Deuxième série | Partie 13 : Aspects de sécurité divers
L’un des sujets que je n’ai pas encore abordé est la question de la protection de votre trousseau de clés. Jetez donc un coup d’œil:
- Partie 8 : Signer des fichiers
- Partie 9 : Chiffrer des fichiers
- Partie 10 : La configuration de GPG
- Partie 11 : Les détails des clés et des maths
- Partie 12 : Exporter et importer clés publiques et privées
- Partie 13 : Aspects de sécurité divers
- Partie 14 : Publier une politique de signature
- Partie 15 : Utilisation de gpg en ligne de commande
- Partie 16 : Participer à un tour de clés gpg
La phrase de passe
On ne le répétera pas assez: une bonne passphrase (ou phrase de passe en français) constitue une sécurité de base, primaire. C’est comme le casque sur un chantier de construction: ça protège pas grand chose, mais c’est criminel de ne pas l’utiliser !
Concrètement, la phrase de passe est juste un très long mot de passe. Ce peut être une citation d’un auteur célèbre, une suite de mots, ou un mot très long.
Il faut l’utiliser. Ça empèchera votre fils d’envoyer des courriels avec votre signature, ou d’autres choses du même genre.
Vous pouvez modifier la phrase de passe (passphrase) de votre clé dans la boîte de dialogue «propriétés» de votre gestionnaire de clés.
Kleopatra
Dans la liste des clés, clic droit sur votre clé, et séléctionner «changer la phrase secrète».
Kgpg
- clic droit sur votre clé
- sélectionner «propriétés de la clé»
- cliquer sur le bouton «modifier la phrase de passe» juste au dessous de la photo et au dessus du bouton «Ok».
Enigmail (Thunderbird)
Dans le menu général de Thunderbird, allez sur Enigmail, puis dans «gestion des clés».
Dans la liste des clés, clic droit sur votre clé, et séléctionnez «changer la phrase secrète».
Vous pouvez également faire cela dans la boite de dialogue de gestion de la clé (comme dit au dessus), en sélectionnant l’action idoine dans le menu déroulant en bas à droite.
Un mot de passe, quelque soit son utilisation (ordinateur personnel ou professionnel, site web, courriel) n’est pas une sécurité en soi ! Ce n’est qu’un élément de la sécurité.
Des sauvegardes
Il faut que vous sauvegardiez toutes vos clés privées dans un endroit sûr, en plus du dossier de travail de gnupg - la plupart des articles traitants de ce sujet mentionnent un coffre de banque. Ça me semble absurde !
Certaines documentations suggèrent carrément de ne pas conserver vos clés privées principales dans ce dossier. Ces documentations atteignent un niveau conséquent de paranoïa. Ce tutoriel étant destiné en premier lieu à des débutants, se compliquer la vie à ce point est en fait néfaste de mon point de vue. Mais il est important que vous connaissiez cette possibilité.
Si vous atteignez, après ce tutoriel d’initiation, un haut niveau de pratique et d’utilisation de gpg, vous pourrez alors utiliser de telles méthodes. Je serais extrêmement content si vous m’écriviez pour me signaler que mon travail vous a permis de commencer votre apprentissage de gpg, qu’il a donc été un premier pas vers la maîtrise de gpg à un haut niveau.
Donc il faut que vous sauvegardiez vos clés privées dans un endroit sûr. D’autres contraintes viennent se joindre à ça: vous devez pouvoir accéder facilement à cet endroit, mais vous ne devez pas y accéder spontanément.
Je m’explique: si votre lieu de stockage est en fait un dossier d’un serveur informatique dans lequel vous travaillez régulièrement, il y a un fort risque que vous effaciez par accident vos sauvegardes.
On parle bien, ici, de sauvegardes de vos clés privées.
Je vous ai déjà indiqué comment exporter vos fichiers de clés privées dans l’article précédent.
Je pense qu’un bonne endroit pour cela, c’est tout simplement sur vous: une clé USB, ça marche impec. C’est propre et on ne l’utilise que quand c’est nécessaire.
Vous pouvez aussi les stocker dans votre serveur, ou tout autre endroit sûr qui vous viendrait à l’esprit.
Certificat de révocation
Un certificat de révocation est en fait une auto-signature de votre clé, qui la déclare non-utilisable. Éteindre la clé serait une bonne analogie, d’où le terme de révocation. Une fois le certificat créé, vous pouvez le conserver ad vitam æternam sans dommage.
Il est très important que vous ayez toujours un certificat de révocation quelque part pour toutes vos clés privées.
Attention: cette action (importation du certificat de révocation) se fait sans mot de passe et est irrévocable !
Kgpg
Aussi bizarre que ça puisse paraître, la génération du certificat de révocation ne se fait pas via la boîte de dialogue «clic droit»…
Sélectionnez juste votre clé. Puis cliquez sur clés > Révoquer une clé.
La boîte de dialogue qui s’ouvre alors vous permet de créer votre certificat. Ensuite de quoi, vous pouvez enregistrer le fichier ou importer le certificat directement dans votre trousseau, ce qui aura pour effet d’invalider votre clé.
Kleopatra
Kleopatra ne fournit pas d’option de révocation de clé, ou de génération de certificat de révocation.
Enigmail
Sélectionnez votre clé dans la liste.
Si vous sélectionnez alors «révoquer la clé», la clé sera effectivement définitivement révoquée sans autre forme de procès.
Vous avez trois possibilités pour générer un certificat de révocation correctement dans Enigmail:
- passer par la boîte de dialogue de la clé, avec son menu déroulant en bas à droite.
- utiliser Générer > certificat de révocation en haut de la fenêtre d’Enigmail
- clic droit sur votre clé, puis utiliser «créer et enregistrer un certificat de révocation»
Ma politique
Ce que je fais moi:
Dans mon stockage sécurisé, je crée un dossier gnupg. Ce dossier peut-être caché, à vous de voir. Toutefois les dossiers cachés dans une clé usb, c’est assez bancal à cause du format du système de fichiers (fat32 pour la plupart des clés USB).
Dans ce dossier gnupg, je crée un sous-dossier pour chaque adresse, et dans chaque sous-dossier un autre sous-dossier dont le nom est l’identifiant long de la clé.
Pour me faciliter la vie, je mets aussi l’état de la clé (defaut, actuel, revok…) sur le nom du sous dossier de la clé en cours.
Soit au final (par exemple) :
…/gnupg/tuto-gpg@22decembre.eu/42E0A02EF1C935A4_actuel/
Je sais c’est un peu laborieux. Mais de cette façon, vous êtes sûr des fichiers contenus: l’adresse courriel vous permet de vous repérer facilement, et l’identifiant indique de façon certaine de quelle clé on parle. Et bien entendu, ce n’est à faire qu’une seule fois par clé.
Une fois cette architecture construite j’exporte ma clé privée et son certificat de révocation dans ce répertoire.
stephane@luciole:/…/gnupg/tuto-gpg@22decembre.eu/42E0A02EF1C935A4_actuel$ ls -l
total 12
-rw-r--r-- 1 stephane stephane 6590 mai 2 11:10 tuto-gpg.asc
-rw-r--r-- 1 stephane stephane 867 mai 2 11:11 tuto-gpg.revoke
Il est bien important de comprendre que c’est ma politique. Elle peut sûrement être améliorée. Mais elle a le mérite d’exister et d’être cohérente.
Récapitulatif général
- Mettre un excellent mot de passe en guise de passphrase. Et ne pas hésiter à le changer de temps en temps.
- Mettre une durée de validité définie sur toutes vos clés, et la repousser avant expiration.
- Générer un certificat de révocation lors de la création de la clé - ou plus tard si vous le souhaitez.
- Sauvegarder la clé privée et le certificat de révocation de chaque paire de clés sur un ou plusieurs supports sécurisés et de long-terme.
D’autres solutions
D’autres personnes ont élaboré des stratégies sophistiquées pour protéger leurs clés.
Ces personnes utilisent souvent gpg comme composant d’une identité numérique, un aspect que j’évoquerais ailleurs. Ils mettent donc en œuvre des méthodes lourdes pour s’assurer de la continuité de cette identité.
On peut par exemple indiquer ceci:
https://alexcabal.com/creating-the-perfect-gpg-keypair/ - en anglais
Si vous connaissez d’autres articles, ou pages décrivant une stratégie de protection des clés gpg, ou tout autre sujet en rapport, prière de m’envoyer un courriel, j’ajouterais les liens ici.