list-keys.

$ gpg2 –list-keys

14. Pour envoyer votre clé publique à un correspondant, vous devez d'abord l'exporter. L'option
--export est utilisée pour ce faire.

$ gpg2 --output nabil.gpg --armor --export nabil


à quoi sert l'option –armor ?

15. Une clé publique peut être ajoutée à votre trousseau de clé, en l'important.
$ gpg2 --import abdeslam.gpg
16. lister à présent le contenu de votre trousseau de clés : $ gpg2 –list-keys
17. editer une des clés nouvellement importé
$ gpg2 --edit-key nabil est ce que vous avez le prompt ?
18. En mode de commande gpg tapez fpr pour afficher le fingerprint de cette clé .
Si l'empreinte que vous obtenez est la même que l'empreinte digitale que le propriétaire de la clé
obtient, alors vous pouvez être sûr que vous avez une copie correcte de la clé.

19. Après avoir vérifié l'empreinte digitale, vous pouvez signer la clé pour la valider.Puisque la
vérification des clés est un point faible dans la cryptographie à clé publique, vous devez être
extrêmement prudent et toujours vérifier l'empreinte d'une clé avec le propriétaire
avant de signer la clé.
gpg> sign
20. Maintenant tapez check pour vérifiez les signatures de la clé.
21. Chiffrez à présent un document txt pour un destinataire de votre choix.
$ gpg2 --output doc.gpg --encrypt --recipient nabil doc
22. Pouvez-vous déchiffrer le fichier que vous venez de crypter ?
23. Décyptez le document chiffré que vous a evoyé votre voisin
$ gpg2 --output dechiffré.gpg --decrypt doc.gpg
24. Les documents peuvent également être cryptées sans utiliser cryptographie à clé publique.
Au lieu de cela, vous utilisez un chiffrement symétrique pour chiffrer le document. La clé
utilisée pour l'algorithme de chiffrement symétrique est dérivée à partir d'un mot de passe
fourni lorsque le document est crypté, et pour une bonne sécurité, il ne devrait pas être le
même mot de passe que vous utilisez pour protéger votre clé privée.

nabilbenamar.ipv6-lab.net 2
Ateliers_sécurité Pr. Nabil Benamar

$ gpg2 --output doc.gpg --symmetric doc

25. Une signature numérique certifie et date un document. Si le document est modifié d'une
quelconque façon, une vérification de la signature va échouer. Création et vérification des
signatures utilisent la paire de clés publique / privée dans une opération différente du
chiffrement. $ gpg2 --output doc.sig --armor --sign doc

26. vérifiez la signature $ gpg2 --verify doc.sig

27. Pour vérifier et retrouver le fichier d'origine


$ gpg2 --output docsign --decrypt doc.sig
28. vous pouvez auusi utiliser une signature claire $ gpg2 --clearsign doc
29. Un document signé a une utilité limitée. Les destinataires doivent récupérer le document
original à partir de la version signée, et même avec des documents avec signature claire, le
document signé doit être édité pour retrouver l'original. Par conséquent, il y a une troisième
méthode pour signer un document qui crée une signature détachée, et qui est un fichier à
part. Une signature détachée est créée en utilisant l'option --detach-sig.

$ gpg2 --output doc.sig --armor --detach-sig doc

30. éditez le fichier signé. Que remarquez-vous ?


31. Pour vérifier une telle signature, vous avez besoin des deux fichiers à donner en argument de
la commande $ gpg2 --verify

La distribution des clés

Idéalement, vous distribuez votre clé en la donnant personnellement à vos correspondants. En


pratique, cependant, les clés sont souvent distribuées par email, qui reste une bonne pratique quand
vous avez seulement quelques correspondants. Une autre altérnative est donnée par les serverurs de
clés. Les serveurs de clés sont utilisés pour collecter et distribuer les clés publiques. Une clé
publique reçue par le serveur est soit ajoutée à la base de données du serveur soit fusionnée avec la
clé existante si elle est déjà présente. Quand une requête de clé arrive au serveur, le serveur consulte
sa base de données et renvoie la clé publique s'il la trouve.

32. Trouvez un serveur de clé sur Internet et déposez-y votre clé.

nabilbenamar.ipv6-lab.net 3

Vous aimerez peut-être aussi