GPG besoin d'aide (j'apprends donc mollo avec moi)

jcomprenpo - Modifié le 7 juin 2024 à 14:46
mamiemando Messages postés 33184 Date d'inscription jeudi 12 mai 2005 Statut Modérateur Dernière intervention 15 juillet 2024 - 21 juin 2024 à 12:16

Bonjour, 

Depuis peu j'apprends à me servir de GPG et je rencontre un problème,  Une des premières chose que l'ont m'a montrée c'est de modifier gpg.conf pour empêcher l'usage d'algorithme qui sont aujourd'hui considérés comme compromis.

Cependant une fois que gpg.conf est enregistré, nous n'avons aucun moyen de vérifier si GPG applique correctement les paramètres entrés (déjà à partir de là, ça me chagrine un peu mais bon passons).

Bon, je crée une paire de clefs GPG, j'exporte les clés, et je voudrais vérifier que mes paramètres ont bien été pris en compte pour ces clefs. Donc je fais 

$ pgpdump [keyfile.pgp] 

Et le résultat est juste incompréhensible. Au bout de 3 ligne on me dit : 

Hash alg - SHA1(hash 2)

OK donc c'est pas le bon algorithme, (sachant que dans gpg.conf, j'ai précisé qu'il ne fallait pas utiliser l'algorithme SHA1)

Mais une vingtaine de lignes plus bas, il y a une ligne écrite : 

Hash alg - SHA512(Hash 10) 

Ok donc cette fois c'est le bon algorithme (c'est quoi ce bordel!?)

Donc voilà ma question: Comment je fais pour vérifier tout ça correctement ??????? 

Comment le résultat peut me sortir que la clé utilise sha1 ET sha512 ?

Et surtout comment je fais pour être sur à 100000000% que lorsque je crée ma clé, elle utilise bien les paramètres que moi j'ai décidé !?

A voir également:

3 réponses

Panth33ra Messages postés 19997 Date d'inscription mercredi 8 juillet 2020 Statut Membre Dernière intervention 15 juillet 2024 1 821
7 juin 2024 à 14:46

Bonjour,

Est-ce que ceci peut t'aider ?


Je vais aller jeter un œil merci

0
mamiemando Messages postés 33184 Date d'inscription jeudi 12 mai 2005 Statut Modérateur Dernière intervention 15 juillet 2024 7 761
7 juin 2024 à 16:08

Très bon lien (commentaires compris).

0
mamiemando Messages postés 33184 Date d'inscription jeudi 12 mai 2005 Statut Modérateur Dernière intervention 15 juillet 2024 7 761
Modifié le 7 juin 2024 à 14:57

Bonjour,

Ton message est un peu ambigu car on n'est pas certain du chemin du fichier de configuration gpg.conf que tu mentionnes. Hors celui-ci doit être à un endroit bien précis pour être pris en compte (i.e., ~/.gnupg/gpg.conf).

As-tu lu ce tutoriel ? Celui-ci explique tout de A à Z, et notamment toute l'aspect qui te tracasse sur l'algorithme utilisé pour hasher ta clé.

Sache enfin qu'il existe de nombreux clients graphiques GPG qui permettent sans doute de simplifier la création des clés et contrôler/vérifier leur nature (par exemple kleopatra si tu utilises KDE).

Merci également de préciser, si tu es sous Linux, d'indiquer quelle distribution (Ubuntu, Mint, ...) dans quelle version. Merci également d'indiquer quel environnement graphique (KDE, Gnome Shell, Cinnamon, ...) tu utilises.

Bonne chance

Je suis sur un Kali Linux sous KDE, je suis donc content que tu en parles ^^ le tout téléchargé depuis les serveurs officiel du site Web de Kali.  

  • Concernant la destination du fichier gpg.conf, il est bien dans ~/.gnupg.  Mais une fois modifié, comment puis-je vérifier que les paramètres que j'ai inscrit à l'intérieur sont bien pris en compte par le logiciel ?  
  • Le lien que tu donnes à l'air un peu plus complet que ce que j'ai pu lire jusqu'ici, je vais aller y jeter un œil un peu plus attentif juste après. 
  • Concernant kleopatra je l'ai vu dans mes aaplications, mais je ne m'étais jamais renseigner plus que ça, car KDE possède kgpg et kwallet qui sont utilisés par defaut pour stocker les mots de passe wifi. Donc je n'avais jamais testé.
    • En essayant, kleopatra permet effectivement de choisir via une interface le protocole RSA et la taille de la clé en bit jusque 4096.
    • En revanche, il ne donne pas d'indication sur les algorithmes utilisés, ni lors de la création, ni pour les clés présentes sur l'ordinateur.
    • Dans les paramètres, on peut choisir les algorithmes que l'ont désire, mais si je ne peux pas vérifier si c'est bien appliqué à la génération de clé, cela me stresse un peu ^^'
  • J'ai été voir dans kgpg dans le doute, même problème :
    • Il ne donne pas d'information sur les clés installées sur la machine, et pour la génération il se sert du fichier ~/.gnupg/gpg.conf.
    • Mais lors de la création il ne mentionne pas les paramètres utilisés.

Merci pour ta réponse complète, je vais retourner sur le lien que tu as mentionné et continuer mes recherches.

0
mamiemando Messages postés 33184 Date d'inscription jeudi 12 mai 2005 Statut Modérateur Dernière intervention 15 juillet 2024 7 761 > jcomprenpo
Modifié le 7 juin 2024 à 16:43

Pour ta question récurrente sur l'algorithme utilisé, je te renvoie à cette section du lien que j'ai déjà mentionné. Ensuite, kgpg ou kleopatra, peu importe, prends celui qui te convient le plus, c'est juste pour éviter autant que possible de se farcir des commandes :-)

0
jcomprenpo > mamiemando Messages postés 33184 Date d'inscription jeudi 12 mai 2005 Statut Modérateur Dernière intervention 15 juillet 2024
7 juin 2024 à 17:25

Je n'arrive pas a mettre le test en place il demande un fichier pubring.gpg mais depuis la version 2.1 c'est enregistrer dans un fichier .kbx il me sort une erreur systematiquement d'apres le github c'est normal il n'y a que ce logiciel pour les verifications ?

Cependant il semble bien que ce soit exactement ce que je cherche

0
mamiemando Messages postés 33184 Date d'inscription jeudi 12 mai 2005 Statut Modérateur Dernière intervention 15 juillet 2024 7 761 > jcomprenpo
10 juin 2024 à 11:38

Quelle commande lances-tu et quel est le message d'erreur exact ?

0
jcomprenpo > mamiemando Messages postés 33184 Date d'inscription jeudi 12 mai 2005 Statut Modérateur Dernière intervention 15 juillet 2024
14 juin 2024 à 21:43

Le fichier pubring.gpg n'existant pas je ne peu pas écrire la commande je n'ai donc pas de code d'erreur dans le lien il est preciser que sur les nouvelles versions de gpg le fichier a changer de type (de .gpg maintenant c'est .kbx) ce qui rendrait l'analyse impossible de ce que l'article explique et après recherche sur internet aucune commande similaire pour les version actuelle n'a été partager ou du moins je n'en trouve pas.

J'ai cependant des news sur mon problème suite à de moulte recherches

0

J'ai des nouvelles sur mon problème : je pense avoir suffisamment approfondi pour reformuler ma question.

Quand j'exécute pgpdump le résultat est divisé en deux catégories.

  • La première la protection de la clé privé (string2key) qui protège le mot de passe privé de celle-ci. C'est ici que nous voyons comment le mot de passe de notre clé est chiffré, si j'ai bien tout compris (la partie qui m'intéresse donc)
  • La deuxième partie concerne les algorithmes utilisés pour les signatures que cette clé peut effectuer (qui pour moi utilise bien les paramètre que je lui ai donné, donc pas de problème ici). Après verification, en essayant de signer un fichier avec ma clé et en testant le fichier de sortie, tout est clair de ce cote, ça fonctionne.

Donc pour la première partie (S2K) j'ai effectivement un problème. Dans /home/user/.gnupg/gpg.conf j'ai bien précisé

S2k-digest-algo SHA512

et

S2K-cipher-algo AES256

Maintenant, je crée une paire de clé avec mon gpg.conf tout frais, je récupère cette clé privée dans un fichier privatekey.gpg et j'effectue la commande pgpdump sur cette clé de test.

La première partie du résultat, qui concerne s2k renvoie le résultat suivant

Iter+salt s2k, algo: 7, SHA1 protection, hash: 2, ....

Donc clairement on peut lire : s2k utilise l'algorithme 7 (aes128 d'après RFC 4880)

S2k utilise également la protection SHA1, hash: 2 (donc hash 2 = SHA1 toujours d'apres RFC4880)

Donc ma question est très claire à présent :

  • Pourquoi gpg continue d'utiliser ces algorithmes, même quand je lui indique d'en utiliser d'autres dans s2k.
    • Pourquoi sha512 et aes256 sont-ils ignorés ?
  • Pourquoi gpg utilise par défaut des algorithmes dit moins forts que aes256 et sha512 ?

PS: j'utilise gpg version 2.2.43 version fournie par défaut dans l'installation de KDE plasma qui est installée pour permettre l'utilisation de kgpg et kleopatra.

mamiemando Messages postés 33184 Date d'inscription jeudi 12 mai 2005 Statut Modérateur Dernière intervention 15 juillet 2024 7 761
Modifié le 17 juin 2024 à 12:08

Bonjour,

Est-ce que chez toi, gpg est bien capable d'utiliser AES256 ?

echo "bonjour" > data.txt
gpg -a --symmetric --cipher-algo AES256 data.txt # crée data.txt.asc
pgpdump data.txt.asc

Résultat : 

Old: Symmetric-Key Encrypted Session Key Packet(tag 3)(13 bytes)
        New version(4)
        Sym alg - AES with 256-bit key(sym 9)
        Iterated and salted string-to-key(s2k 3):
                Hash alg - SHA1(hash 2)
                Salt - f8 0e fa df 6d 45 ff 0c 
                Count - 65011712(coded count 255)
New: Symmetrically Encrypted and MDC Packet(tag 18)(66 bytes)
        Ver 1
        Encrypted data [sym alg is specified in sym-key encrypted session key]
                (plain text + MDC SHA1(20 bytes))

Comme tu peux ici, le voir le fichier data.txt.asc est bien chiffré à l'aide de AES256. Plus de détails ici.

Une autre discussion qui peut t'intéresser (ne pas confondre Pubkey et Cipher).

Bonne chance

0
jcomprenpo > mamiemando Messages postés 33184 Date d'inscription jeudi 12 mai 2005 Statut Modérateur Dernière intervention 15 juillet 2024
17 juin 2024 à 13:40

alors oui gpg fonctionne bien en symmetric j'obtiens:

Old: Symmetric-Key Encrypted Session Key Packet(tag 3)(13 bytes)
       New version(4)
       Sym alg - AES with 256-bit key(sym 9)
       Iterated and salted string-to-key(s2k 3):
               Hash alg - SHA512(hash 10)
               Salt - fc 4c 77 03 93 2a 26 5e  
               Count - 65011712(coded count 255)


je peu meme me permettre de ne pas mentionner le cipher il utilise par defaut AES256 comme indiquer dans gpg.conf j'obtiens le meme output avec ou sans les precisions.

Mais je ne vois pas vraiment le rapport entre chiffrement symmetric et creation de clé privée proteger par S2K (bien que s2k utilise bien AES256 et SHA512 en symmetric et pas lors de la creation de clé).

0
mamiemando Messages postés 33184 Date d'inscription jeudi 12 mai 2005 Statut Modérateur Dernière intervention 15 juillet 2024 7 761 > jcomprenpo
17 juin 2024 à 15:00

Mon but était de voir à ce stade si gpg savait faire du AES256. As-tu testé les différents paramètres évoqués ici ?

0
jcomprenpo > mamiemando Messages postés 33184 Date d'inscription jeudi 12 mai 2005 Statut Modérateur Dernière intervention 15 juillet 2024
Modifié le 17 juin 2024 à 15:49

Oui ils sont tous dans gpg.conf et même en mettant ces options dans la commande de création de clé le seul paramètre qui est bien pris en compte pour s2k est s2k-count 65011712.

Les autres paramètres fonctionnent sur toutes les autres fonctionnalitées chiffrement asymmetric/symmetric/signature toutes semble bien utilisées les paramètres que j'indique dans gpg.conf (si j'en crois pgpdump, pour etre sur j'ai aussi fait mes testes avec la commande $gpg --list-packets -vv

cette commande indique la même chose, tout est ok sauf s2k sur les clé privé qui insiste avec aes128 et sha1).

0
mamiemando Messages postés 33184 Date d'inscription jeudi 12 mai 2005 Statut Modérateur Dernière intervention 15 juillet 2024 7 761 > jcomprenpo
20 juin 2024 à 16:53

Bonjour, as-tu regardé/testé cette discussion ?

0