30 réponses dans ce topic

[EcliptuX]

En ces temps troubles, le respect de notre vie privée semble de plus en plus baffoué.
La nature "privée" d'une correspondance email est sur le point d'être abolie par la LEN.
Aussi, je vous propose ci-dessous une sorte de petit guide pour vous apprendre à authentifier ou à crypter vos messages.
J'ai trouvé cette page très claire et très accessible.
Elle est en place sur mon autre site mais cela ne m'empêchera pas de vous la faire partager : Comment crypter vos e-mails ?

Si vous décidez d'essayer de crypter vos messages, vous aurez besoin de quelqu'un pour faire vos tests.
Je me tiens à votre disposition pour vous répondre et éventuellement vous filer un coup de main

Pour rappel, voici mon mail : ecliptux@onnouscachetout.com

Et voici ma clé publique  que vous pouvez aussi trouver ici : http://www.onnouscac...pg/ecliptux.asc

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.2.1 (GNU/Linux)
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=8ZoY
-----END PGP PUBLIC KEY BLOCK-----

[Jeremy]

La cryptographie est réglementée, et on a le droit de te demander ta clé si vraiement ... (les autorités)

Ceci dit, ca n'a d'intéret que si tes correspondants ont le système, et qu'ils l'utilisent .

Ce message a été modifié par Jeremy - 12 janvier 2004 à 20:44.

[pilo]

Kan PGP est sorti gratuitement sur le net le createur de ce soft a eu de gros ennuis avec l'armee US.

Maintenant le soft est legal et meme autorise en france si je ne m'abuse....
Resultat je pense que si on laisse les gens s'en servir c parce qu'ils ont les sources pour decrypter tous les messages voulus faut pas rever !

On peut meme se dire que les gens qui utilisent ce genre de soft ont qqs chose a cacher ou bien qu'ils sont un peu parano ce qui en fait de facto des suspects


pilo

Ce message a été modifié par pilo - 12 janvier 2004 à 20:56.

[EcliptuX]

Resultat je pense que si on laisse les gens s'en servir c parce qu'ils ont les sources pour decrypter tous les messages voulus faut pas rever !

GPG est un logiciel libre mondialement réputé. Cela signifie que le code est ouvert, et que la moindre faille peut être décelée et comblée très rapidement. Il n'est pas possible de créer une "back door" qui tienne plus de 48h dans ce genre de logiciel (que ce soit GPG ou n'importe quel autre logiciel libre). C'est arrivé une fois : un malin avait mis un code malicieux dans une libraire : 24h plus tard le programme malicieux avait été remplacé.
Bref : non, les gouvernement n'ont pas les moyen de décrypter "facilement" un mail crypté.
Par contre, ils peuvent utiliser des gros calculateurs pour casser le cryptage : cela nécessite énormément de puissance et de temps, mais c'est toujours possible : autant vous dire qu'il faut que ça en vaille la peine.

On peut meme se dire que les gens qui utilisent ce genre de soft ont qqs chose a cacher ou bien qu'ils sont un peu parano ce qui en fait de facto des suspects 

On peut aussi utiliser ces méthodes pour protester contre les récentes mesures prises par le gouvernement français.
Il s'agit ni plus ni moins d'un acte militant :  auriez vous envie que le facteur lise votre courier ?
L'article est très bien fait je trouve car il explique en quoi crypter ses messages dépasse la simple paranoïa.
Après, il est évident que si vous ne cryptez que certains de vos messages, ils seront suspects.
Pour revenir à l'aspect juridique, un juge a en effet, je crois, le droit de demander la clé pour décrypter un message douteux. Dans mon cas, s'agissant simplement d'une revendication à ma vie privée, ils peuvent tjrs chercher des informations classées secret-défenses si ça les amuses

[Nowar]

Salut

Le raisonnement parait logique, mais je me sens géné d'imaginer que le fait de tirer les rideaux chez moi éveille des suspicions.

Nous sommes passés en 2 ans d'une liberté paisible à une perte quasi totale des libertés individuelles pratiquement dans toutes les démocraties.

Je pense donc que si nous avons l'impression de crypter nos doc, nos matons disposent de leur clé pour lire quand même notre courrier.

Nowar



    

[EcliptuX]

Lire un message crypté par GPG lorsqu'on ne possède pas la clé privée correspondante n'est pas possible car :
- le code source étant ouvert, aucune backdoor, mouchard, code malicieux... ne peut être introduit dans les logarithmes de cryptage
- le système clé publique/clé privée est d'une grande fiabilité ( il est dailleurs utilisé par tous les organismes ou sociétés qui doivent échanger des données confidentielles : VPN, données bancaires...)

Par conséquent, même la justice, si elle n'a pas en sa possession la clé privée de l'utilisateur ne pourra pas lire le message crypté
LA SEULE SOLUTION qu'elle a à sa disposition pour lire ce message en se passant de la clé privée, c'est d'utiliser une force de calcul très importante pour casser la clé. Cela demande des moyens et du temps.
Plus la taille de la clé est importante, plus il faudra de temps pour casser le cryptage.
En France, il y a peu (cela a peut-être changé), la taille de la clé de cryptage était limité afin que la justice puisse "éventuellement" casser l'algorithme si besoin. Les entreprises qui souhaitaient utiliser des clés plus grosse (et donc nécessitant plus de calculs pour être cassée) devaient déposer un exemplaire de la clé privée à un organisme d'état

Bref... plus nous serons nombreux à revendiquer notre droit à la correspondance privée, moins les "supers calculateurs temps réels" pourront décrypter les messages.
C'est pourquoi je vous encourage à utiliser ce système.
A vous de voir si le fait que certaines personnes puissent lire votre courier vous gêne ou pas

Rappel du cheminement que prends un email lorsqu'il est envoyé à son destinataire :

Citation

Les e-mails se déplacent sur Internet par le biais de copies successives d'un serveur Internet (ordinateur du fournisseur d'accès à Internet (FAI)) à un autre serveur Internet.
Si vous habitez à Paris 6e et envoyez un e-mail à  un correspondant qui habite à Paris 11e, voici les copies qui vont se créer :

Citation

Votre ordinateur (copie originale)  -> un premier ordinateur chez votre fournisseur d'accès (copie 1) -> un second ordinateur chez votre fournisseur d'accès (copie 2) -> un premier ordinateur chez le fournisseur d'accès de votre destinataire (copie 3) -> un second ordinateur chez le fournisseur d'accès de votre destinataire (copie 4) -> l'ordinateur de votre correspondant (copie chez le destinataire).

[ADDTC]

Oui mais comme envoyer du mail crypté est presque illégal, il faudrait plutôt disposer d'outils qui insère le message crypté dans une image (stéganographie) pour éviter d'éveiller vos soupçons.

De toute façon, rassurez-vous, si l'Etat voulait vraiment regarder vos e-mails, à moins que votre ordi ne soit situé dans un local aux normes TEMPEST (c'est à dire plus ou moins une cage de Faraday), on pourrait toujours avoir une copie de votre écran à cause des radiations qu'il émet.

[aixur]

Avec le développement des écrans plats TFT, ce n'est plus trop vrai. Ils émettent trop peu de radiation pour qu'on puisse facilement détecter ce qu'il y a dessus, je pense.

[EcliptuX]

Citation

Oui mais comme envoyer du mail crypté est presque illégal, il faudrait plutôt disposer d'outils qui insère le message crypté dans une image (stéganographie) pour éviter d'éveiller vos soupçons.

Illégal
Supprimer nos libertés élémentaires n'est-il pas contre les Droits de l'Homme ?
Respecter les lois liberticides ou qui vont à l'encontre du bon sens ne fait pas parti de mes habitudes.
Mais cela n'engage que moi : il s'agit d'un choix personnel.
La stéganographie est en effet plus discrète. Je ne me suis pas encore penché sur cette technologie bien que j'en connaisse le principe.
Mais là on dépasse la revendication du respect de la vie privée
L'utilisation de la cryptographie doit, à mon avis, se généraliser dans cette optique. Pas pour nourrir une paranoïa injustifiée.

Citation

Citation

De toute façon, rassurez-vous, si l'Etat voulait vraiment regarder vos e-mails, à moins que votre ordi ne soit situé dans un local aux normes TEMPEST (c'est à dire plus ou moins une cage de Faraday), on pourrait toujours avoir une copie de votre écran à cause des radiations qu'il émet.

Citation

Avec le développement des écrans plats TFT, ce n'est plus trop vrai. Ils émettent trop peu de radiation pour qu'on puisse facilement détecter ce qu'il y a dessus, je pense.

Oui j'allais le dire : l'utilisation d'écrans plats permettent en effet de régler ce problème facilement.
Mais encore une fois, on retombe dans la peur et la paranoïa

[EcliptuX]

J'oubliais : apprendre à "signer" ses messages de manière numérique est à mon avis très utile.
Aujourd'hui, il est très facile de trouver sur Internet des outils permettant d'envoyer un email avec l'adresse de n'importe quel expéditeur.
Je me souviens d'un mail qui avait été envoyé en mon nom l'année dernière, à une dizaine de membres de ce forum.
Il y a quelques mois encore, les Cassioppéens avaient été victime d'une "farce" du même genre.
Signer systématiquement ses messages permet de donner la possibilité au destinataire d'en vérifier l'authenticité à l'aide des outils présentés dans l'article ci-dessus et avec la clé publique de l'expéditeur.

[Nowar]

C'est le merveilleux choix entre deux illégalités. Je suis persuadé que nous pouvons faire confiance au conseil constitutionnel qui a déja retoqué pas mal de projets de nos ministres débridés.

Nowar

    

[EcliptuX]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1


Je stimule un peu ce topic afin d'éventuellement donner envie à des membres ici présents de se lancer dans la signature et le cryptage de vos messages.

Si vous ne voyez pas encore l'intérêt de crypter vos conversations, vous devez comprendre que tout ce que vous dites par mail ou par MSN et cie circule en clair sur le réseau, et que plusieurs personnes peuvent s'adonner à du voyeurisme.
Alors bien sur vous vous dites que vos pauvres petis messages sont noyés dans la masse, et qu'en plus de ça, vous n'avez rien à cacher.
Vous n'avez peut-être pas tord, mais quoi de plus légitime que de s'assurer de la confidencialitée de nos conversations, aussi peu importantes soient elles ?
De plus, avec les nouvelles lois récemment apparues en France (la LEN notamment), les prestataires internet (FAI comme Free, Wanadoo etc...) ont de plus en plus le devoir de filtrer ce qui se passe sur leurs réseaux. Bien sûr, tout cela a nom de la sacro-sainte sécurité. Bien qu'il puisse en effet y avoir des terroristes et personnes détraquées sur Internet, il ne faut pas pour autant sacrifier nos libertés fondamentales. La correspondance privée en est une.

Ainsi, j'encourage chacun à se créer une clé PGP afin de garantir cette liberté. Vous avez un mode d'emploi dans le premier post de ce topic.

Au delà du cryptage de vos mails, vous aurez la possibilité de crypter vos conversations sur Jabber, avec PSI (ou un autre client).
(Voir la capture d'écran dans le post suivant)

Vous remarquerez aussi que ce message a été signé.
Cela signifie que si vous installez le logiciel gratuit GPG, vous pourrez vous assurer que mon message est bien de moi à l'aide de ma clé publique


-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.0 (GNU/Linux)

iD8DBQFCXkeg+X5BhzJQiGcRArmgAJ4knFjMr1BCzrKK6CGn0RUlmBzPiACfbbpb
zUX5HR6eWypKn+IUFN3sz8w=
=WW6W
-----END PGP SIGNATURE-----

[EcliptuX]

Voici un petite capture d'écran d'une conversation cryptée avec Jabber/PSI (notez le candenas jaune) :

[Glingal]

Je ne savais pas qu'il était possible de crypter les conversations. Je n'ai pas jabber et je chat pas très souvent.

Cela fait un an que j'ai installé un programme pour incrypter mes e-mails et je pense qu'il fonctionne aussi comme GPG avec une clé publique et un clé privée. Il s'agit de "stéganozorus". Est-ce que quelqu'un connait et peut me confirmer si ça fonctionne sur le même principe que GPG?

Bon stéganozorus, je l'utilise que très rarement. Mais c'est vrai qu'on a vite fait de se relacher en matière de protection de la vie privée.

En tut cas merci pour l'info.  

Ce message a été modifié par Glingal - 14 avril 2005 à 12:10.

[pierre_t]

Stéganozaurus fait de la stéganographie : cacher un message dans un fichier apparament anodin. Il peut aussi chiffrer les messages mais son but princpial est de les cacher dans une image.

De plus c'est un logiciel dont on ne peut vérifier l'intégrité car nous n'avons pas les sources dispo (à première vue).

GnuPG est un logiciel libre, dont les sources sont dispo, ce qui permet à tout un chacun de vérifier la solidité de l'implémentation et des algorithmes de chiffrement utilisés. Pour de la vraie sécurité, les logiciels libres sont un pré-requis (c'est nécessaire mais pas forcément suffisant).

Plus d'infos sur http://www.gnupg.org...s/fr/index.html

[EcliptuX]

Pour vous expliquer un peu le principe du cryptage de message avec clé publique et clé privée, considérons le message suivant :

-----BEGIN PGP MESSAGE-----
Version: GnuPG v1.4.0 (GNU/Linux)

hQIOAyj/49AGvm9rEAf+Kl7c8jznWEwkHIEhjKC2fUAjXePYLan0HqU7f9NXeAC2
Aer27qALQreUZM7XosXXHb6lTAby7aJevVtmENfX5UC8ktuFYN58xyZtA6e6RbFq
SXsUP2M3QUJaKy2bWg8He2cYrtCefXBcnPsBAWYWjnv2x9ABDgXYqsd1xAVC9A0G
aCHMs11klYt+ywOrFnXgKS+cIELm6Vel5aBY9sAEDLpdkSssIRfkFquQrZT53l+u
HzJnJH8fIFU7X/ddsJBYHPaaZS9u3+SpE7oCwFws7g/mcvbYT5/WUKxb4hpGTnF8
3LN6SqVo3ut8AUZoHPcjzGFZ1iZmvlLGBnE9bPiyxgf/Z4gAZ1yQ+nYtxJ1Bpmcz
GB+WWmZ96Sr5H84u8ciyj4h3MA/vlSgGdzLeL62bkCKbHfV+nKLMA4bouzYaSknY
yQbEJJ5KP1seWL2OtOlqeR7d8u2t/s6epvPCTrcR/JTtO4Qu50LrJcTFd9szrnVv
Z8mshcYsm1JtBSe92q1TcTpRZkCEmTLTA7WfT8ISw89sFVe9s+5EXRy97k1F15wq
Us1/RklOR8TRM/UeimLI1NoDUA6wRjHV/TECmXp1PvfEYsp3OFtIiPgiGH89syFQ
JyVXjDmsZGV6mOvMBYiurWeqkXW5+6VAPJA7TQJrR/BhAApaebv3p20pG8t9b6J4
PIUEDgOzslXS7TkCkRAQAK+JEGcfL2f/tV2buF82Q5DyU0FksR7OFYANJEH9wdVH
0W6QhFoqy/iSOK6B0ID4dFjlAx2e3x5O5MFyUSaRPNxOL6Y2KklFljQgcxulXX8y
l9ZtKZNzdAn9G7JEo/Izd+U3MfTDxQAvP4g1ZS/o7ZfE21n9Ej8d81DdhlaM50kY
ftIyxiIpdyEXUFNNHb45GK4+3CYZWBPBlJpmzN1j3X0huUgetwwfVQJghW3333mv
4BGUBK5HY0gbKVTGDoQ8k74Doqz9mlMu8hMsoSxRDJVmB8WKgnOQbOJGBhPvfwpf
W9IUJEwBMKzrSKOJKSApMEjxJFCsrlTIMjceie5XNBNon0XgCs6k7EQTRNKM0/em
ecyoaHY3qarn7VV6q+hiGPpF/c41Y/k3hq3qc4NcpDg0bQ6HV78aZ+zfwuk6Pp8H
a3ilqd3XCsJvfrPHWiEwZ+NrWhb8eY9tFUwCQnG8hEtX6s+/a/TiW3+Qnf4SfcSE
x+R+gQQCCVidoXuA0rG7oIX5J7WLiRC5ZGpw89r5Wnw00qtRIein0eOHZmI55BcA
rcbqqVtAbue79DZEYV23WphGfq7+NjKgcM+9vtoGHpv/U06gUmFVcWpZ9uxGs5Bs
BpkwxlEjSoOj5NfpjukJqZYSTKX42Qn1fY76bb8LZ2Cib6Ug5TCt+ceD+jJYuFQC
D/9OZeg3M7Shw5Z28+9M5icJn2ehxm+GUuGzGTyJiU3SSZFgPhfrjx6kJ9JO47c0
eMEx2HjBNUxPu3mhzU1mqxED/z66ikR3FpNtcB4wZP48lXGrm8feD4NUF5UvgDHv
vwimhf3r39DRmf837SL27mFisINcjYXDLcqmCz2jz7C/VQfx9W5YRvNYu6fU4qmw
HZJzQXp9Z9UcCP01pYnQDkmAQqwLLpInSDdohgQY8hfRcmf/QFreFWg0jaNRz4iH
An76z5a3I+0+pFPOkG9QyQMMKTxqhcT0V2PvMwoMkEl0/BbST6l8kOPu01LqoOzg
HRBFWtCv5OoC9f2f3miaq3TkQf8qsE+MRZVw0tmc+AMvV4i3Gagps6OmE8yvBxwq
CjbBVl9c1SteOgy7K0RyicvhcQ6uA7nbgEjxGNX4/S9fWiufAaEF8jor671BCI7b
wFQjzje8YcFLVWTQgLpm48/BuCyB/XQ81I/tq8475LbazXxscV4ODO9M6/YDZ1fV
kcJMlfp8lq4fPNirz/6+TQ4ZFlhyN4C+frCCeSANaXiMNtXHCJce/0/2IFOWcZLs
wa9eciyb1lOGSaQnmRgB/sFlVbn9UTI74E1f9gh86Uj92UdYTl3XaXLjTju/+PRS
E6n0Iu6QIG64seHphLj6A8EeECCED16DiXFOsltutY5rXNLpAdRZKNYGpkoLYRJh
SMAqQK7sMfjBqxIcPyWm2O9L/eZBVx5lrUAVZHIAiYW43+0A0Y5tzXGZ0D8l8L0R
BdmGfyxPXHgQQ8LkU2LQd75sK87aFFcjZHAqTXuRLOqInyFp2r/Rl4j0HCoXgY2C
nKaRgNoaR/s04GNVT5lmOqfI0WNfw7ZtcYTjt8qwXOWErkQI568goPIcBSAZqesH
QbuhZUrAPzL0/TcxUereqqawIPtdRsQ4kGQ8sY4oTIECHQIRRULRF5zKR4WNpUMA
zXQSQD/TmNywxXeJQMXCIlNsLJhthMl3M14UPsYObv8+kUO47p246pKwAa1oc9vG
4qldkWzms2jb9Ssxx+AIYNH4Lrs+OiU67BPdS9XEirpmkrk+dLbR9cbv+QfdLKfO
IKg3ILpQY1ba1FIYWCIKkX71FpM9m6z22mrnSTRDX9L9t+Dh4ktIrMdQsn0hB5pS
WV3+Bm3T434UKwObaq3uX2qq10pS8EqEc7d87Qvr8fcY3CFmxJvmcp5JKketrL8A
b9G7l1YPzKCVVTtqo8JAfvxf7gesF3/JAg74kTPGhL74KRDfWbJ6ePrS+ctZShit
36cIXlVOwXAT17oq9Da4jftr9VhLjWeA6qJy7MtyYdFbjITwyVtqujYAh8UGzVSi
cu9SY6moyWaEX0UOptZPwAi5qunADmfBKSnbiHSscjI5RWg2axmklGS75esOV20Z
aocviFlhUz1RzkSXquTXUXh9PAF+y6h32UzfbVyuRX57VgfV49iFI6Nuyntr3wND
WbCgeUKHvu4abtyxumrT8zCKV+I+tFCSaqYGOZKTv60AGDadCAmdB4d0EXhk0xxe
Cmxs+KVGeC2VKAFsfhAjUtH+YD/cZqYf3dgxmkShPqG5MMfLYOAaugrQ1AJ/4BIb
rVEnASiecnyA/G+ugLGusoo2gwQmUS1jSbvpQsdPCFlJrsfl
=PspZ
-----END PGP MESSAGE-----

Passionnant hein ?
C'est en fait un message tout simple, que j'ai crypté pour que seul Pierre_t (dont je connais la clé publique) puisse le lire.
Il a été encodé à la fois grace à sa clé publique, et ma clé privé (mon mot de passe).
Si pierre_t veut le décrypter, il devra utiliser ma clé publique et sa clé privé (son mot de passe).

Vous qui voyez ce message, vous ne pourrez jamais le décrypter car :
- il n'a pas été crypté avec votre clé publique
- vous ne connaissez ni ma clé privé, ni celle de pierre_t

J'espère avec cet exemple avoir illustré le concept de cryptage par clé publique et clé privée

Ce message a été modifié par EcliptuX - 14 avril 2005 à 14:30.

[Pascuser]

Rappel: la NSA punit de 1 million de dollar toute information échangée par système crypté PGP qui ne pourrait pas être cassé par leurs ordinateurs (dont la clef est trop grosse); pour tout ressortissant américain
On peut crypter ... à condition que ça soit décryptable.
Heureusement qu'on est pas américain!!

[EcliptuX]

Pascuser, le Jeudi 14 Avril 2005, 16:00, dit :

Rappel: la NSA punit de 1 million de dollar toute information échangée par système crypté PGP qui ne pourrait pas être cassé par leurs ordinateurs (dont la clef est trop grosse); pour tout ressortissant américain
On peut crypter ... à condition que ça soit décryptable.
Heureusement qu'on est pas américain!!

Autrement dit, la NSA doit avoir le droit de lire vos correspondances privées.
Si ça ça n'est pas une preuve supplémentaire du totalitarisme grandissant...
En attendant, à vous tous, simples citoyens qui ne faites rien de mal, je vous encourage à crypter vos messages avec des clés supérieures à celles autorisées, sinon à quoi ça servirait ????!!!!

[tatiana]

Hello les crypteurs...
Même si le cryptage PGP/GPG est quand même une très bonne chose à connaitre, je ne crois vraiment pas que ce système protège à coup sur les Emails pour, par exemple, une organisation "gouvernementale" qui désire intercepter nos message, même cryptés !... Très sincérement ne croyez-vous pas qu'ils aient les outils et les programmeurs suffisants pour "passer outre" ce type ce cryptage qui, de surcroît, a déja quelques années d'ancienneté ?... A moins que les algorithmes n'aient changé depuis, je n'y crois pas trop... en plus cette technique n'est pas aussi simple qu'elle y parait.
Personnellement, si je cherche à dissimuler les intentions de mes Emails, j'utiliserais plutôt plusieurs systèmes de redirections automatiques sur différents serveurs dans différents pays sur la planète (par exemple : une adresse créée sur free se redirige sur une autre adresse créée sur yahoo qui, elle même se redirige sur une boite electronique créée sur terra.es qui se redirige sur une boite hotmail pour atterrir en Suisse ?... tout en automatique, vous voyez c'que ch'veux dire, mh ?... En gros, c'est comme égarer les pistes... un vrai bordel pour qui chercherait à intercepter quoi que ce soit !... surtout si ces redirections sont modifiées régulièrement
Cette honteuse LEN reste une loi bien française mais elle est vraiment très façile à contourner en optant pour un serveur hors CEE et hors US, of course...   
Internet est bienheureusement PLANETAIRE... et c'est bien ce qui emmerde nos gouvernements qui sont limités à nous pondre des daubes telles que le LEN qui n'aura pour effet que de ruiner certains prestataires de services français et n'empechera en rien la prolifération de groupuscules violents ou pedophiles, par exemple (ouh la vilaine excuse !...) ...

Ce message a été modifié par tatiana - 14 avril 2005 à 15:37.

[ADDTC]

Faire transiter ton message par plusieurs serveurs ne servirait pas à grand chose puisqu'on écouterait tout ce qui arrive sur TON ordinateur...

Les méthodes de cryptages à clé publiques/clé privées ne sont pas absolument sûre non plus, parce qu'elle reposent sur des fonctions mathématique de codage impliquant de tels niveaux de calculs qu'il faudrait théoriquement des milliers de milliers de milliards d'années à un superordinateur pour casser le code.  Sauf que l'attaque dite "force brute", où l'on essaye toute les combinaison possibles, n'est pas la seule, et qu'il existe peut-être des méthodes ou des machines (des ordinateurs quantiques par exemple) qui seraient capables de décrypter un message.

La seule méthode théoriquement sure est celle du "one time pad".  On génere un fichier avec des chiffres et lettres de façon aléatoire de longueur égale à celle du message à crypter.  On fait une opération logique XOR sur chacun des bits du fichier, et ainsi on a un fichier indéchifrable si on ne possede pas la clé.

Le problème de cette méthode est qu'il faut un fichier VRAIMENT aléatoire.  Mais on trouve sur le net des générateurs de tels fichiers se basant sur le bruit créé par une webcam, ou par l'image combinée de lavalamp.

L'autre problème est que les fichiers clé doivent être échangés de façon sure, et protégés.  Si vous gravez un CD-ROM avec un tel fichier et que vous l'échangez au coin d'une table de café, il y a peu de chances, à moins de se faire cambrioler, que vos communications soient écoutées.

[EcliptuX]

Salut tatiana

Je me permet de commenter ton post

Citation

Même si le cryptage PGP/GPG est quand même une très bonne chose à connaitre, je ne crois vraiment pas que ce système protège à coup sur les Emails pour, par exemple, une organisation "gouvernementale" qui désire intercepter nos message, même cryptés !...
Très sincérement ne croyez-vous pas qu'ils aient les outils et les programmeurs suffisants pour "passer outre" ce type ce cryptage qui, de surcroît, a déja quelques années d'ancienneté ?... A moins que les algorithmes n'aient changé depuis, je n'y crois pas trop... en plus cette technique n'est pas aussi simple qu'elle y parait.

C'est ce que j'ai cru pendant longtemps : la puissance tjrs croissante des ordinateurs mis à la dispositions des gouvernements était pour moi la preuve que rien n'est inviolable, pour peu qu'on y mette le temps.
Mais Pierre_t (et un autre membre) prétendent que le système de clé privée/publique qui utilise un puissant algorythme basé sur des nombres premiers serait tellement bien conçu qu'il serait impossible (disons plutôt trèèèèèèès long, plusieurs dizaines d'années) de décrypter.
Je ne sais pas trop ce qu'il en est réellement, mais ma foi... je dirais que crypter ses messages correspond pour moi à enfermer ma correspondance dans une enveloppe plutôt que de l'envoyer au dos d'une carte postale. N'importe qui peu ouvrir le courier si besoin, mais j'ose espérer que ça ne sera fait qu'en de rares circonstances.
Comme je l'ai dis avant, ce n'est pas parce que l'on crypte ses messages que l'on a forcément quelque chose à cacher.

Citation

Personnellement, si je cherche à dissimuler les intentions de mes Emails, j'utiliserais plutôt plusieurs systèmes de redirections automatiques sur différents serveurs dans différents pays sur la planète (par exemple : une adresse créée sur free se redirige sur une autre adresse créée sur yahoo qui, elle même se redirige sur une boite electronique créée sur terra.es qui se redirige sur une boite hotmail pour atterrir en Suisse ?... tout en automatique, vous voyez c'que ch'veux dire, mh ?... En gros, c'est comme égarer les pistes... un vrai bordel pour qui chercherait à intercepter quoi que ce soit !... surtout si ces redirections sont modifiées régulièrement

A mon avis, faire de multiples redirections de mail ne fait qu'augmenter le nombre de copie sur chaque serveur
De plus, s'il est "rare" qu'un serveur abritte une faille de sécurité, passer par plusieurs serveurs augmente de risque de tomber sur un serveur vérolé.
Pour finir sur ce point, je rappelle qu'en observant les entêtes (headers) d'un mail, il est possible de remonter chaque serveur par lequel est passé le mail, IP par IP
Par ailleurs il suffit à ce qui veulent t'épier, te regarder ce qui se passe sur ta machine (sous Windows, c'est facile ), ou de filtrer discrettement ce qui entre et sors de ta ligne internet. La LEN le permet aussi

Citation

Cette honteuse LEN reste une loi bien française mais elle est vraiment très façile à contourner en optant pour un serveur hors CEE et hors US, of course...

Bien sûr qu'il est possible de se faire héberger à l'étranger ! Mais c'est plus vicieux que ça : la LEN permet de censurer certains sites directement aux frontières, càd chez les FAI.
Exemple concrêt : Onnouscachetout.com est hébergé pour le moment en France. Je pourrais si besoin l'héberger sur un serveur hors Union Européenne. Mais si mon site dérange tant que ça, rien n'empêchera les FAI français (Wanadoo, Free, Club Internet...) de bloquer l'accès à Onnouscachetout.com en amont. Pour les visiteurs français, Onnouscachetout.com ne sera tout bonnement plus accessible.
C'est ce qui se passe depuis qques années en Chine, où Internet est sérieusement filtré !

[pierre_t]

EcliptuX, le Jeudi 14 Avril 2005, 15:42, dit :

Vous qui voyez ce message, vous ne pourrez jamais le décrypter car :
- il n'a pas été crypté avec votre clé publique
- vous ne connaissez ni ma clé privé, ni celle de pierre_t

J'espère avec cet exemple avoir illustré le concept de cryptage par clé publique et clé privée

Alors c'est bon comme ça les clones de nut*lla ?

Outre le simple chiffrement des données, on peut se servir de GPG pour signer un message : ça garantit son intégrité (message pas modifié) et l'auteur.

D'ailleurs pour l'administration électronique on peut se demander pourquoi on n'utilise pas un format ouvert et reconnu comme sûr tant par les informaticiens que par les experts en cryptographie ?

Citation

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Oui, c'est bien moi qui ait écrit ceci.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.5 (GNU/Linux)

iD8DBQFCXo5FuVX5urweoc4RAiWvAJ9TlrcvS6ncCOtqP3lOY2Cs/x4vogCggkhK
qJY3ZeMgxbP3odyB2yJNHSI=
=foFn
-----END PGP SIGNATURE-----

Bon après on pourra voir comment on peut garantir qu'une clé publique est digne de confiance, mais là en entre dans les détails techniques... En gros on peut signer une clé publique de quelqu'un rencontré "en vrai" pour ne pas avoir de parasitage type man-in-the-middle, et ça forme ensuite un "web of trust", mais là je vois renvoie sur la doc gpg http://www.vilya.org...pg-intro-5.html

Si tout le monde se met à chiffrer les échanges, surtout pour les moins importants, je peux vous assurer que les grandes oreilles pèteront les plombs.

[Glingal]

Merci Pierre_t pour ta réponse. Merci à tous.

[Cosmoschtroumpf]

Merci à tous vé me plonger là dedans mm si mes mails/conversation msn sont avant tout des conneries

[Pascuser]

Je me rappelle bien que le programmeur de Pretty Good Privacy (qui avait appliqué les systèmes de cryptage RSA) avait dû dévoiler son algorithme à la NSA qui avait semble-t-il pu faire ajouter aussi un moyen de décrypter à tous les coups en obligeant le programmeur à bidouiller un peu son code spécialement pour la NSA... enfin ça restait un bruit de couloir.

Voilà ce que j'ai retrouvé comme information officielle là dessus:

http://hautrive.free...yptage-pgp.html

Citation

Pretty Good Privacy est un excellent shareware de cryptage des fichiers, dont les algorithmes ont été révélés à la NSA (National Security Agency) à la suite d’un procès.

En France, PGP est en libre d’accès, toutefois, il est obligatoire de faire une déclaration ou même une demande d’autorisation auprès du Service Central à la Sécurité des Systèmes d’Information (S.C.S.S.I.) qui dépend du Premier ministre ; la simple utilisation privée est tolérée quand le chiffrement n’excède pas 40 bits.

Donc en France on ne fait pas ce qu'on veut non plus!!
Bon le programmeur dit que les bruits de couloir sont faux:
http://www.philzimme...FR/faq/faq.html

Citation

Q: Y a-t-il des portes dérobées dans PGP ? Allez, dites le moi, je ne le dirais à personne.

R: Non. Il n'y en a jamais eu, et il n'y en aura jamais, du moins aussi longtemps que je suis associé au produit. Je n'ai pas traversé tous ces ennuis pour finalement voir mon produit corrompu. En outre, nous publions le code source, donc vous pouvez vérifier par vous même.

Q: J'ai entendu des rumeurs disant que vous avez conclu un marché avec le gouvernement américain pour installer une porte dérobée afin de ne pas être poursuivi pour avoir publié PGP. Est-ce exact ? Allez, vous pouvez me le dire, je n'en parlerais à personne, promis.

R: Ce que vous avez entendu est faux. Non, je n'ai conclu aucun marché, et ne l'aurais pas fais même si cela avais été ma seule façon de sortir de prison. Mais je n'ai pas eu du tout à négocier avec eux. Après trois ans d'enquête criminelle, ils ne m'ont pas accusé, parce que nous les avons battus.

Mais enfin si la NSA le menace il ne dira pas la vérité évidemment surtout sur un point si sensible pour la NSA.

http://www.geocities...gp/pourquoi.htm

Citation

Le gouvernement sait quel rôle pivot la cryptographie est destinée à jouer dans le rapport de force avec son peuple. En Avril 1993, l’Administration Clinton dévoila une audacieuse nouvelle initiative dans la politique cryptographique, qui avait été préparée à l’Agence de Sécurité Nationale ("National Security Agency" NSA) depuis le début de l’administration Bush. La pièce centrale de ce dispositif est le microprocesseur construit par le gouvernement et appelé puce "Clipper", contenant un algorithme de la NSA classé top secret. Le gouvernement est en train d'encourager l'industrie privée à l'insérer dans leurs équipements de communications sécurisées, comme les téléphones sécurisés, les fax sécurisés, etc. AT&T insère dès à présent la "Clipper" dans ses équipements vocaux sécurisés. Ce que cela cache: au moment de la fabrication, chaque puce "Clipper" sera chargée avec sa propre clé, et le gouvernement en gardera une copie, placée entre les mains d'un tiers. Il n'y a pas à s'inquiéter, cependant: le gouvernement a promis qu'il utiliserait ces clés pour lire le trafic des citoyens uniquement dans les cas dûment autorisés par la loi. Bien sûr, pour rendre la "Clipper" complètement efficace, la prochaine étape devrait être de mettre hors-la-loi tout autre forme de cryptographie.

Le proramme PGP est basé sur le cryptage avec la méthode RSA.
Cette méthode est mathématiquement démontrée comme étant parfaitement cassable avec un algorithme connu de décomposition de nombres en facteurs premiers. Mais on ne connaît actuellement qu'un seul algorithme de décomposition en produit de facteurs premiers le plus performant possible, et on peut calculer en combien de temps on peut casser la clef en utilisant cet algorithme (qui est le meilleur) avec un ordinateur dont on connaît la puissance de calcul.

Ce qui fait la puissance de ce système est le choix de clefs assez grandes pour qu'on puisse s'assurer qu'avec l'ordinateur le plus puissant du monde cela prenne des centaines d'années ou des milliers d'années à casser le code. Le seul moyen de décrypter est de connaître la décomposition, ce qui se fait avec la clef privée.

Donc le système est imparable: tout le monde peut décoder mais avec les moyens les plus perfectionnés cela prendra un temps largement plus grand que celui de validité du secret (après le secret n'est plus secret.... il n' aplus d'intérêt dans 1000 ans, personne ne s'y intéressera).

Donc des milliers de mathématiciens ont planché de tous temps sur de nouveaux algorithmes de décomposition en produit de facteurs premiers, mais personne n'en a trouvé. Peut être un jour, comme le problème de Fermat qui a mis 4 siècles à êtré résolu, on trouvera mieux, mais là c'est un problème de maths et pas d'informatique... Bien sûr si des matheux bossant pour les militaires trouvent, ils vont garder ça secret pour être les seuls à décrypter plus vite. Toutefois on voit mal comment faire mieux sachant qu'il a été mathématiquement prouvé qu'il n'existe aucune formule algébrique de calcul des nombres premiers: on ne peut que chercher à décomposer le produit, pas à tester des produits de nombres premiers qu'on saurait calculer par une table.

Les gouvernements achètent des nombres permiers très grands (des nombres de centaines de chiffres qui sont prouvés être premiers). Un individuel a gagné 50 millions de dollars en vendant un tel nombre premier (en effet avec de si grands chiffres aucun ordinateur ne peut réussir à faire la décomposition pour trouver si le nombre est premier ou pas... le coup de l'algorithme trop long; mais par des méthodes mathématiques on peut prouver qu'un nombre est premier).
Vous voulez devenir millionnaires?

Ce message a été modifié par Pascuser - 17 avril 2005 à 09:33.

[pierre_t]

Ouais enfin si son pgp est si sûr que ça, qu'il donne les sources librement.

C'est pour ça qu'il faut utiliser gnupg en lieu et place de pgp, dans le domaine de la sécurité infomatique on ne peut pas se permettre de faire confiance à un tiers.

[Pascuser]

C'est sûr, déjà en utilisant un algorithme de codage correct en RSA on n'est pas sûr d'être vraiment protégé contre des systèmes de calculs très puissants style gouvernementaux... mais en général à moins d'être parano on n'est pas le sujet d'espionnage de ce genre de personnage.. on reste protégé seulement contre la personne malintentionnée de base qui possède une puissance de calcul normale.

Si on craint les organismes gouvernementaux, en prenant des clefs extrêmement grandes, si on suppose qu'il n'y a pas eu de découvertes mathématiques permettant d'accélérer le processus de calcul (ce qui paraît quand même raisonnable... mais sait-on jamais?) alors on est à peu près protégé à condition... de coder sans porte dérobée, que le logiciel d'encodage soit clean et effectivement là le problème du tiers est important.

Un petit mot toutefois sur les puissances de calcul. Il existe la notion d'ordinateur quantique qui est pour l'instant seulement un concept abstrait pour le tout un chacun... mais qui est peut être une notion expérimentale concrète pour des organismes de recherche militaires de pointe. En effet avec un ordinateur quantique, la puisance de calcul est multipliée par des millions ou des milliards par rapport aux puissances actuelles des plus puissants ordinateurs... une autre ère de l'information qui permettra peut être bien des choses (intelligence artificielle accrue, etc?) mais en tous cas surtout de déchiffrer en quelques secondes ce qui aujourd'hui est censé prendre des millénaires.

Donc les organismes militaires bossent sur la construction d'ordinateur quantique car une telle machine ruinera instanténément les secrets codés sur le principe des systèmes à nombre premier (RSA) utilisés actuellement comme forme ultime de protection des secrets (avec système à clef publique et privée). Donc même avec des clefs en théorie trop grandes pour être décodées on est peut être vulnérable, mais on ne le saura pas puisqu'il est d'ontérêt d'un organisme genre la NSA de faire croire qu'elle ne peut pas en poursuivant les personnes utilisant des clefs trop grandes. Alors la tailel des clefs devrait être si grande pour se parer contre le déchiffrage par nombre premier que.. seuls justement les ordinateurs quantiques pourraient permettre de constuire de tels nombres premiers (on n'arrive pas à en constuire des très grands à la main). Donc seul celui qui aurait la puissance de déchiffrage quantique aurait aussi le moyen de créer des clefs plus grandes permettant de s'en protéger... on serait ainsi dans tous les cas bananés.

Mais encore une fois restons non parano: nous n'avons pas de tels secrets à protéger ... et si pour une raison cela devait arriver alors il faut être conscient de la vulnérabilité finalement.

[picchou]

Bonjour,

Vous pouvez effectivement en France crypter votre courrier ou tout document que vous désirez, toutefois vous devez le faire avec un logiciel autorisé et décryptable par les autorités compétante avec ou sans votre consentement !

Si demain vous utilisez votre propre système de cryptage inconnu de tous, vous devrez aupréalablement l'avoir déposé auprès d'un organisme compétant et officiel, enfin que l'on puisse (si besoin) vous surveiller ! Eh oui, c'est ça notre pays de libertés ...

D'un coté, il semble légitime et normal de pouvoir surveiller les truants et autre "gibier de potence".

D'un autre coté, savoir que l'on peut "regarder" à loisirs vos documents c'est choquant.

Alors je vous donne un bon conseil, utilisez le courrier classique c'est plus prudent, si vous avez des documents confidentiels à faire parvenir.
Le courrier est heureusement non soumis aux mêmes règles, donc vous pouvez envoyez des documents cryptés à votre convenance.

    

[Maryse]

Hello!  

J'ai essayé de décrytper toutes vos infos... ..pour une néophyte, c'est pô évident!

La question que je me pose (mais je ne suis pas sûre d'avoir tout pigé) est la suivante: si j'utilise un message crypté et que le destinataire n'est pas équipé pour le lire (clef privée/clef publique), que ce passe-t-il?

La bise

Maryse

[picchou]

C'est comme pour entrer chez soi, il faut pas oublier sa CLEF !