ROCA : l'autre grosse faille qui passerait presque inappercue

Avez-vous entendu parler de krack attack ? Oui ! Avez-vous entendu parler de ROCA ? Peut-être pas. Bien qu’éclipsée par l’actualité chargée de cette semaine, cette faille est pourtant monumentale. Elle concerne l’implémentation du protocole RSA par Infineon, un constructeur de TPM et un éditeur de bibliothèque RSA. Les clés ayant été générées par un équipement utilisant Infineon sont vulnérables. Cela concerne notamment Bitlocker, les certificats TLS, PGP ou SSH. »

GPG #5 : Chiffrement avec un simple mot de passe

Je vous ai déjà fait plusieurs articles sur GPG. Ce que j’en ai montré jusque là était pas forcément accessible à tout le monde. Cet article est le plus simple de la série : Comment chiffrer un fichier avec un mot de passe et l’envoyer à quelqu’un. Bien sûr, il faut GPG d’installé sur les deux PC.   Chiffrement Je considère que mon fichier est c:\monfichier.txt Lancer une console et taper : »

GPG #4 : Mails signés et/ou chiffrés avec Enigmail

Pour commencer ce tuto, je considère que les deux correspondants ont : Thunderbird installé et configuré avec une adresse mail qui fonctionne (ou tout autre logiciel gérant PGP). GPG installé (voir tuto 1) Une paire de clés (voir tuto 1) La clé publique de leur correspondant   Installation d’Enigmail Enigmail est une extension de Thunderbird. Vous pouvez l’installer en allant dans outils > modules complémentaires et en recherchant enigmail. »

GPG #3 : Chiffrement et déchiffrement de fichiers

Si vous confondez les termes chiffrement et signature, lisez le début de cet article. Avec GPG, on peut chiffrer les fichiers par deux méthodes : La méthode symétrique utilise un mot de passe que chacun doit connaitre (donc plus facile et plus pratique pour la diffusion à plein de monde). La méthode asymétrique utilise les paires de clés des deux personnes qui s’échangent un fichier. Cette méthode est plus sûre mais n’est pas pratique pour diffuser un fichier à un grand nombre de personnes. »

GPG #2 : Vérification d'une signature (.sig ou .asc)

  Avant de vérifier un fichier signé par GPG, il vous faut : Un logiciel de gestion des clés (voir GPG #1) Une paire de clés (voir GPG #1) Le fichier à vérifier Le fichier de signature (.sig, .asc) dans le même répertoire La clé publique du fournisseur du fichier que vous voulez vérifier (si vous ne l’avez pas vous pourrez la télécharger facilement après).   Attention, les opérations suivantes vont provoquer un avertissement (pas une erreur) : Si vous téléchargez la clé de quelqu’un, il vous faut bien vérifier que c’est une personne de confiance et il faut signer sa clé avec votre clé privée. »

GPG #1 : Introduction et création des clés

  Présentation rapide :   GPG est une implémentation libre de PGP, un outil permettant à chacun de chiffrer et de signer des informations. Le chiffrement sert à transformer une information lisible en information illisible. La signature permet de s’assurer que la personne qui fournit l’information est bien celle qu’elle prétend être. Le principe de chiffrement et de signature est basé sur la cryptographie asymétrique avec des algorithmes tels que RSA, DSA ou ElGamal. »