fatmawati achmad zaenuri/Shutterstock.com
La vie privée est un sujet de plus en plus brûlant. Sous Linux, le gpg
La commande permet aux utilisateurs de chiffrer des fichiers à l’aide de la cryptographie à clé publique, auquel cas la perte de vos clés de chiffrement serait catastrophique. Voici comment les sauvegarder.
OpenPGP et GNU Privacy Guard
L’un des avantages des fichiers électroniques par rapport aux copies papier est que vous pouvez crypter les fichiers électroniques afin qu’ils ne soient accessibles qu’aux personnes autorisées. S’ils tombent entre de mauvaises mains, ce n’est pas grave. Seuls vous et le destinataire prévu pouvez accéder au contenu des fichiers.
La norme OpenPGP décrit un système de cryptage appelé cryptage à clé publique. Le Garde de confidentialité GNU la mise en œuvre de cette norme a entraîné gpg
un outil en ligne de commande pour chiffrer et déchiffrer conforme à la norme.
La norme décrit un schéma de chiffrement à clé publique. Bien qu’il soit appelé « clé publique », il y a deux clés impliquées. Chaque personne possède une clé publique et une clé privée. Les clés privées, comme leur nom l’indique, ne sont jamais révélées ni transmises à qui que ce soit d’autre. Les clés publiques peuvent être partagées en toute sécurité. en fait, les clés publiques doivent être partagées pour que le schéma fonctionne.
Lorsqu’un fichier est chiffré, la clé privée de l’expéditeur et la clé publique du destinataire sont utilisées dans le processus d’encodage. Le fichier peut alors être remis au destinataire. Ils utilisent leur clé privée et la clé publique de l’expéditeur pour déchiffrer le fichier.
Les clés publiques et privées sont générées sous la forme d’une paire appariée et liées à une identité particulière. Même si vous ne transmettez pas de documents sensibles à d’autres personnes, vous pouvez les utiliser sur votre propre ordinateur pour ajouter une couche de protection supplémentaire aux documents privés.
Le cryptage utilise des algorithmes et des fonctions cryptographiques de classe mondiale. Sans les clés publiques et privées appropriées, vous ne pouvez tout simplement pas accéder aux fichiers cryptés. Et si vous perdez vos clés, cela vaut aussi pour vous. Générer de nouvelles clés n’aidera pas. Pour décrypter vos fichiers, vous avez besoin des clés qui ont été utilisées dans le processus de cryptage.
Inutile de dire que la sauvegarde de vos clés est d’une importance primordiale, tout comme savoir comment les restaurer. Voici comment accomplir ces tâches.
Le répertoire .gnupg
Vos clés sont stockées dans un répertoire appelé « .gnupg » dans votre répertoire personnel. Ce répertoire stockera également les clés publiques de toute personne qui vous a envoyé des fichiers cryptés. Lorsque vous importez leurs clés publiques, elles sont ajoutées à un fichier de base de données indexé dans ce répertoire.
Rien dans ce répertoire n’est stocké en texte brut, bien sûr. Lorsque vous générez vos clés GPG, vous êtes invité à saisir une phrase de passe. J’espère que vous vous souvenez de ce qu’est cette phrase de passe. Vous allez en avoir besoin. Les entrées du répertoire « .gnugp » ne peuvent pas être déchiffrées sans lui.
Si nous utilisons le tree
utilitaire pour regarder le répertoire, nous verrons cette structure de sous-répertoires et de fichiers. Tu trouveras tree
dans les dépôts de votre distribution si vous ne l’avez pas déjà sur votre ordinateur.
tree .gnupg
Le contenu de l’arborescence des répertoires est :
- openpgp-revocs.d: Ce sous-répertoire contient votre certificat de révocation. Vous en aurez besoin si jamais votre clé privée devient notoire ou est autrement compromise. Votre certificat de révocation est utilisé dans le processus de retrait de vos anciennes clés et d’adoption de nouvelles clés.
- clés-privées-v1.d: Ce sous-répertoire stocke vos clés privées.
- pubring.kbx: Un fichier crypté. Il contient des clés publiques, y compris la vôtre, et certaines métadonnées les concernant.
- pubring.kbx~: Il s’agit d’une copie de sauvegarde de « pubring.kbx ». Il est mis à jour juste avant que des modifications ne soient apportées à « pubring.kbx ».
- trustdb.gpg: Cela contient les relations de confiance que vous avez établies pour vos propres clés et pour toutes les clés publiques acceptées appartenant à d’autres personnes.
Vous devriez de toute façon effectuer des sauvegardes régulières et fréquentes de votre répertoire personnel, y compris les fichiers et dossiers cachés. Cela sauvegardera bien sûr le répertoire « .gnupg ».
Mais vous pensez peut-être que vos clés GPG sont suffisamment importantes pour justifier leur propre sauvegarde périodique, ou peut-être souhaitez-vous copier vos clés de votre ordinateur de bureau vers votre ordinateur portable afin de les avoir sur les deux machines. Vous êtes vous sur les deux machines, après tout.
Détermination des clés à sauvegarder
Nous pouvons demander gpg
pour nous indiquer quelles clés se trouvent dans votre système GPG. Nous utiliserons le --list-secret-keys
options et les --keyid-format LONG
options.
gpg --list-secret-keys --keyid-format LONG
On nous dit que GPG regarde dans le fichier « /home/dave/.gnupg/pubring.kbx ».
Rien de ce qui apparaît à l’écran n’est votre véritable clé secrète.
- La ligne « sec » (secret) indique le nombre de bits dans le cryptage (4096 dans cet exemple), l’ID de la clé, la date de création de la clé et « [SC].” Le « S » signifie que la clé peut être utilisée pour les signatures numériques et le « C » signifie qu’elle peut être utilisée pour la certification.
- La ligne suivante est l’empreinte digitale de la clé.
- La ligne « uid » contient l’ID du propriétaire de la clé.
- La ligne « ssb » affiche la sous-clé secrète, quand elle a été créée, et « E. » Le « E » indique qu’il peut être utilisé pour le cryptage.
Si vous avez créé plusieurs paires de clés à utiliser avec différentes identités, elles seront également répertoriées. Il n’y a qu’une seule paire de clés à sauvegarder pour cet utilisateur. La sauvegarde inclura toutes les clés publiques appartenant à d’autres personnes que le propriétaire de cette clé a collectées et a décidé de faire confiance.
Sauvegarde
On peut soit demander gpg
pour sauvegarder toutes les clés de toutes les identités, ou pour sauvegarder les clés associées à une seule identité. Nous sauvegarderons la clé privée, la clé secrète et le fichier de base de données de confiance.
Pour sauvegarder les clés publiques, utilisez le --export
option. Nous allons également utiliser le --export-options backup
options. Cela garantit que toutes les métadonnées spécifiques à GPG sont incluses pour permettre aux fichiers d’être importés correctement sur un autre ordinateur.
Nous allons spécifier un fichier de sortie avec le --output
option. Si nous ne le faisions pas, la sortie serait envoyée à la fenêtre du terminal.
gpg --export --export-options backup --output public.gpg
Si vous ne souhaitez sauvegarder les clés que pour une seule identité, ajoutez l’adresse e-mail associée aux clés à la ligne de commande. Si vous ne vous souvenez plus de quelle adresse e-mail il s’agit, utilisez le --list-secret-keys
option, comme décrit ci-dessus.
gpg --export --export-options backup --output public.gpg dave@madeupdomain.com
Pour sauvegarder nos clés privées, nous devons utiliser le --export-secret-keys
option au lieu de la --export
option. Assurez-vous de l’enregistrer dans un autre fichier.
gpg --export-secret-keys --export-options backup --output private.gpg
Comme il s’agit de votre clé privée, vous devrez vous authentifier auprès de GPG avant de pouvoir continuer.
Notez qu’on ne vous demande pas votre mot de passe. Ce que vous devez entrer est la phrase de passe que vous avez fournie lors de la première création de vos clés GPG. De bons gestionnaires de mots de passe vous permettent de conserver des informations de ce type sous forme de notes sécurisées. C’est un bon endroit pour les stocker.
Si la phrase de passe est acceptée, l’exportation a lieu.
Pour sauvegarder vos relations de confiance, nous devons exporter les paramètres de votre fichier « trustdb.gpg ». Nous envoyons la sortie dans un fichier appelé « trust.gpg ». Il s’agit d’un fichier texte. Il peut être visualisé à l’aide cat
.
gpg --export-ownertrust > trust.gpg
cat trust.gpg
Voici les trois fichiers que nous avons créés.
ls -hl *.gpg
Nous allons les déplacer vers un autre ordinateur et les restaurer. Cela établira notre identité sur cette machine et nous permettra d’utiliser nos clés GPG existantes.
Si vous ne déplacez pas les clés vers un autre ordinateur et que vous les sauvegardez simplement parce que vous voulez être doublement sûr qu’elles sont en sécurité, copiez-les sur un autre support et stockez-les en toute sécurité. Même si elles tombent entre de mauvaises mains, votre clé publique est de toute façon publique, il n’y a donc aucun mal à cela. Et sans votre phrase de passe, votre clé privée ne peut pas être restaurée. Mais gardez quand même vos sauvegardes sûres et privées.
Nous avons copié les fichiers sur un ordinateur Manjaro 21.
ls *.gpg
Par défaut, Manjaro 21 utilise le Coque Z, zsh
, c’est pourquoi il semble différent. Mais ce n’est pas grave, cela n’affectera rien. Ce que nous faisons est régi par la gpg
programme, pas le shell.
Pour importer nos clés, nous devons utiliser le --import
option.
gpg --import public.gpg
Les détails de la clé sont affichés lors de son importation. Le fichier « trustdb.gpg » est également créé pour nous. Importer la clé privée est tout aussi simple. Nous utilisons le --import
à nouveau.
gpg --import private.gpg
Nous sommes invités à saisir la phrase de passe.
Tapez-le dans le champ « Passphrase », appuyez sur la touche « Tab » et appuyez sur « Entrée ».
Les détails des clés importées s’affichent. Dans notre cas, nous n’avons qu’une seule clé.
Pour importer notre base de données de confiance, tapez :
gpg --import-ownertrust trust.gpg
Nous pouvons vérifier que tout a été importé correctement en utilisant le --list-secret-keys
option une fois de plus.
gpg --list-secret-keys --keyid-format LONG
Cela nous donne exactement le même résultat que nous avons vu sur notre ordinateur Ubuntu plus tôt.
Protéger votre vie privée
Assurez-vous que vos clés GPG sont en sécurité en les sauvegardant. Si vous rencontrez un sinistre informatique ou si vous effectuez simplement une mise à niveau vers un modèle plus récent, assurez-vous de savoir comment transférer vos clés vers la nouvelle machine.