Security/OpenGPG
Introduction
GnuPG ou GPG est un outil de cryptage de qualité crée par Philip Zimmermann en 2002 sous le nom de PGP.L'objet de ce logiciel est de permettre au grand public de protéger simplement les informations qui concernent leur vie privée. Il assure le cryptage et la signature des informations et se repose sur un système de clé privé / clé publique.Il n'a pas été forcé à date de rédaction de ce billet.
Cet article vous présente comment utiliser gpg pour sécuriser vos données.
Installation de GPG sous Linux
Installez <package>gpg</package>
# yum install gnupg
gpg est un outil parfaitement opérationnel en ligne de commande.
Utilisation de GPG
Création de votre paire de clés GPG
Pour créer votre paire de clés, exécutez la commande :
$ gpg --gen-key
gpg (GnuPG) 1.4.9; Copyright (C) 2008 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
Sélectionnez le type de clé désiré:
(1) DSA et Elgamal (par défaut)
(2) DSA (signature seule)
(5) RSA (signature seule)
Votre choix ?
Acceptez les valeurs par défaut en appuyant sur la touche Entrée.
La paire de clés DSA fera 1024 bits.
les clés ELG-E peuvent faire entre 1024 et 4096 bits de longueur.
Quelle taille de clé désirez-vous ? (2048)
La taille demandée est 2048 bits
Acceptez les valeurs par défaut en appuyant sur la touche Entrée.
Spécifiez combien de temps cette clé devrait être valide.
0 = la clé n'expire pas
<n> = la clé expire dans n jours
<n>w = la clé expire dans n semaines
<n>m = la clé expire dans n mois
<n>y = la clé expire dans n années
La clé est valide pour ? (0) 1y
Un an est une bonne valeur. La date d'expiration pourra être modifiée ultérieurement. En cas de perte de votre clé privée, vos correspondants ne
peuvent pas utiliser votre clé expirée par inadvertance.
La clé expire le ven. 24 déc. 2010 18:55:12 CET
Est-ce correct ? (o/N) o
Vous avez besoin d'un nom d'utilisateur pour identifier votre clé; le
programme le construit à partir du nom réel, d'un commentaire et d'une
adresse e-mail de cette manière:
« Heinrich Heine (Der Dichter) <heinrichh@duesseldorf.de> »
Saisissez vos coordonnées.
Nom réel: Guillaume Tel
Adresse e-mail: gui@g.com
Commentaire: démonstration de création de clé gpg
Vous utilisez le jeu de caractères 'utf-8'.
Vous avez sélectionné ce nom d'utilisateur:
"Guillaume Tel (démonstration de création de clé gpg) <gui@g.com>"
Changer le (N)om, le (C)ommentaire, l'(E)-mail ou (O)K/(Q)uitter ? o
Vous avez besoin d'une phrase de passe pour protéger votre clé
secrète.
Saisissez le mot de passe de votre clé privée. Cette passphrase doit être longue minimum 10 caractères et complexe en combinant minuscules,
majuscules, chiffres et symbole. En effet, la seule méthode pour cracker un cryptage gpg reste aujourd'hui le vol de votre clé privée et l'utilisation
d'un dictionnaire pour trouver votre passphrase.
Un grand nombre d'octets aléatoires doit être généré. Vous devriez faire
autre-chose (taper au clavier, déplacer la souris, utiliser les disques)
pendant la génération de nombres premiers; cela donne au générateur de
nombres aléatoires une meilleure chance d'avoir assez d'entropie.
++++++++++++++++++++..+++++....+++++.++++++++++++++++
+++++.+++++.+++++++++++++++++++++++++++++++++++++++
...+++++++++++++++++++++++>..++++++++++.>+++++............++
Un grand nombre d'octets aléatoires doit être généré. Vous devriez faire
autre-chose (taper au clavier, déplacer la souris, utiliser les disques)
pendant la génération de nombres premiers; cela donne au générateur de
nombres aléatoires une meilleure chance d'avoir assez d'entropie.
++++++++++++++.+++++++++++++++++++++++++..+++++++++
+++++++++++++++++++++.++++++++++++++++++++.++++++
+++++++++..+++++++++++++++.+++++.+++++.+++++.+++++++
++>+++++.+++++>..+++++>+++++>+++++......+++++......>++
gpg: clé D48D461D marquée comme ayant une confiance ultime.
les clés publique et secrète ont été créées et signées.
gpg: vérifier la base de confiance
gpg: 3 marginale(s) nécessaires, 1 complète(s) nécessaires, modèle
de confiance classic
gpg: profondeur: 0 valide: 5 signé: 3
confiance: 0-. 0g. 0n. 0m. 0f. 5u
gpg: profondeur: 1 valide: 3 signé: 14
confiance: 0-. 0g. 0n. 0m. 3f. 0u
gpg: profondeur: 2 valide: 14 signé: 9
confiance: 14-. 0g. 0n. 0m. 0f. 0u
gpg: la prochaine vérification de la base de confiance aura lieu le 2010-12-23
pub 1024D/D48D461D 2009-12-24 [expire: 2010-12-24]
Empreinte de la clé = 70B9 CCE8 DA71 BE0D 6C67 0397 1D94 4C20 D48D 461D
uid Guillaume Tel (démonstration de création de clé gpg) <gui@g.com>
sub 2048g/CCDB08FE 2009-12-24 [expire: 2010-12-24]
Votre clé est ajoutée à votre trousseau.
Ajout d'informations à votre clé GPG
<app>gpg</app> vous permet d'éditer facilement votre clé par un double-clic.Vous pouvez ajoutez votre photo, changez la date d'expiration.Si vous disposez de plusieurs adresses emails, déclarez-les dans cette clé.
$ gpg --edit-key "guillaume tel"
gpg: NOTE: l'ancien fichier d'options par défaut `/home/sylvain/.gnupg/options' a été ignoré
gpg (GnuPG) 1.4.9; Copyright (C) 2008 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
La clé secrète est disponible.
pub 1024D/D48D461D créé: 2009-12-24 expire: 2010-12-24 utilisation: SC
confiance: ultime validité: ultime
sub 2048g/CCDB08FE créé: 2009-12-24 expire: 2010-12-24 utilisation: E
[ ultime ] (1). Guillaume Tel (démonstration de création de clé gpg) <gui@g.com>
Commande> ?
quit quitter ce menu
save enregistrer et quitter
help afficher cette aide
fpr afficher l'empreinte de la clé
list lister la clé et les noms d'utilisateurs
uid sélectionner le nom d'utilisateur N
key sélectionner la sous-clé N
check vérifier les signatures
sign signer les noms d'utilisateurs sélectionnés [* voir ci-dessous pour
les commandes similaires]
lsign signer le nom d'utilisateur sélectionné localement
tsign signer les noms d'utilisateurs sélectionnés localement
nrsign signer les noms d'utilisateurs sélectionnés avec une signature
non-révocable
adduid ajouter un utilisateur
addphoto ajouter une photo d'identité
deluid enlever les noms d'utilisateur sélectionnés
addkey ajouter une sous-clé
addcardkey ajouter une clé à une carte à puce
keytocard déplacer une clé vers une carte à puce
bkuptocard déplacer une clé de sauvegarde vers une carte à puce
delkey enlever les sous-clés sélectionnées
addrevoker ajouter une clé de révocation
delsig enlever les signatures des noms d'utilisateur sélectionnés
expire changer la date d'expiration de la clé ou des sous-clés sélectionnées
primary marquer le nom d'utilisateur sélectionné comme principal
toggle passer de la liste des clés secrètes à celle des clés privées
et inversement
pref lister les préférences (expert)
showpref lister les préférences (bavard)
setpref indiquer la liste des préférences pour le nom d'utilisateur
sélectionné
keyserver indiquer l'URL du serveur de clés préféré pour les identifiants utilisateur sélectionnés
notation indiquer une notation pour les identifiants utilisateur sélectionnés
passwd changer la phrase de passe
trust changer la confiance
revsig révoquer les signatures des noms d'utilisateur sélectionnés
revuid révoquer les noms d'utilisateur sélectionnés
revkey révoquer la clé ou les sous-clés sélectionnées
enable activer la clé
disable désactiver la clé
showphoto montrer les photos d'identité sélectionnées
clean Compacter les identifiants utilisateur inutilisables et retirer les signatures inutiles de la clef
minimize Compacter les identifiants utilisateurs inutilisables et retirer toutes les signatures de la clef
* La commande `sign' peut être précédée du caractère `l' pour les
signatures locales (lsign), par `t' pour les signatures de confiance
(tsign), par `nr' pour les signatures non-révocables (nrsign), ou
bien toute combinaison possible (ltsign, tnrsign, etc.).
Commande>
Diffusion de votre clé publique GPG
MIT PGP Public Key Server. Les homonymes sont différenciés par leur empreinte ou fingerprint. Vous trouverez l'empreinte de votre clé en ligne de commande avec la commande gpg --fingerprint.
Sauvegarde de vos clés GPG
En cas de perte de votre clé privée, vous ne pourrez plus décrypter vos documents.En cas de vol de votre clé privée avec un passphrase simpliste, le voleur pourrait usurper votre identité et signer des données en votre nom.
Il est donc indispensable de ne jamais effacer ses clés révoquées, de sauvegarder vos clés sur plusieurs supports et de créer une clé de révocation que vous utiliserez en cas de clé compromise.
Pour identifier formellement votre paire de clés, exécutez la commande :
$ gpg --list-secret-keys sec 1024D/0B3EAAF9 2010-01-07 [expire: 2011-01-07] uid Sylvain Lasnier <sylvain.laisnier@corp.aol.com> uid Sylvain Lasnier <sylvain.lasnier@webstrat.fr> ssb 2048g/7951DB86 2010-01-07
La 2ème colonne indique la taille de la clé, son type et le numéro de votre clé gpg suit le /. Dans notre exemple, l'identifiant est 0B3EAAF9. Vous devrez remplacer cette valeur par votre identifiant de clé dans la suite de l'article.
Exportez votre clé publique et privée en exécutant les commandes :
$ gpg --armor --export 0B3EAAF9 > cle-public-0B3EAAF9.txt $ gpg --armor --export-secret-keys 0B3EAAF9 > cle-prive-0B3EAAF9.txt
Les fichiers textes sont votre pair de clés à conserver précieusement.
Ensuite générez le certificat de révocation :
$ gpg --gen-revoke 0B3EAAF9 sec 1024D/0B3EAAF9 2010-01-07 Sylvain Lasnier <sylvain.lasnier@webstrat.fr> Générer un certificat de révocation pour cette clé ? (o/N) o choisissez la cause de la révocation: 0 = Aucune raison spécifiée 1 = La clé a été compromise 2 = La clé a été remplacée 3 = La clé n'est plus utilisée Q = Annuler (Vous devriez sûrement sélectionner 1 ici) Votre décision ? Entrez une description optionnelle ; terminez-là par une ligne vide: > Cause de révocation: La clé a été compromise (Aucune description donnée) Est-ce d'accord ? (o/N) o Vous avez besoin d'une phrase de passe pour déverrouiller la clé secrète pour l'utilisateur: « Sylvain Lasnier (démonstration de création de clé gpg) <sylvain.lasnier@w.com> » clé de 1024 bits DSA, ID 0B3EAAF9, créée le 2009-12-24 sortie avec armure ASCII forcée. Certificat de révocation créé. Déplacez-le dans un support que vous pouvez cacher ; si Mallory a accès à ce certificat il peut l'utiliser pour rendre votre clé inutilisable. Une bonne idée consiste à imprimer ce certificat puis à le stocker ailleurs, au cas où le support devient illisible. Mais attention : le système d'impression de votre machine pourrait stocker ces données et les rendre accessibles à d'autres personnes ! -----BEGIN PGP PUBLIC KEY BLOCK----- Version: GnuPG v1.4.9 (GNU/Linux) Comment: A revocation certificate should follow iEkEIBECAAkFAkszsNQCHQIACgkQHZRMINSNRh1U7wCdFUFbPCfluVLGEFeWkRFR HxCkxGQAnR4i2XFnKL4K4gDOE0puMcW9kx28 =z3AS -----END PGP PUBLIC KEY BLOCK-----
Sauvegardez le texte entre les lignes -----BEGIN et -----END incluses dans un fichier texte nommé cle-revocation-0B3EAAF9.txt
Sauvegardez ces fichiers sur deux CDROM et testez vos sauvegardes. Imprimez-les et mettez le tout aux coffres.
Récupérer les clés de vos correspondants
Dans seahorse, cliquez sur la loupe, saisissez le nom de votre correspondant. En cas d'homonymes, demandez à votre correspondant l'identifiant de sa clé. Faites un clic-droit sur sa clé, importez.
La commande équivalente en ligne de commande est la suivante :
$ gpg --import
Copier-coller à la suite la clé publique de votre correspondant. Elle est alors ajoutée à votre trousseau.
Confiance sur les clés de vos correspondants
La faiblesse de GPG est l'usurpation d'identité : n'importe qui peut créer une clé GPG en utilisant votre nom.GPG lutte contre ce problème en vous permettant de signer la clé de vos correspondants et d'indiquer votre niveau de confiance dans celle-ci.
La validation que la clé appartient bien à la bonne personne est donc délégué au public, la masse des utilisateurs devant assurer la qualité des informations.Ce système n'a de sens que si vos amis signent en nombre votre clé et déclare lui faire confiance. Sinon, le passage par un tiers de confiance, organisme gouvernemental par exemple, qui contrôle vos papiers d'identité avant de certifier votre clé est nécessaire.
N'hésitez donc pas à truster systématiquement les clés de vos correspondants.
Pour signer la clé de votre correspondant, par exemple la clé de Dupont, éditez en ligne de commande :
$ gpg --edit-key dupont
gpg (GnuPG) 1.4.9; Copyright (C) 2008 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
pub 1024D/E4893BC1 créé: 2002-12-04 expire: jamais utilisation: SC
confiance: inconnu validité: inconnu
sub 2048g/ADEEE640 créé: 2002-12-04 expire: jamais utilisation: E
[ inconnue] (1). dupont <academy@dupont.com>
Commande> sign
pub 1024D/E4893BC1 créé: 2002-12-04 expire: jamais utilisation: SC
confiance: inconnu validité: inconnu
Empreinte de la clé principale: 63CC EAE9 DA97 416D 9D9D 8B7C 76F0 BCBF E489 3BC1
academy <academy@dupont.com>
Êtes-vous vraiment sûr(e) que vous voulez signer cette clé
avec votre clé « Guillaume Tel <gui@g.com> » (D48D461D)
Signer réellement ? (o/N) o
Vous avez besoin d'une phrase de passe pour déverrouiller la
clé secrète pour l'utilisateur: « Guillaume Tel <gui@g.com> »
clé de 1024 bits DSA, ID D48D461D, créée le 2004-03-29
Commande> quit
Pour définir le niveau de confiance que vous donnez à une clé de Dupont, lancez la commande :
$ gpg --edit-key dupont
gpg (GnuPG) 1.4.9; Copyright (C) 2008 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
pub 1024D/E4893BC1 créé: 2002-12-04 expire: jamais utilisation: SC
confiance: inconnu validité: entière
sub 2048g/ADEEE640 créé: 2002-12-04 expire: jamais utilisation: E
[ entière ] (1). dupont <academy@dupont.com>
Commande> trust
pub 1024D/E4893BC1 créé: 2002-12-04 expire: jamais utilisation: SC
confiance: inconnu validité: entière
sub 2048g/ADEEE640 créé: 2002-12-04 expire: jamais utilisation: E
[ entière ] (1). dupont <academy@dupont.com>
Décidez maintenant à quel point vous avez confiance en cet utilisateur
pour qu'il vérifie les clés des autres utilisateurs (vous pouvez
vérifier son passeport, vérifier les empreintes de plusieurs sources
différentes, etc.)
1 = ne sais pas ou ne dirai pas
2 = je ne fais PAS confiance
3 = je crois marginalement
4 = je fais entièrement confiance
5 = je donne une confiance ultime
m = retour au menu principal
Votre décision ? 4
Pour vous guider dans votre choix, répondez :
1 pour ne pas vous prononcer
2 si vous pensez que le propriétaire de la clé n'est pas la personne qu'il affirme être et que personne ne devrait lui faire confiance
3 si vous connaissez un peu la personne, sans plus de contrôle
4 si vous connaissez cette personne depuis longtemps
5 si vous avez contrôlé ses papiers ou la personne est de votre famille...
pub 1024D/E4893BC1 créé: 2002-12-04 expire: jamais utilisation: SC
confiance: entière validité: entière
sub 2048g/ADEEE640 créé: 2002-12-04 expire: jamais utilisation: E
[ entière ] (1). academy <academy@toto.com>
Notez que la validité affichée pour la clé n'est pas nécessairement
correcte tant que vous n'avez pas relancé le programme.
Commande> quit
Crypter des fichiers
Pour crypter tous les fichiers nommé *.png d'un répertoire pour Guillaume Tel et moi-même, la commande est :
$ gpg -r gui@g.com -r "sylvain lasnier" --encrypt-files *.png
L'option -r désigne les récipients.Si vous ne précisez pas votre clé, vous ne pourrez pas décrypter les fichiers que vous créez pour Guillaume.L'email ou le nom peuvent être indifféremment utilisé. La première occurrence valide trouvée dans votre trousseau est utilisée.Les fichiers d'origines ne sont pas effacés. Les fichiers cryptés portent le même noms avec une suffixe .gpg.
Décrypter des fichiers
Pour décrypter un ensemble de fichiers, exécutez la commande :
$ gpg --decrypt-files *.gpg Vous avez besoin d'une phrase de passe pour déverrouiller la clé secrète pour l'utilisateur: « Sylvain LASNIER <sylvain.lasnier@f.fr> » clé de 2048 bits RSA, ID 581BDE36, créée le 2007-06-05 (ID clé principale F2D25B5E) gpg: gpg-agent n'est pas disponible dans cette session Entrez la phrase de passe:
Saisissez votre passphrase et validez. Les fichiers sont alors décryptés dans le répertoire courant.Les fichiers cryptés ne sont pas effacés lors de cette opération.
Crypter un morceau de texte
Vous pouvez avoir besoin de crypter rapidement un texte court. Par exemple, si vous voulez informer un correspondant du lancement d'une opération confidentielle et ne souhaitez pas risquer une indiscrétion d'un administrateur réseau indélicat.
Les options sont -r pour désigner le correspondant, -a pour que le résultat soit au format ASCII et -e pour crypter. Saisissez votre texte et terminez votre message par le mot EOF et l'appuie sur la touche <Entrée>.
$ gpg -r sylvain -a -e <<EOF Tu m'as convaincu. On commence demain à 10h EOF -----BEGIN PGP MESSAGE----- Version: GnuPG v1.4.9 (GNU/Linux) hQEMAzLP4PdYG942AQf+NJ8/GGdnAYgHegB/JEvUoBqQtnIINJQzzM8YG0G4ZbEN nDcME9/zK8kpQeeG5S2LVW69cXyzETArRam/zikwgeQF+SrH1zyWsfhQfGZtzFiU nC6v6haIZgDvi+fNgF4As5OooRuUvGpnziCEdHr1WWvgnjL/gVMLHbut3b7n7ikZ 8ybUYmTdyDnEvnmlGipxQxMx7q2RuxbEpheWIghuSku28ZHnZbKyqUq8F7EDxm5l JNndczSh4HmL1bAFCUObboULF5NMG7ZBAqutfi2vHtlySTo+R4osLX82vwdHD5Wn cpt0XMuz1BKkFeXQH0KgtHvWFHl8W1nJ5XdIVBaTctJmAVodYxmsHMBz6M1hZp8b j4jpZcPUOuyuz4QdtPrPbZ6vJx0R72uw+Uo6Z4D6wwUL6Kg3sYY06H1xJLFI6Alw LnciIdK8xyIC8z6AHar8B3ghSX0yg5oBqaIUMApxQeqEYHburNSO =LFJV -----END PGP MESSAGE-----
Copier-coller le message entre les balises ----BEGIN et ----END inclus et envoyez-le à votre correspondant.
Décrypter un message codé
Aussi simple que le cryptage.
$ gpg -d <<EOF
Copier-coller le texte à décrypter et ajouter le mot EOF à la fin :
> -----BEGIN PGP MESSAGE----- > Version: GnuPG v1.4.9 (GNU/Linux) > > hQEMAzLP4PdYG942AQf+NJ8/GGdnAYgHegB/JEvUoBqQtnIINJQzzM8YG0G4ZbEN > nDcME9/zK8kpQeeG5S2LVW69cXyzETArRam/zikwgeQF+SrH1zyWsfhQfGZtzFiU > nC6v6haIZgDvi+fNgF4As5OooRuUvGpnziCEdHr1WWvgnjL/gVMLHbut3b7n7ikZ > 8ybUYmTdyDnEvnmlGipxQxMx7q2RuxbEpheWIghuSku28ZHnZbKyqUq8F7EDxm5l > JNndczSh4HmL1bAFCUObboULF5NMG7ZBAqutfi2vHtlySTo+R4osLX82vwdHD5Wn > cpt0XMuz1BKkFeXQH0KgtHvWFHl8W1nJ5XdIVBaTctJmAVodYxmsHMBz6M1hZp8b > j4jpZcPUOuyuz4QdtPrPbZ6vJx0R72uw+Uo6Z4D6wwUL6Kg3sYY06H1xJLFI6Alw > LnciIdK8xyIC8z6AHar8B3ghSX0yg5oBqaIUMApxQeqEYHburNSO > =LFJV > -----END PGP MESSAGE----- > EOF Vous avez besoin d'une phrase de passe pour déverrouiller la clé secrète pour l'utilisateur: « Sylvain LASNIER <sylvain.lasnier@f.fr> » clé de 2048 bits RSA, ID 581BDE36, créée le 2007-06-05 (ID clé principale F2D25B5E) gpg: gpg-agent n'est pas disponible dans cette session Entrez la phrase de passe:
Saisissez votre passphrase pour lire le texte caché :
gpg: chiffré avec une clé de 2048 bits RSA, ID 581BDE36, créée le 2007-06-05
« Sylvain LASNIER <sylvain.lasnier@f.fr> »
Tu m'as convaincu. On commence demain à 10h
Signer un fichier
Cette solution est idéal pour vérifier qu'un document que vous diffusez n'a pas été altéré par un tiers sans votre approbation. Vous allez créer un fichier signature qui permettra à tout moment de valider l'authenticité de vos informations.
$ gpg --clearsign mon-rapport.doc
Saisissez votre passphrase et le fichier signature mon-rapport.doc.asc est crée. Diffusez ces fichiers simultanément afin de permettre à vos correspondants de vérifier l'authenticité de votre document.
Signer un message texte en clair
Cela est pratique pour envoyer un mail de confirmation lors de vos échanges commerciaux.De la même manière que pour le cryptage, vous allez utiliser la gestion des flux Linux avec le marqueur EOF en fin de message. Par exemple :
$ gpg --clearsign <<EOF > J'approuve la commande n°FB20100145 > Sylvain Lasnier > EOF Vous avez besoin d'une phrase de passe pour déverrouiller la clé secrète pour l'utilisateur: « Sylvain Lasnier <sylvain.lasnier@webstrat.fr> » clé de 1024 bits DSA, ID 0B3EAAF9, créée le 2010-01-07 gpg: gpg-agent n'est pas disponible dans cette session Entrez la phrase de passe: Saisissez votre passphrase et envoyez le message signé. -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 J'approuve la commande n°FB20100145 Sylvain Lasnier -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.9 (GNU/Linux) iEYEARECAAYFAktF1qAACgkQNEc9Vws+qvmWyACcDvpcF+1MGbBa0s3u+p2BxZUq +oAAn3/BkQSbsxPlUmv2Sor59GjkQfIK =Zbpp -----END PGP SIGNATURE-----
Je vous rappelle que la signature numérique d'un document à valeur de signature aux yeux de la loi. Pour plus d'information, lisez crypter vos données confidentielles.
Contrôler la signature d'un document
En ligne de commande, dans le répertoire contenant le fichier et sa signature, exécutez :
$ gpg --verify mon-rapport.doc.asc gpg: Signature faite le jeu. 07 janv. 2010 13:38:11 CET avec la clé DSA ID 0B3EAAF9 gpg: Bonne signature de « Sylvain Lasnier <sylvain.lasnier@webstrat.fr> »
Contrôler la signature d'un message texte
Copier l'intégralité du texte et ajoutez le mot EOF à la fin et lancez la commande :
$ gpg --verify <<EOF > -----BEGIN PGP SIGNED MESSAGE----- > Hash: SHA1 > > J'approuve la commande n°FB20100145 > Sylvain Lasnier > -----BEGIN PGP SIGNATURE----- > Version: GnuPG v1.4.9 (GNU/Linux) > > iEYEARECAAYFAktF1qAACgkQNEc9Vws+qvmWyACcDvpcF+1MGbBa0s3u+p2BxZUq > +oAAn3/BkQSbsxPlUmv2Sor59GjkQfIK > =Zbpp > -----END PGP SIGNATURE----- > EOF gpg: Signature faite le jeu. 07 janv. 2010 13:42:08 CET avec la clé DSA ID 0B3EAAF9 gpg: Bonne signature de « Sylvain Lasnier <sylvain.lasnier@webstrat.fr> »
En cas de falsification des données, voilà ce qui se produit :
$ gpg --verify <<EOF > -----BEGIN PGP SIGNED MESSAGE----- > Hash: SHA1 > > Je n'approuve pas la commande n°FB20100145 > Sylvain Lasnier > -----BEGIN PGP SIGNATURE----- > Version: GnuPG v1.4.9 (GNU/Linux) > > iEYEARECAAYFAktF1qAACgkQNEc9Vws+qvmWyACcDvpcF+1MGbBa0s3u+p2BxZUq > +oAAn3/BkQSbsxPlUmv2Sor59GjkQfIK > =Zbpp > -----END PGP SIGNATURE----- > EOF gpg: Signature faite le jeu. 07 janv. 2010 13:42:08 CET avec la clé DSA ID 0B3EAAF9 gpg: MAUVAISE signature de « Sylvain Lasnier <sylvain.lasnier@webstrat.fr> »
La signature n'est pas reconnue valide. Les données ont donc été modifiées.
Annexes
Liens
Créer un certificat SSL pour un serveur Web
Sauvegarder un fichier en lecture seul sous Linux Ubuntu