[TUTO] GPG, Don’t Panic, protégez vous

Hello Hello,

En ce début de semaine, si vous avez suivi l’actu tech, vous n’avez pas loupé l’affaire du moment. En effet une faille sensible fait pas mal parler d’elle, concernant les serveurs de clé GPG.
Le protocole est conçu de manière, à ce qu’une clef émise vers un serveur ne puisse être révoqué, seulement ses infos pourront être mises à jours. Ce qui rend les serveurs sensibles à des attaques par empoisonnement.

Si vous voulez comprendre plus en détail avec toute les sources comprises, rendez vous sur ce lien en français : Pourquoi une attaque relativement simple à mettre en oeuvre fait vaciller la communauté OpenPGP ? | blog Bearstech

Sinon concrètement, que faire ?

Afin d’être un peu plus serein, on va créer si celui-ci n’existe pas le fichier “dirmngr.conf” dans le répertoire :

$HOME/.gnupg/

nano $HOME/.gnupg/dirmngr.conf

Dans ce fichier, on y ajoute la ligne suivante :

keyserver hkps://keys.openpgp.org

Maintenant vérifions que la config soit bien prise en compte :
dirmngr

dirmngr[11406.0]: certificats chargés de façon permanente : 129
dirmngr[11406.0]:       certificats actuellement en cache : 0
dirmngr[11406.0]:            trusted certificates: 129 (128,0,0,1)
# Home: /home/USER/.gnupg
# Config: /home/USER/.gnupg/dirmngr.conf
OK Dirmngr 2.2.12 at your service

Pour finir, il faut aussi s’assurer que le fichier de config GPG (sur Debian, chez moi il s’appelle “gpg-agent.conf”) ne contienne aucune ligne commençant par “keyserver”.

Voila, normalement c’est tout bon, et vous pouvez envoyer/recevoir des clefs, en toute “confiance”.

Attention tout de même à Enigmail si vous l’utilisez. Pour les distributions, j’ose espérer qu’elles prennent le problème en compte et que sa résolution soit transparente pour nous utilisateur.

Dirmngr, c’est quoi ?

Dirmngr est utilisé pour l’accès au réseau par gpg, gpgsm et dirmngr-client entre autres outils. À moins que ce paquet ne soit installé, les composants de la suite GnuPG essayant d’interagir avec le réseau échoueront.

Voila, si cette petite procédure vous est utile, tant mieux ! 🙂

Si vous voulez réagir, ou partager un complément avec moi sur ce sujet, n’hésitez surtout PAS !!
Merci 🙂

@++

 


https://dkg.fifthhorseman.net/blog/openpgp-certificate-flooding.html

https://gist.github.com/rjhansen/67ab921ffb4084c865b3618d6955275f

https://packages.debian.org/fr/sid/dirmngr

3 thoughts on “[TUTO] GPG, Don’t Panic, protégez vous

  1. Bonjour,

    chez moi j’ai :

    $  dirmngr
    dirmngr[21390.0]: error opening ‘/home/xxxxxx/.gnupg/dirmngr_ldapservers.conf’: No such file or directory
    dirmngr[21390.0]: permanently loaded certificates: 0
    dirmngr[21390.0]: runtime cached certificates: 0
    dirmngr[21390.0]: failed to open cache dir file ‘/home/xxxxx/.gnupg/dirmngr-cache.d/DIR.txt’: No such file or directory
    dirmngr[21390.0]: creating directory ‘/home/xxxxxx/.gnupg/dirmngr-cache.d’
    dirmngr[21390.0]: new cache dir file ‘/home/xxxxxx/.gnupg/dirmngr-cache.d/DIR.txt’ created
    # Home: ~/.gnupg
    # Config: /home/xxxxxx/.gnupg/dirmngr.conf
    OK Dirmngr 2.1.11 at your service

    Une idée de pourquoi j’ai :
    dirmngr[21390.0]: error opening ‘/home/xxxxxx/.gnupg/dirmngr_ldapservers.conf’: No such file or directory

    Merci.

    1. Hello,
      C’est normal, on peut aussi utiliser dirmngr (je ne peux pas te dire comment), avec un serveur LDAP. Ce n’est pas ton cas visiblement ^^.
      Je suppose que c’est utilisé en entreprise/associations/coworking.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

5 × 3 =