Accueil | Upgrade | Système | Applications | Administration | Astuces | Contact | Liens  
 
Ubuntu 14.04 LTS Trusty

5.1 Encryption de fichiers et dossiers Gnome Encfs Manager

cryptkeeper

Bien que Cryptkeeper figure dans la liste des programmes disponibles ce logiciel n'est plus opérationnel depuis 13.10. En remplacement nous avons Gnome Encfs Manager qui par ailleurs offre plus de possibilités. La technique de ce système se base sur deux dossiers l'un encrypté et l'autre en clair. Le dossier encrypté (ici /home/lucien/.Crypto) sauvegarde les fichiers et dossiers et les restitue au dossier en clair (/home/lucien/Encfs/crypto) pour un temps prédéterminé et sur base d'une autorisation contrôlée par mot de passe.

1 - Installer le logiciel via le dépôt ppa:gencfsm :
sudo add-apt-repository ppa:gencfsm
sudo apt-get update
sudo apt-get install gnome-encfs-manager   

2 - Créer un dossier qui contiendra les fichiers à encrypter en mode caché soit :
/home/lucien/.Crypto

3 - Configurer la cachette :
- Aller à Monter le gestionnaire→Plus→et indiquer le chemin de /home/lucien/.Crypto
- Valider

4 - Paramétrer :
- Aller à Configurer la cachette et valider les options suivantes :
- Démonter si inactif après 5 min
- Ouvrir le gestionnaire de fichiers
- Monter le menu dans l'indicateur
   
5 - Pour supprimer un dossier ainsi créé, cliquer sur Monter le gestionnaire→Enlever la cachette→Confirmer et valider

Gencfsm


5.2 Carte d'identité électronique belge Eid beid

beidCette carte d'identité électronique contient des certificats d'authentication et de signature ainsi que la clé privée y associée. Deux types de lecteur sont sur le marché selon les pilotes choisis par les constructeurs à savoir : les modèles ICC et CCID.


1 - Installation des paquets en mode terminal :
- Pour le lecteur ACR38-U (ICC)
- sudo apt-get install libccid pcscd libxerces-c3.1 libacr38u libacr38ucontrol0
- Redémarrer le PC

- Pour le lecteur Cherry ST-1044B et bien d'autres (CCID)
- sudo apt-get install libccid pcscd libxerces-c3.1
- Redémarrer le PC

- Télécharger les logiciels de sécurité beid à l'adresse suivante :

- Installer dans l'ordre cité ci-dessus ces deux logiciels eid d'abord le middleware et ensuite le viewer avec Gdebi

- Installer la suite Openjdk :
sudo apt-get install default-jre
sudo apt-get install icedtea-6-plugin

- Le viewer fonctionne exclusivement avec java OpenJDK (icedtea) et non Oracle-java 6 ou 7. Si oracle-java n'est pas installé sur le PC alors pas de problème mais dans le cas contraire lors de chaque mise à jour d'Oracle-java celui-ci prendra la pas sur Openjdk (machine java par défaut) et la carte ne pourra plus être lue. Pour corriger, deux solutions :

1 - La meilleur solution : modifier le script de lancement de l'application pour imposer le lancement du viewer sous openjdk :
sudo gedit /usr/bin/eid-viewer
Modifier l'exec comme suite pour ubuntu 64 bits :
exec /usr/lib/jvm/java-6-openjdk-amd64/jre/bin/java -jar /user/share/eid-viewer/eid-viewer.jar

ou pour ubuntu 32 bits
exec /usr/lib/jvm/java-6-openjdk-i386/jre/bin/java -jar /user/share/eid-viewer/eid-viewer.jar

2 - Remettre openjdk comme machine java par défaut :
- Liste des machines java disponibles, taper dans un terminal :
update-java-alternatives --list
- Rectifier (exemple pour 64 bits) :
sudo update-java-alternatives -s java-1.6.0-openjdk-amd64

2 - Intégration des certificats dans Firefox 28
- Autoriser les échanges SSL.
Taper dans la ligne d'adressage : about:config et dans la zone de recherche :
- security.ssl.allow......... etc... et changer false en true
- Visualisation des certificats et activation des applications
- Insérer la carte dans le lecteur
- Aller à Édition/Préférences/Avancé/Chiffrement/Afficher les certificats/Onglet :Vos certificats : (signature et authentication)
- Aller à Édition/Préférences/Avancé/Chiffrement/Afficher les certificats/Onglet :Autorité :
- Sélectionner Belgium Root CA et cliquer sur Modifier
- v Ce certificat peut identifier des sites web
- v Ce certificat .......des utilisateurs de courrier....
- v Ce certificat peut identifier .......de logiciel
- OK
- OK - Fermer

3 - Intégration dans Chromium
Les applications gouvernementales peuvent être accédées via chromium (Tax-on-web,...) à l'exception d'Irisbox.
Taper dans un terminal :
sudo apt-get install libnss3-tools
cd
modutil -dbdir sql:.pki/nssdb/ -add "Belgium eID" -libfile /usr/lib/libbeidpkcs11.so   

Test de l’installation :
modutil -dbdir sql:.pki/nssdb/ -list

la réponse doit être "Belgium eid"

4 - Tests avec des applications gouvernementales :
- http://www.test.eid.belgium.be/

- Consultation de votre dossier au Registre National. Carte insérée sélectionner l'url suivante : https://www.mondossier.rrn.fgov.be
- Entrer le code PIN de la carte etc......

- Tax-on-web. Carte insérée sélectionner l'url suivante :
http://taxonweb.be
- Authentification par carte d'identité
- Cliquer sur "Login"
- Entrer le PIN code de la carte et c'est parti...

- Accéder à la demande de documents en région Bruxelloise irisbox (irisnet).  Pour Irisbox, le test de vérification ne passe pas mais l'application est accessible donc passer directement à Continuer :
http://irisbox.irisnet.be
       
5 - Intégration des certificats dans Thunderbird 24beid1
- Visualisation des certificats et activation des applications
- Insérer la carte dans le lecteur
- Aller à Édition→Préférences→Avancé→Chiffrement→Afficher les certificats→Onglet :
- Vos certificats : (signature et authentication)
- Autorités :
- Sélectionner Belgium Root CA et cliquer sur Modifier
- v Ce certificat peut identifier des sites web
- v Ce certificat .......des utilisateurs de courrier....
- v Ce certificat peut identifier .......de logiciel
- OK - Fermer

- Configurer le ou les comptes pour lesquels la signature électronique est souhaitée. Aller à Edition→Paramètres de compte→Sécurité→Signature et sélectionner un certificat. Choisir le certificat de signature et valider. Comme il n'y a pas de certificat de chiffrement répondre "Annuler" à la demande de configurer un certificat de chiffrement.

- Application de la signature, rédiger un message et ensuite aller à Sécurité ou S/MIME dans la barre des menus et cocher "Signer numériquement ce message" Une petite icône rouge/blanche s'affiche en bas à droite de la fenêtre.
L'invite d'entrer le code PIN de la carte s'afficher directement après avoir cliqué sur "Envoyer".
La première fois que l'opération est effectuée, il peut y avoir un message d'erreur. Dans ce cas, recommencer l'envoi et tout ira bien par la suite
   

5.3 Chiffrement asymétrique de fichiers  Seahorse

seahorse

La carte d'identité belge ne possède pas de certificat d'encryption et d'autre part l'adresse du détenteur ne figure pas sur la carte, raison pour laquelle la commune délivre en complément une feuille A4 avec les informations manquantes à prendre en cas de voyage à l'étranger !! Son utilisation se limite à une identification forte, l'authentification physique du détenteur par rapport au certificat généré étant réalisée par une autorité légale.
L'encryptage/décryptage asymétrique se base sur l'algorithme RSA qui crée deux clés l'une publique et l'autre privée de telle sorte qu'un fichier encrypté avec l'une peut être décrypté avec l'autre. Tous les logiciels Linux en la matière se basent sur GnuPG (en ligne de commande). Seahorse est l'interface graphique la mieux intégrée dans Gnome (Nautilus et Gedit).

Le principe est assez simple : Prenons le message M1 à envoyer de A vers B. B recevra 3 paquets, en effet :

A génère les 3 paquets à partir de M1:
1 M1 est haché par un algorithme (par exemple SHA) ce qui donne lieu à un Résumé
2 Le Résumé est encrypté avec la clé privée de A (paquet2) (=signature)
3 A crée un nombre aléatoire qui sert de clé pour encrypter M1 (paquet1)
4 A encrypte le nombre aléatoire avec la clé publique de B (paquet3)

B recrée M1, vérifie l'origine de M1 et son intégrité en partant des 3 paquets reçus:
1 B décrypte le nombre aléatoire (paquet3) avec sa clé privée
2 Avec le nombre aléatoire B décrypte le message M1
3 B hache M1 avec l'algorithme (par exemple SHA) et donne lieu à un Résumé
4 B décrypte le paquet2 avec la clé publique de A soit le Résumé créé par A
5 B compare les deux résumés et s'ils sont égaux, M1 est intègre et vient bien de A
 
Les clés publiques sont généralement enregistrées dans des serveurs comme hkp://keyserver.ubuntu.com, dans des serveurs ldap ou échangées par mail entre A et B.

seahorse

1 - Seahorse est installé d'office dans Ubuntu exception faite du plugin pour incorporer les commandes de chiffrement et de signature dans le menu de Nautilus. Installer le plugin :
Installer via Synaptic le plugin seahorse-nautilus

2 - Créer une paire de clés :
- Fichier→Nouveau→Clé PGP→Continuer
- Nom complet : Lucien xyz
- Adresse électronique: votrenom@skynet.be
- Commentaire : xyz
- Créer :
- Mot de passe et Confirmation
Lucien xyz  | votrenom@skynet.be | PW : xyz | 12345678 (identifiant clé)
- Valider : patienter : l'opération peut prendre plusieurs minutes
   
3 - Déterminer les serveurs de clés à utiliser :
- Edition→Préférences→Onglet Serveurs de clés :
- Publier les clés sur : dans le menu déroulant
- Hôte : hkp://keyserver.ubuntu.com:11371

4 - Récupérer les clés publiques de vos correspondants :
- Distant→Chercher des clés distantes :
- Chercher des clés contenant :
- adresse mail (le plus courant) ou
- nom de la clé (Lucien xyz) ou
- l'identifiant de la clé : 12345678 (8 caractères hexa par exemple)
- Fixer le ou les emplacements de recherche
- Importer
- Attribuer un degré de confiance à la clé, CG sur la clé→Propriétés→ :
→ Onglet Détails et vérifier l'empreinte avec votre correspondant (téléphone, fichier etc..)  Si OK sélectionner "Complète" ou autre dans l'indication de confiance.
→Onglet Confiance : Signer ou non la clé
- mention : Complète
- v ou non : Les autres peuvent voir cette signature
- Mot de passe de votre clé Privée

5 - Publier la clé publique créée en 2 ci-dessus
- CG sur la clé à publier dans "Mes clés personnelles"
- Distant→Synchroniser et publier des clés→Serveurs de clés
- Publier les clés sur : sélectionner : hkp://keyserver.ubuntu.com:11371
- Vérifier en opérant une recherche sur ce serveur comme mentionné en 4 ci-dessus

6 - Echanger des clés publiques sous forme de fichier ASCII
- Exporter sa clé personnelle :
- CG sur la clé→Fichier→Exporter...→Choix d'un emplacement.   fichierxy.asc
- Importer une clé publique :
- Fichier→Importer...→Sélectionner un fichierxy.asc→Ouvrir
   
7 - Sauvegarder et restaurer sa clé personnelle (privée et publique)
- Sauvegarder   
- Créer un dossier pour recevoir la sauvegarde et le nommer :
backup_cles_privees 
- Aller à /home/lucien/.gnupg et copier les deux fichiers : pubring.gpg et secring.gpg dans
backup_cles_privees
- Compresser le dossier en backup_cles_privees.tar.gz 
- CONSERVER CE FICHIER DANS UN EMPLACEMENT SECRET
- Restaurer :
- Décompresser le fichier compressé et le placer sur le bureau
- Importer d'abord les clés publiques : pubring.gpg et leur donner l'indice de confiance :       Complète pour la ou les clés dont vous détenez les clés privées (voir 6 ci-dessus)
- Importer ensuite les clés privées  secring.gpg de la même façon

8 - Exploitation
Chiffrer
- CD sur le fichier à encrypter→Chiffrer→Cocher la ou les clés publiques du ou des destinataires
- Signer les messages comme : Lucien xyz (par ex)
- Taper le mot de passe et valider

Déchiffrer :
- CD sur le fichier à décrypter→Ouvrir avec "Déchiffrer le fichier" et fixer la destination et le nom du fichier décrypté
        - Enregistrer et taper le mot de passe

9 - Révocation d'une clé
Dès la création d'une nouvelle paire de clés, il est plus que sage de créer un certificat de révocation qui vous permettra de l'annuler si elle n'est plus utilisée (perte de mot de passe, changement d'adresse mail etc..)
Créer un certificat de révocation :
- gpg --output revoke.asc --gen-revoke 12344678    (Identifiant de la clé)
- Répondre aux questions
- Entrer le mot de passe
- Le certificat se trouve dans : /home/lucien/revoke.asc
Révoquer de la clé :
- Lancer seahorse : Fichier/Importer/Chemin :/home/lucien/revoke.asc
- Aller à Distant/Synchroniser et publier des clés
- La clé révoquée est barrée et le certificat n'est plus disponible

5.4 Signature et chiffrement des courriels Thunderbird Enigmail

thunderbird
           
L'envoi et la réception de messages ultra-confidentiels sont garantis dans Thunderbird par une procédure de signature et chiffrement gérée par l'extension Enigmail. Au préalable le paquet gnupg doit être installé ce qui est le cas pour Ubuntu. Il est également souhaitable d'installer au préalable Seahorse et de créer ses clés via ce logiciel c'est plus rationnel étant donné que l'encryption de fichiers à joindre à un e'mail est plus souvent demandée que l'encryption du corps du message.
La procédure décrite ci-dessous concerne Thunderbird

1 - Installer via Synaptic les paquet enigmail et enigmail-locale-fr

2 - Paramétrer : aller à Edition→Paramètres des comptes→OpenPGP :
- v Activer le support OpenPGP (Enigmail) pour cette identité
- v Utiliser un identifiant de clef particulier et choisir une clef dans Seahorse
- OK

3 - Lors de la première écriture d'un message un assistant OpenPGP s'ouvre pour définir les usages d'utilisation souhaités : Répondre aux questions

4 - Exploitation :
Envoyer un message chiffré :
- Créer le message
- Cliquer sur OpenPGP→Valider "Chiffrer le message" et Envoyer
- Choisr la clé .....
Réception d'un message
- Normal plus une invitation à taper le mot de passe

5.5 Signature et chiffrement des Webmails (Gmail....) FireGPG
gmail firefox

Le courriel des applications webmails peut être chiffré en composant simplement le mail avec un éditeur de texte et en le chiffrant avec Seahorse avant de le coller dans le corps du message. Toutefois, il existe une application FireGPG qui ajoute un point d'entrée dans le menu de Firefox (Outils→FireGPG) pour effectuer directement le chiffrement dans le message même. Prérequis : gnupg. Il est à noter que ce plugin de Firefox permet d'effectuer d'autres opérations de chiffrement liées à Firefox.
 
1 - Installation :
mkdir ~/.git
cd ~/.git
git clone git://github.com/bit/firegpg.git
cd ~/.mozilla/firefox/votreidentifiant.default/extensions/
echo "~/.git/firegpg" > firegpg@firegpg.team

2 - Redémarrer l'application Firefox. FireGPG est visible dans Outils

3 - Exploitation : Chiffrer : Aller à Gmail, composer le message :
- Sélectionner le texte avec la souris
- Cliquer droit, une fenêtre s'ouvre et choisir FireGPG→Signer et Chiffrer
- Une fenêtre s'ouvre, sélectionner la clé publique du destinataire→OK
- Sélectionner votre clé privée si vous en avez plus d'une→OK
- Entrer le mot de passe de la clé privée
- Vous obtenez le résultat dans un fichier→Cliquer sur Copier dans le presse-papier
- Coller dans le corps du mail

4 - Exploitation : Déchiffrer : idem dans le sens inverse.....



Oganigramme de synthèse
Synthèse


Ce site est réalisé sous Linux - distribution = Ubuntu , éditeur web = Kompozer,
file transfert = Gftp, traitement des images = Gimp et diagrammes vectoriels = Dia