Share
Ceci est le prochain tutoriel d'une série consacrée au cryptage de votre courrier électronique. Dans le premier tutoriel, nous avons présenté les concepts généraux du cryptage et comment les utiliser pour sécuriser et authentifier nos emails. Dans le deuxième tutoriel, je vous ai expliqué comment installer un logiciel de chiffrement sur votre ordinateur et commencer à envoyer vos premiers messages. nous avons utilisé GPGTools pour Mac OS X, une intégration de GnuPG open source.
Dans ce didacticiel, je vais vous guider dans l'utilisation d'un nouveau service qui renforce le Web of Trust, en créant un journal d'audit sophistiqué d'authentification pour la validité des clés publiques..
En plus de lire les épisodes précédents, vous voudrez peut-être consulter le Guide de légitime défense pour la surveillance de la Electronic Frontier Foundation et son explicateur sur la vérification des clés..
Dans les épisodes à venir, nous explorerons le cryptage de la messagerie électronique sur navigateur, puis nous changerons de sujet pour crypter vos activités Internet à l'aide d'un VPN. Enfin, dans le cadre de la série sur la gestion de vos actifs numériques après votre décès, nous utiliserons ce que nous avons appris pour créer un cache sécurisé d'informations importantes pour vos descendants en cas d'urgence..
Juste un rappel, je participe régulièrement aux discussions ci-dessous. Si vous avez une question ou une suggestion de sujet, veuillez poster un commentaire ci-dessous. Vous pouvez également me suivre sur Twitter @reifman ou m'envoyer un email directement.
Dès le début, l'efficacité de PGP est limitée par le Web of Trust. Etes-vous sûr que la personne qui vous a envoyé un message détient réellement la clé privée qui l'a signé? Ou êtes-vous certain que le message que vous avez chiffré avec la clé publique de quelqu'un n'est en réalité pas un imposteur? Selon l'importance de la confidentialité et de la validité de vos messages, ces questions peuvent littéralement signifier la vie ou la mort.
Keybase est une tentative de créer un réseau de confiance sur nos comptes sociaux et les sites Web que nous hébergeons. C'est un service gratuit créé par deux des co-fondateurs de OKCupid, Chris Coyne et Max Krohn..
L’idée de base de Keybase est que, si vous avez l’assurance que moi, Jeff Reifman, je contrôle mon compte Twitter, mon compte GitHub et mes sites Web personnels et de conseil, vous pouvez faire confiance à la clé publique authentifiée par les publications effectuées sur ces comptes et sites Web. En fait, si vous cliquez sur les liens précédents, il s’agit de publications sur tous ces lieux (ou entrées DNS) qui permettent d’authentifier ma clé publique hébergée avec Keybase..
Keybase précise en fait sa mise en œuvre du Web of Trust pour chacun. Voici un exemple de la raison pour laquelle vous devriez faire confiance à ma clé publique Keybase avec un enregistrement DNS TXT pour mon site Web, JeffReifman.com.
Essentiellement, j'ai utilisé ma clé privée pour signer mon empreinte digitale de clé publique..
Ensuite, Keybase a créé un hachage de cette signature et m'a demandé de publier un enregistrement DNS TXT pour JeffReifman.com..
Vous pouvez vérifier l'enregistrement DNS avec l'outil de recherche de votre choix..
Keybase m'a également demandé de tweeter un hash similaire à mon compte Twitter @reifman.
Si mes sites Web ou mon compte Twitter sont piratés ou compromis, je peux révoquer ces vérifications via le site Keybase. De même, d’autres utilisateurs de Keybase le découvriront lorsqu’ils essaieront de chiffrer des messages pour moi et en informeront Keybase..
Si vous êtes un dénonciateur et que vous souhaitez m'envoyer des documents confidentiels (vous travaillez peut-être au ministère du Revenu de l'État de Washington et vous êtes obligé de m'envoyer par courrier électronique le montant des redevances de Microsoft pour la période 1991-2012), vous pouvez utiliser Tor pour créer une adresse électronique anonyme. et chiffrez-moi un message en utilisant la clé publique validée sur le profil Keybase de Jeff Reifman:
Bien sûr, vous ne feriez jamais cela, car cela pourrait être considéré comme illégal et gênant pour Microsoft, à moins d'être un dénonciateur..
Pour l'instant, Keybase est principalement une invitation, mais au moment où cet épisode est publié, il est probablement disponible au public. Actuellement, il existe une file d'attente d'inscription pour la version bêta:
Une fois inscrit, vous devez importer ou générer une paire de clés publique / privée et vérifier vos comptes sociaux et vos sites Web..
Tout d'abord, nous ajoutons une clé publique, alors j'ai choisi J'ai besoin d'une clé publique:
Ensuite, Keybase utilise les mathématiques, mathématiques complexes, pour générer une paire de clés publique / privée:
Voir, beaucoup de maths:
Une fois terminé, il vous propose également d’héberger votre clé privée. En fonction du niveau de menace avec lequel vous vivez, cela vous convient peut-être ou vous pouvez exporter votre clé privée sur un lecteur USB..
Voici mon profil Keybase maintenant avec mon empreinte digitale de clé publique. Toute personne souhaitant m'envoyer un message crypté peut obtenir ma clé publique à l'adresse https://keybase.io/jeffreifman:
Mais bien sûr, ils n’auraient aucune raison de croire que c’est moi. Nous devons utiliser Keybase pour vérifier notre clé publique avec mes comptes sociaux et sites Web..
Commençons par mon compte Twitter.
Keybase vous demandera le nom de mon compte Twitter. Je suis @reifman.
Ensuite, Keybase utilisera votre phrase secrète pour signer votre identité pour Twitter:
Lorsque vous êtes prêt, il vous sera demandé de tweeter ce hachage signé:
Voici à quoi ressemble le tweet sur votre compte:
Je facilite la recherche de ma clé publique en créant un lien vers mon profil de base de clés sur mon profil Twitter..
Une fois que Keybase a vérifié que j'avais tweeté, il affiche cette vérification sur mon profil:
Maintenant, vérifions mon compte GitHub. Keybase vous demandera de publier un fichier en tant que GistHub Gist:
Voici la preuve qu'ils vous demandent de poster (la vôtre serait différente):
### Keybase proof Je déclare par la présente: * Je suis un nuage de journaux sur github. * Je suis jeffreifman (https://keybase.io/jeffreifman) sur Keybase. * J'ai une clé publique dont l'empreinte digitale est 4D3E 6456 A60E 3C14 D960 3FE2 6011 E858 FC97 F62D Pour le réclamer, je signe cet objet: "json " body ": " key ": " empreinte digitale ":" 4d3e6456a60e3c14d9603fb9d8858d2 "Héros de la chanson" ":" github "," nom d'utilisateur ":" newscloud "," type ":" web_service_binding "," version ": 1," ctime ": 1427496926," expire_in ": 1 "seqno": 3, "tag": "signature" "avec la clé [4D3E 6456 A60E 3C14 D960 3FE2 6011 E858 FC97 F62D] (https://keybase.io/jeffreifman), donnant la signature:" --- --BEGIN PGP MESSAGE ----- Version: Keybase OpenPGP v2.0.8 Commentaire: https://keybase.io/crypto yMZA iFJSEKEXNyIs0KjE0qV2xi6C5Geb9 nvdl5puvP26VKzai / mPa0RtrcFnE6xf7Qq68zWOjtRzx0RrOW8uVs + VNN8wSZvkt wwxyXk6giEmCKGEJMKRBgaoSQDrjJQAhU0RF11RZl3jKebhSX8Bx2DEEB9hew2dr 9qHYoLb6H758uQAggBpCUFZFDamIV2QVUJnoAFBFJwQohIiySDHgRQVBTaKAp6JM ZR1QXpMUIskYAGzHhZbjIMaarGBFEQlgMoYEKbyINBFDjKgKVQcMMMvEFcymy5iu W8zQK7DJ1Xk4u1BlaMzpwgpQYgRLQ + Rfk8nCAe2EL0QdS7DG72hhRopX3MXEMKnd Q9tUxayA4TM5L7RJLWg4dijwsqBKKi95OFbtNyxWbDiEKEsKsJeH81usyo5URUKo pDPCM8h0EQpEgDxlosYLFEKNQQSRgFQVSxISBCpipFKm27 + lMl1GAuSc91SaPs6L 7GviEjsyYJSYOBiyGFfX21MU5YqIdcVERzpT4Ip1b / w7G89vrl6MOeduzA4fe5e8 ZfvjqdSF / M7c1kPhxYXOGffO + rF5OHFSCGjDvt0 / 5idmUlon + xrWD6RUj7S1xJ0q evSgPckTn1GU3DuWsC1afzWbFTUUuWsqdhw2ZSZW9lxWdPP3y7OscPJ4493pXq27 c3zTVOjgwJKb + 5p5dfRLR87F4e93mgb9iR0DCW2z1 / I + q2nuS58qsn7lDN7y9syZ ewKg680HGiwIV3f3Pml82J9Nmp + F09 + 3ub4VVDRkpktDBSMZOUeWrvws5M + 33D4Q PZG7bu2G01lto / MX0tLqts4RvH / 6bdKZHU / v5Tdn9UUtVd0viPdfL5s5 / MZI7Wod cHVGtltLfwDbHyoj = 4Oej ----- MESSAGE FIN PGP ----- "Et enfin, je prouve la propriété du compte github en le postant comme une essence. ### Mon identité pouvant faire l'objet d'un audit public: https://keybase.io/jeffreifman ### À partir de la ligne de commande: Examinez le [programme en ligne de commande keybase] (https://keybase.io/docs/command_line). " # look me up id base de clé jeffreifman # crypter un message à moi base de clé crypter jeffreifman -m 'un message secret…' #… et plus… "
Une fois vérifié, mes informations d'identification GitHub seront publiées sur mon profil Keybase:
Maintenant, vérifions mon site web Jeff Reifman:
Vous pouvez poster un fichier texte ou définir un Enregistrement DNS TXT. J'ai choisi le dernier. Keybase vous demandera votre nom de domaine:
Ensuite, il vous demandera de publier cet enregistrement DNS TXT:
Cela peut prendre quelques heures pour se propager et être vérifié par Keybase:
À l'aide de ces pistes d'authentification, les personnes qui trouvent ma clé publique sur Keybase peuvent être relativement sûres de chiffrer les messages du Jeff Reifman correct - ou tous ses comptes ont été piratés et ni lui ni personne d'autre ne s'en est aperçu (peu probable)..
Voici à quoi ressemble mon profil Keybase complètement vérifié:
Keybase facilite également l’envoi de messages cryptés à d’autres utilisateurs de Keybase. J'ai envoyé une note à Chris Coyne pour lui faire savoir que j'écrivais ce tutoriel..
J'entre dans mon phrase secrète et cliquez Signer et chiffrer. C'est facile.
Keybase est également une application sophistiquée en ligne de commande. Vous pouvez également l'utiliser pour chiffrer et déchiffrer des messages. En fait, cela présente des avantages. Votre client peut effectuer des vérifications qui ne sont pas aussi fiables que l'utilisation du site Web (qui pourraient être compromises de différentes façons sans que vous ne le réalisiez)..
Une fois crypté, Keybase me fournira du texte brut que je pourrai coller dans un courrier électronique à Chris:
Si quelqu'un d'autre que Chris le reçoit, tout ce qu'ils verront, c'est du charabia:
De même, pour décrypter un message, je peux coller un message PGP de n'importe où dans Keybase, saisir mon phrase secrète et cliquez Déchiffrer:
Keybase devient plus utile à mesure que de plus en plus de vos contacts l'utilisent. Heureusement, inviter des amis et des collègues sur Keybase est simple:
Vous pouvez même récupérer des invitations si les gens ne les utilisent pas.
Keybase fait un grand pas en avant en facilitant l’envoi et la réception de messages cryptés. Je suis impatient de voir comment le service continue d'évoluer.
Qu'est-ce que tu attends? Allez inviter des amis à vous rejoindre sur Keybase et commencez à envoyer des e-mails de manière plus sécurisée grâce au cryptage. Il est temps de chiffrer votre courrier électronique.
N'hésitez pas à poster vos questions et commentaires ci-dessous. Vous pouvez également me joindre sur Twitter @reifman ou m'envoyer un courriel directement. Vous pouvez trouver mes autres tutoriels en parcourant la page de mon professeur Tuts +.
Accentsconagua