Maintenant que la Loi Renseignement est votée, et en attendant la suite du processus législatif, apprenons à résister à la surveillance de masse avec quelques outils cryptographiques plus ou moins simples, mais efficaces et légaux.
The man who built the free email encryption software used by whistleblower Edward Snowden, as well as hundreds of thousands of journalists, dissidents and security-minded people around the world, is running out of money to keep his project alive.
GnuPG version 2.1 comes with a bag of new features which changes some things old-timers are used to. This page explains the more important ones. It expects that the reader is familiar with GnuPG version 2.0 and aware that GnuPG consists of gpg, gpgsm, and gpg-agent as its main components.
Je viens de créer une nouvelle clé PGP, pour authentifier mes messages et pour qu'on puisse m'écrire de manière relativement confidentielle. En même temps, c'était l'occasion de créer une clé conforme aux bonnes pratiques de 2014, tenant compte de l'évolution de la cryptographie. C'est malheureusement plus dur que je ne le pensais.
Mon ancienne clé, portant le key ID 97D6D246 et l'empreinte BE25 EAD6 1B1D CFE9 B9C2 0CD1 4136 4797 97D6 D246 avait en effet été créée il y a treize ans ! Elle utilisait une clé RSA considérée comme trop courte aujourd'hui, vu les progrès de la cryptanalyse, ainsi que des algorithmes de cryptographie trop faibles. Depuis, les craqueurs ont eu tout le temps de trouver la clé privée..
https://we.riseup.net/riseuplabs+paow/openpgp-best-practices#dont-use-pgp-mit-edu
https://alexcabal.com/creating-the-perfect-gpg-keypair/
I’m thrilled to see so many more reporters using PGP, and putting their PGP key in their Twitter bios. The options to securely contact a reporter are tremendously increased over a year ago. However, not everyone is sharing their key in the safest way possible. I’d like to recommend that you tweet the fingerprint (not the shorter key id) of your PGP key.
Schleuder is a gpg-enabled mailinglist with remailer-capabilities. It is designed to serve as a tool for group communication: subscribers can communicate encrypted (and pseudonymously) among themselves, receive emails from non-subscribers and send emails to non-subscribers via the list. Schleuder takes care of all de- and encryption, stripping of headers, formatting conversions, etc. Further schleuder can send out its own public key upon request and receive administrative commands by email. (Read more about the ?concept.)
There’s a lot of information online on how to create a new GPG keypair. Unfortunately a lot of it is old advice and recommends settings that today might be unsafe.
There also isn’t too much information on how to protect your keypair if you use a laptop that might get lost or stolen.
Protecting your keypair on a laptop is tricky. On one hand, you need your private key with you to decrypt or sign messages.
On the other hand, if your laptop is stolen then you risk losing your entire online identity, perhaps going back years, because the thief would have access to your private key and could then impersonate you.
You’d think that today, where laptops and world travel are commonplace, there’d be a little more information on how to secure a private key you have to travel with. But I could only find one resource: the Debian Wiki entry on subkeys. Fortunately it turns out this wiki page has exactly the solution we need.
Pour Phil Zimmermann, créateur de PGP, l’email a fait son temps
https://www.pcinpact.com/news/81753-pour-phil-zimmermann-createur-pgp-l-email-a-fait-son-temps.htm
Werner Koch, auteur de GnuPG, a récemment donné une conférence aux RMLL intitulée Privacy 2013 : Why. When. How.
On y parle de chiffrement, de surveillance, de Tor, d'Edward Snowden, de Google, de Cloud, bref un très bon état de l'art sur le sujet. Le discours est relativement accessible et gagne à être connu d'un plus large public. La dernière partie de la conférence donne des recommandations pour l'utilisation quotidienne d'Internet.
Les groupes Transcriptions et TradGNU de l'April ont travaillé conjointement à une version française.
Une transcription anglaise est en cours de finalisation. De l'aide pour une version en sous-titrage serait également bienvenue.
Sur le même thème, on pourra lire une interview de Jérémie Zimmermann, de la Quadrature du Net.
Texte de la conférence : https://www.april.org/vie-privee-en-2013-pourquoi-quand-comment-par-werner-koch
Vidéo :
http://video.rmll.info/videos/privacy-2013-why-when-how/#quality=hd&player=html5
http://www.beuc.net/tmp/rmll/privacy/orig/fixed_audio/k1105-privacy-2013-why-when-how_high-fixed_audio.webm (meilleure qualité sonore)
Interview de Jérémie Zimmerman par Thinkerview : https://www.april.org/thinkerview-juin-2013-interview-de-jeremie-zimmermann
Vidéos transcrites par l'APRIL : https://www.april.org/videos
Don’t use pgp.mit.edu¶
pgp.mit.edu as a keyserver has been broken for years, especially with certain types of key updates. For a long time subkey updates, key expiration changes, revocations and other important information that you may wish to communicate to others, they were dropping on the floor.
They changed their software somewhat recently to a better supported keyserver, but it is still broken in ways that make it so it isn’t getting updates.
During the time that the RSA patent was in force, DSA was the signature algorithm of choice for any software that didn't want to deal with patent licenses. (Which is why lots of old PGP keys are still DSA.) It has slowly disappeared since the patent expired and it appears that 4096-bit RSA is now the algorithm of choice if you're on the run from the NSA [1]. (And if you're a journalist trying to get a reply: keyid BDA0DF3C.)
But DSA can also be used with elliptic curves in the form of ECDSA and, in that form, it's likely that we'll see it return in the future, at least to some extent. SSH and GPG both support ECDSA now and CAs are starting to offer ECDSA certificates for HTTPS.
Unfortunately, DSA has an important weakness that RSA doesn't: an entropy failure leaks your private key. If you used a machine affected by the Debian entropy bug then, in that time, messages that you encrypted with RSA can be broken. But if you signed anything with a DSA key, then your private key is compromised.
Avoir son propre serveur de clés GNUPG
Gnupg Windows
La génération d'une clé asymétrique GPG sous un système Unix / Gnu/Linux est particulièrement simple, et c'est justement ce que nous allons voir ici. Si les détails vous intéressent, ou si vous avez besoin d'explications plus détaillées, vous pouvez aller voir sur gnupg.org (le site officiel), wikipedia.fr (qu'est ce que GPG), ou encore wikibooks.org (pour quelques détails). La commande man gpg est bien entendu toujours disponible en cas de besoin.
Toute cette introduction, c’était pour vous parler de l’avenir du peer2peer. Internet n’en fait qu’à sa tête, et si suffisamment de pays se mettent, comme la France, à tirer à boulets rouges contre le partage non marchand, il va s’adapter. Non, attend, on me dit qu’il est déjà en train…Comment ? En supprimant purement et simplement le point d’entrée des lois en question qui reposent toutes sur l’identification de la connexion internet ayant servi à partager du contenu. Et quoi de mieux pour ça que de ne fonctionner qu’avec des pairs qu’on connaît ? Je connecte mon ordinateur à celui de mon collègue de bureau qui lui même est connecté à celui de son frère, qui lui même…
memo gnupg
Chiffrement et authentification avec GPG