Guide d'autodéfense numérique

Mises à jour : les logiciels évoluent, c'est pourquoi il est vivement conseillé d'utiliser la version la plus à jour de cet outil, qui est disponible sur le site web https://guide.boum.org/.

Durée : 15 minutes à une heure.

Nous allons détailler dans cet outil la création et une partie de la gestion d'une paire de clés de chiffrement. Il est bon de rappeler quelques notions de base à toujours avoir à l'esprit. Tout d'abord le fait que toutes les clés de chiffrement n'utilisent pas le même algorithme. Nous avons parlé du chiffrement RSA mais il en existe plusieurs autres. Et si des clés de chiffrement utilisent en effet le même algorithme, elles ne sont pas pour autant de même taille. De plus, certaines ont des dates d'expirations, à laquelle elles périment, d'autres n'en ont pas.

Créer une paire de clés

Afin de créer une paire de clés, lancer Mots de passe et clés en appuyant sur la touche Logo puis en tapant mots, et enfin cliquer sur le logiciel correspondant.

Dans la fenêtre qui s'ouvre alors, cliquer sur le bouton Nouveau… dans le menu Fichier. Sélectionner ensuite Clé PGP puis cliquer sur Continuer.

Une nouvelle fenêtre s'ouvre. Entrer un Nom complet correspondant à l'identité contextuelle utilisée, ainsi que l'Adresse électronique qui lui est associée. Il est possible de mettre l'identifiant de l'adresse email se situant avant le symbole @ comme Nom complet, de plus, celui-ci doit être composé d'au moins 5 caractères. Cliquer ensuite sur Options avancées de clé pour choisir la taille de la clé et sa date d'expiration. Le Type de chiffrement par défaut est RSA. Le laisser tel quel. La Force de la clé proposée par défaut, 2048 bits, est considéré comme sûre jusqu'en 20201. On peut choisir la force de la clé la plus élevée disponible, à savoir 4096 bits, si l'on souhaite protéger ses communications plus fortement ou plus longtemps. Il est conseillé de choisir une Date d'expiration pour la clé. Si c'est la première fois que l'on crée une paire de clés, on choisira une date d'expiration comprise entre 1 an et 2 ans par exemple. Afin de ne pas oublier de renouveler sa clef à temps, il peut être de bon goût de noter quelque part cette date d'expiration.

Cliquer enfin sur Créer.

Une nouvelle fenêtre s'ouvre, demandant une phrase de passe pour protéger la clé. C'est le moment de choisir une bonne phrase de passe puis de la taper deux fois, avant de cliquer sur Valider. Attention cependant à ne pas confondre la phrase de passe que l'on donne ici avec une des clés de la paire de clés de chiffrement. La phrase de passe sert uniquement à pouvoir restreindre l'utilisation la clé privée de notre paire.

Une fenêtre Génération de clé affiche alors une barre de progression. Cela peut prendre plusieurs minutes ou être tellement rapide qu'on ne la verra même pas s'afficher. C'est le moment de faire bouger sa souris, d'utiliser son clavier ou encore d'utiliser le disque dur si cela est possible, afin d'aider son ordinateur à génerer des données aléatoires. Celles-ci sont nécessaires au processus de génération de la clé2.

Dans certains cas, la fenêtre Génération de clé n'apparaît pas, il faut alors simplement attendre que la génération se termine. Notre clé apparaîtra dans le logiciel Mots de passe et clés une fois cette opération terminée.

Cette étape de création de clés effectuée, il est bon de penser à la manière de sauvegarder notre paire de clés. Étant en partie secrètes, il s'agit de ne pas les laisser traîner n'importe où. La clé privée doit être uniquement accessible à la personne supposée y avoir accès. Le mieux est de conserver cette paire de clés sur un volume chiffré, que celui-ci soit une clé USB, un disque dur interne ou externe, ou la persistance de Tails.

Exporter sa clé publique

Pour qu'une personne puisse nous envoyer des emails chiffrés, elle doit disposer de notre clé publique. Pour cela il va falloir l'exporter du logiciel Mots de passe et clés afin de la transmettre à nos correspondants.

Voir comment exporter une clé.

Publier sa clé publique sur les serveurs de clés

Si l'existence de l'identité contextuelle à laquelle correspond la clé n'est pas elle-même confidentielle, on pourra publier notre clé publique sur un serveur de clés, afin que quiconque désirant nous envoyer des emails chiffrés puisse la télécharger à cette fin. Pour cela, cliquer sur sa clé puis sur Synchroniser et publier des clés… dans le menu Distant. Une fenêtre Synchroniser les clés apparaît.

Si elle affiche Aucun serveur de clés n'a été choisi pour publier, vos clés ne seront donc pas mises à disposition des autres, cliquer sur Serveurs de clés et choisir un serveur dans le menu déroulant en face de Publier les clés sur :, puis cliquer sur Fermer.

Cliquer alors sur Synchroniser pour publier la clé.

Obtenir l'empreinte d'une clé

Si l'on transmet notre clé publique par un moyen non authentifié (par exemple un courrier électronique non signé), il peut être utile de faire parvenir à notre correspondant l' empreinte de notre clé par un moyen authentifié, afin qu'il s'assure de son intégrité. L'empreinte est accessible dans l'onglet Détails disponible en double-cliquant sur une clé. On pourra par exemple la noter sur un papier qu'on donnera en main propre à notre correspondant.

Générer un certificat de révocation et le conserver à l'abri

Si un adversaire mettait la main sur notre clé privée, ou simplement si on la perdait, il est nécessaire de la révoquer, afin que nos correspondants soient au courant qu'il ne faut plus l'utiliser. On crée pour cela un certificat de révocation.

Il est conseillé de créer le certificat de révocation immédiatement après la paire de clés, car si l'on perd la clé ou qu'on oublie sa phrase de passe, il ne nous sera plus possible de créer de certificat de révocation.

Le certificat de révocation se présente sous la forme d'un fichier ou de quelques lignes de « texte », qu'il nous faudra stocker dans un endroit sûr, par exemple sur une clé USB chiffrée, chez une personne de confiance ou sur un papier bien caché. En effet, toute personne qui a accès à ce fichier peut révoquer notre paire de clés, et donc nous empêcher de communiquer.

Pour générer le certificat, on doit malheureusement utiliser un terminal.

On va commencer la commande en tapant (sans faire Entrée) :

gpg --gen-revoke

Puis taper l'identifiant de notre clé, accessible dans l'onglet Propriétaire, disponible en double-cliquant sur la clé.

Cela devrait donner quelque chose comme :

gpg --gen-revoke 2A544427

Appuyer alors sur la touche Entrée pour lancer la commande.

GnuPG nous pose alors quelques questions :

sec  2048R/2A544427 2013-09-24 Alice (exemple seulement) <alice@example.org>

Générer un certificat de révocation pour cette clé ? (o/N)

Taper o puis Entrée. Le terminal nous renvoie ensuite :

sec  2048R/2A544427 2013-09-24 Alice (exemple seulement) <alice@example.org>

Générer un certificat de révocation pour cette clé ? (o/N) o
choisissez la cause de la révocation:
  0 = Aucune raison spécifiée
  1 = La clé a été compromise
  2 = La clé a été remplacée
  3 = La clé n'est plus utilisée
  Q = Annuler
(Vous devriez sûrement sélectionner 1 ici)
Votre décision ?

Nous préparons un certificat pour le cas où notre clé soit compromise. Nous allons donc taper le chiffre 1, puis appuyer sur la touche Entrée.

GnuPG nous demande alors une description de problème :

Entrez une description optionnelle ; terminez-la par une ligne vide:
>

On ne sait pas, puisque la clé n'est pas encore compromise, et on va donc simplement accepter une description vide en appuyant à nouveau sur la touche Entrée.

GnuPG nous demande alors confirmation :

Cause de révocation: La clé a été compromise
(Aucune description donnée)
Est-ce d'accord ? (o/N)

Taper o puis appuyer sur la touche Entrée pour accepter. GnuPG nous demande alors la phrase de passe associée à cette paire de clés, puis affiche le certificat de révocation :

sortie avec armure ASCII forcée.
Certificat de révocation créé.

Veuillez le déplacer sur un support que vous pouvez cacher ; toute personne
accédant à ce certificat peut l'utiliser pour rendre votre clef inutilisable.
Imprimer ce certificat et le stocker ailleurs est une bonne idée, au cas où le
support devienne illisible. Attention quand même : le système d'impression
utilisé pourrait stocker ces données et les rendre accessibles à d'autres.
-----BEGIN PGP PUBLIC KEY BLOCK-----
Comment: A revocation certificate should follow

iQEfBCABCgAJBQJSQZVMAh0CAAoJEMYS/iAqVEQnzFsH/3NMzeXy0XbOJ3Q+g2mA
xEAl4G8VesEYDE8LHzemNmkyrrMKNGpllPJVkyMXKBLYTojQjjL6QhL1nyqaUavs
eOmaa1Swa9PgI6AJZrkmiMk74CCXJqQDb5uupZNQ3UsoGHqKcirYUHyOeEQ/m94Q
xMaPjpCMi9tIJjnb1T8svDuwhpsh2GjZhOuyUedyyD4r/noT8YYhWKNC98ElPQkH
VVEzu6TJu0IKRp7OJgPCb8cJ6odsm3jPxjIF+f/cz9WIud8EB3HJVIxoMm183XI+
HtddcOxSsdIljuk6ddqgyQDTPJVex+EYdG0FreT7OrFzKXo316/4RSWKX/klshSp
O/8=
=cpvr
-----END PGP PUBLIC KEY BLOCK-----

Le certificat est la partie allant de la ligne contenant BEGIN PGP PUBLIC KEY BLOCK jusqu'à celle contenant END PGP PUBLIC KEY BLOCK. Pour le sauvegarder, on va commencer par la sélectionner et la copier dans le presse-papiers (clic-droit, puis Copier), puis par ouvrir l'Éditeur de texte gedit (accessible en appuyant sur la touche Logo, puis en tapant texte puis en cliquant sur gedit), et la coller dans un nouveau document (clic droit, puis Coller).

Selon notre choix, on pourra ensuite :

  • l'enregistrer en cliquant sur Enregistrer. Choisir une nom de fichier clair et le terminer par .rev. Par exemple Certificat de révocation pour la clé 2A544427.rev ;
  • l'imprimer en cliquant sur l'icône d'imprimante, à partir du menu .

Si notre clé venait à être compromise, on utiliserait ce certificat pour la révoquer.

Effectuer la transition vers une nouvelle paire de clés

Avant que notre paire de clés expire, ou lorsque des avancées dans le domaine de la cryptographie nous obligent à utiliser des clés plus sûres, il nous faudra créer une nouvelle paire de clés.

On suivra pour cela les instructions ci-dessus.

On prendra ensuite soin de signer notre nouvelle clé avec l'ancienne en suivant la section « Signer une clé » de l'outil vérifier l'authenticité d'une clé. On exportera alors notre nouvelle clé et on la fera parvenir aux personnes avec lesquelles on communique.

Quelques mois plus tard, on pourra révoquer notre ancienne clé.