Discussion :

[callele50]

Bonjour, mon problème est très simple en apparence, je viens de chiffrer un fichier par gpg avec une clé de chiffrement symétrique qui ne veut pas s'oublier, c'est à dire que dès que je veux le décrypter il se fait automatiquement sans me demander de clé, j'ai tenter une fermeture de session sans réussite, puis j'ai effacer la mémoire ram à l'aide de bleachbit en sudo, regarder dans mon trousseau de clé sans rien trouver, je n'ai pas essayer de le faire par ligne de commande ou même vider la swap, je préfère demander votre avis.

Comment peut on faire oublier sa clé de chiffrement dans l'immédiat et d'une manière sécurisée ?

[mm_71]

Avec gnome-disk vérifier que l'option déverrouiller au démarrage n'est pas activée.

[callele50]

je ne vois pas cette option sur gnome-disks et je ne vois pas quelle est le rapport avec gpg pouvez vous m'éclairez ?

[mm_71]

je ne vois pas cette option sur gnome-disks et je ne vois pas quelle est le rapport avec gpg pouvez vous m'éclairez ?

Oups ! Erreur de ma part, ma réponse valait pour le chiffrement d'une partition. Désolé.

[Flodelarab]

Bonjour

L'intérêt de gpg est l'asymétrie des clés.
Donc voir une question avec une clé symétrique m'étonne déjà.

Fais-tu la différence entre "codé" et "chiffré" ?
Comment utilises-tu gpg ? En ligne de commande ?
Comment sais-tu que la clé n'a pas disparu ?
Que donne la commande suivante ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

gpg -k

Bref. Apporte des compléments, s'il te plaît.

[callele50]

Bonjour,
je parle de symétrie car j'ai crypter un fichier avec clé au hasard et non pas avec une clé publique,
je ne fais pas vraiment la différence entre codé et chiffré bien qu'il soit synonyme même s'ils ont chacun leur propre définition je n'arrive pas vraiment à faire la différence,
j'utilise gpg par ligne de commande, ce que je voulais dire c'est que dès lors que le fichier est déchiffrer une fois, si je supprime le fichier déchiffrer et que je refait le déchiffrement il ne me demande plus la clé de déchiffrement même après réouverture de session.
La commande me donne les identifiants des clés publiques.

[Flodelarab]

je ne fais pas vraiment la différence entre codé et chiffré bien qu'il soit synonyme

Ils ne sont pas synonymes.
Le codage est juste une traduction technique. Quand ta voix passe sur les fils électriques, le signal est codé. Toute personne récupérant le signal codé peut avoir le message initial.
Le chiffrement est un coffre-fort. Si tu laisses le message chiffré en place publique, personne n'atteindra l'information.

Il est important de saisir la différence. C'est la sécurité.

Quand tu tapes la commande suivante, le message est codé :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
$ echo -n "Maman va au marché" |base64 >fic
$ cat fic
TWFtYW4gdmEgYXUgbWFyY2jDqQ==

Quelqu'un qui ne connaît pas la cryptographie dira que c'est protégé.
Alors que pas du tout :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
$ base64 -d fic
Maman va au marché

Aucun mot de passe, aucune clé (ni symétrique, ni asymétrique).

La commande me donne les identifiants des clés publiques.

Donc là, on est dans l'asymétrie.
D'où vient la clé symétrique dont tu parles ?
Comment tu la rentres ?
Quel algorithme ?
As-tu un mot de passe sur la clé ?
Un mot de passe lors du chiffrement ?

D'abord, je voudrais m'assurer qu'il y a bien chiffrement et non codage.
Puis, nous pourrons identifier la clé.
Puis le fichier qui l'indique.
Et le supprimer ou modifier.

[callele50]

Merci pour cette explication,
la clé symétrique c'est moi qui l'est choisi, un mot de passe que j'ai choisie,
je la rentre en faisant la commande suivante
gpg -o monfichier.zip -d monfichier.zip.gpg

L'algorithme qu'il me met de base est l'aes256
Je n'ai aucun mot de passe de mit sur cette clé, c'est une simple clé.

Aucun fichier n'est liée à cette clé comme les clé que l'on génère.

J’espère avoir été assez précis.

[Flodelarab]

Au temps pour moi.
La plus-value de gpg n'est pas le chiffrement symétrique, comme j'ai commencé par dire.
En fait, la clé symétrique est dérivée de la passphrase ou mot-de-passe.

En clair, ta clé, c'est ton mot-de-passe. (à quelques transformations déterministes près).


Tu ne la détruiras donc pas.

[callele50]

Donc il n'y a pas moyen de faire oubliée la clé juste après ?
Obligée de redémarrer le pc ?

[Flodelarab]

Donc il n'y a pas moyen de faire oubliée la clé juste après ?

Tu ne comprends pas : la clé n'existe que dans ta tête puisque c'est le mot de passe !
gpg prend le mot-de-passe que tu donnes, lui fait subir des transformations systématiques, pour que ça ressemble à une clé, chiffre ton message avec cette clé calculée, et te donne le fichier obtenu.
Et la même chose à l'inverse pour le déchiffrement.
Si tu donnes un mauvais mot de passe, gpg va le transformer en mauvaise clé et n'arrivera pas à déchiffrer le message puisque la clé ne correspond pas.

Obligée de redémarrer le pc ?

Redémarrer le pc ne changera pas le mot-de-passe qui débloque le message chiffré.

Et entre nous, redémarrer est un réflexe douteux de windowsien.

[callele50]

Je l'ai bien compris mais j'aimerais qu'une fois que je mette cette bonne clé, il me la redemande la prochaine fois que j'ai envie de déchiffré le fichier mais il ne me la demande pas, il le déchiffre automatiquement sans demande de clé de déchiffrement, il n'y a que quand je redémarre l'ordi qu'il me la demande, sinon il l'enregistre.

Supposons que je déchiffre une fois le fichier et que je supprime le fichier déchiffrer par la suite quand je n'en n'ai plus besoin, il suffirait qu'une personne entre dans ma session et déchiffre le fichier sans demande de mot de passe. C'est ce que me fait gpg, il enregistre la clé.

[Flodelarab]

Bon ! Une enquête a été nécessaire.

Je commençais à faire un exemple en console quand gpg a arrêté de demander le mot de passe.

Je comprends mieux ta question. Le logiciel gpg met les passphrases en cache ! Bonjour la faille de sécurité.
Il retient l'information pour un certain nombre de secondes.

Et le cache est géré par un gpg-agent devenu obligatoire.
Pour se débarrasser de la mise en cache, tu peux changer la configuration en écrivant ceci dans le fichier ~/.gnupg/gpg-agent.conf :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
default-cache-ttl 0
max-cache-ttl 0

0 est le nombre de secondes de maintien de mémoire cache, apparemment.
Si le fichier n'existe pas, crée-le.

Enfin, pour que cette nouvelle configuration prenne effet, il faut redémarrer ... pas la machine !
Cette simple commande suffit :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

gpg-connect-agent reloadagent /bye

Et le logiciel a le comportement attendu. (définitivement)

[callele50]

Merci à toi Flodelarab, j'ai effectivement créée le fichier avec la commande qui suit, et maintenant il ne retient plus les clés.

Problème résolu !!!!