Tutorial GPG4Win

Introduction

GPG4Win est un logiciel intégrant GPG (ligne de commande) et une interface graphique GUI et plusieurs plugins pour divers logiciels (p.ex mail), le tout ne fonctionnant que sous système propriétaire Microsoft Windows.

Installation

• aller sur http://www.gpg4win.org

• activer le lien "Download"

• activer le lien en haut (Gpg4win 2.0.1), enregistrer le fichier.

• souris bouton de droite sur le fichier téléchargé, ouvrir le dossier contenant le fichier

• bouton de droite sur le fichier, Scan for viruses (par acquit de conscience!)

• double-click sur le fichier, Exécuter

• installer par défaut.

Lancement du programme et documentation

Le programme se lance via

• démarrer
  • Tous les programmes
    • Gpg4win
      • la documentation est sous Guides
      • Kleopatra est le nouveau programme de gestion des trousseaux de clés (recommandé)
      • GPA est l'ancien système de gestion de clés (GNU Privacy Assistant)

Il faudra lire la documentation pour intégrer la signature électronique aux mails, via des plugins.

Création d'une clé GPG

Les clés GPG sont utilisés notamment pour la signature électronique et le chiffrement au sein d'un réseau de confiance (sans autorité de certification centralisée).

Pour créer une paire de clés privées/publiques:

1. Lancer Kleopatra.
2. File -> New Certificate
3. Create a personal OpenGPG? key pair
4. Entrez les informations demandées (nom, e-mail, commentaire optionnel); faire Next
5. Faire Create Key
6. Si nécessaire, taper n'importe quoi dans le champ proposé (pour créer de l'aléatoire)
7. Entrer une Passphrase dans la fenêtre proposée (qui protégera votre clé privée)

A ce stade, on peut

• créer une copie
• envoyer la clé publique par e-mail
• déposer la clé publique sur un serveur de clés

Recommandé (pour participer à notre signature collective et donc augmenter votre réseau de confiance)

• Exporter le certificat (clic-droit) et me l'envoyer par e-mail

• il est recommandé
  • de mettre une véritable passphrase (mot de passe long) sur votre clé privée
  • de ne jamais stocker cette clé sur un réseau
  • de créer un certificat de révocation immédiatement, et de le stocker séparément (p.ex. disquette, clé USB, etc)
    • un certificat de révocation permet d'annuler la clé, si elle devait passer en de mauvaises mains ou être compromise
    • pour ce faire, lancer un terminal (CMD.EXE)
      • taper: gpg --gen-revoke 202d8e2c (où 202d8e2c est l'identification -- ou le nom -- de la clé)
        • réponses recommandées: 0, puis "préparé à l'avance"
        • copier le certificat de révocation ainsi généré quelque part (endroit sûr!)
  • de stocker cette clé privée sur un deuxième média (Export secret key)

Création d'une clé X.509

Les clés X.509 peuvent être intégrés dans un arbre de confiance basés sur des autorités de certifications centrales (CA). Kleopatra permet également de créer de telles clés et certificats, de manière similaire.

Utilisation des outils

Consulter le manuel installé.

Commentaires

• installer n'importe quel logiciel sur un système Microsoft pose toujours le problème du risque d'espions / trojans. C'est pour cela que le site propose une somme de contrôle du logiciel. Cela est cependant largement moins sûr que par exemple les signatures électroniques proposées dans les distributions GNU/Linux, surtout que le site gpg4win n'est pas chiffré/signé SSL. Une fois installé, il est possible de vérifier la signature électronique, mais c'est un peu le problème de la poule et de l'oeuf!

References

• http://www.washad.org/docs/How%20to%20Use%20GPG4Win.pdf

-- MarcSCHAEFER - 12 Oct 2009