You are here: Foswiki>Ateliers Web>GestionDesActivites>ActiviteSecurityParty>SecurityParty>PreparationListeCleSignee (20 Oct 2009, MarcSCHAEFER)EditAttach

Préparation de la liste de clés signées

Introduction

Ce document est relativement technique, mais est essentiel pour la transparence des actions de l'organisateur. Critiques bienvenues.

Etapes

  1. création d'un compte spécifique: sudo adduser secparty
  2. importation de toutes les clés publiques dans la keyring GPG de cet utilisateur
  3. exportation des clés avec leur empreinte dans un fichier texte

  1. ajout éventuel informations
    • clés non disponibles (empreintes + identité)
    • informations (voir ci-dessous)
    • hâchage md5 et sha1 de la liste des clés (voir ci-dessous)

Informations

A ajouter au mail:

Bonjour,

merci de participer à cet échange de clé Si vous êtes pressé, passez directement à la partie "CE QUE VOUS DEVEZ FAIRE MAINTENANT".

Quel est le problème que nous essayons de résoudre ? le problème de la confiance (trust), ou de l'attaque "middle-man". En bref, il ne suffit pas qu'un message soit signé avec la clé privée de quelqu'un, il faut aussi être sûr que cette clé est la bonne (correspond bien à une identité réelle).

Il y a plusieurs façons de s'en assurer, plus ou moins sûres:
  • téléphoner à la personne, reconnaître sa voix, et vérifier au téléphone l'empreinte SHA1 ou MD5 de sa clé (fingerprint)
  • vérifier, à l'aide d'un moyen d'identification officiel (passeport, carte d'identité, permis de conduire avec photo) que la personne est bien celle qu'elle prétend, puis vérifier l'empreinte de la clé
  • la personne vous envoie sa clé GPG signée avec une clé GPG à laquelle vous faites confiance ou récursivement.
  • la personne vous envoie sa clé GPG signée avec une clé SSL/TLS, elle même disposant d'un certificat signé par une autorité (CA) à laquelle vous faites confiance (dépendra du contexte!)

De manière à simplifier les procédures, nous allons renoncer à la vérification de CHACUNE des empreintes des clés par chacun, et remplacer cela par:
  1. la vérification par chacun de la signature de la liste des clés (peut se faire soit maintenant, soit sur place, vu que j'afficherai les diverses empreintes à l'écran). UNE LISTE DONT LA SIGNATURE N'EST PAS CORRECTE DOIT ETRE REJETEE!
  2. la vérification par chacun de SON empreinte (l'empreinte de SA clé telle qu'elle figure dans la liste et dans votre logiciel). En cas de problème, merci de me l'indiquer par e-mail et également sur place si j'oublie de le faire.

Nous n'aurons alors sur place plus qu'à chacun vérifier l'identité des personnes présentes (passeport, etc). Les personnes absentes ou dont l'empreinte ne correspond pas seront simplement ignorées. NE PAS LES SIGNER!

Résumé:

La situation avant:
  • personne ne connaissait ni l'adresse e-mail, ni l'identité, ni la clé publique des différents participants

La situation après la lecture de ce mail et de ces annexes
  • LA MEME (rien ne peut vous assurer que les personnes sont ce qu'elles prétendent! Nous devrons vérifier nos identités mutuellement vendredi!)

CE QUE VOUS DEVEZ FAIRE MAINTENANT

Annexé à ce mail vous trouverez un fichier "key-list.pdf" à imprimer et à apporter avec vous vendredi.

  1. commencez par vérifier que VOTRE clé est listée avec la bonne empreinte sur cette liste. Sinon biffez-la et contactez.moi au plus vite.

  1. ensuite, vérifiez que l'empreinte du fichier correspond aux empreintes ci-dessous. Au moins une (à choix via signature GPG, via empreinte MD5 ou via empreinte SHA1). Cela n'est pas suffisant, mais j'afficherai ces diverses empreintes et mon empreinte de clé GPG vendredi pour vérification.

  1. si l'empreinte est juste, écrivez-la sur la feuille (pour la vérifier vendredi!). Sinon détruisez la feuille et contactez-moi.

Calcul des empreintes et signature détachée GPG 

md5sum key-list.pdf 
sha1sum key-list.pdf 
gpg --detach-sign --armor key-list.pdf

Confirmation des empreintes 

md5sum key-list.pdf 
sha1sum key-list.pdf 

gpg --recv-key 7F76BFC9
gpg key-list.pdf.asc

Dans ce dernier cas, le message devrait être, si la clé numéro 7F76BFC9 a été importée d'un serveur de clé et que son empreinte est bien CD19 BFDB 1468 221F 68DE B0C0? A974 057B 7F76 BFC9, à vérifier le soir-même: 
gpg: Signature made Tue Oct 20 16:34:35 2009 CEST using DSA key ID 7F76BFC9
gpg: Good signature from "Marc SCHAEFER (gpg) <schaefer@alphanet.ch>"

NB: la vérification sera faite par projection des valeurs le soir-même.

-- MarcSCHAEFER - 20 Oct 2009
Edit | Attach | Print version | History: r1 | Backlinks | View wiki text | Edit wiki text | More topic actions
Topic revision: r1 - 20 Oct 2009, MarcSCHAEFER
 

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding Foswiki? Send feedback