Re: [TECH] [GNUPG] Choix de clés?

["Association Libres-Ailé(e)s" <librezaileez AT librezele.fr.cr>]

On 06/12/2014 09:53 AM, Nicolas VINOT wrote:
> Le jeudi 12 juin 2014, 08:05:57 Assoc' Libres-Ailées a écrit :
>> Il nous manque encore une information pour vraiment mettre en
>> place notre GNUPG. Enigmail nous propose des clés RSA ou DSA.
>> Mais j'ai lu que RSA est "vendu" à la NSA. L'algorithme DSA donne
>> des clés plus courtes. Est-ce un gros inconvénient? J'ai lu dans
>> la doc officielle sur Enigmail qu'il faut la clé la plus longue
>> possible.
> 
> Enigmail, c'est pas le truc à utiliser. Trop compliqué, trop
> d'option, trop de risque de se foirer, et il ne respecte pas la
> norme GNUPG, entrainant des problèmes de compatibilité avec le
> reste. Mieux vaut utiliser un client mail avec un vrai support GPG
> intégré, type Claws-Mail ou Kontact.

Ah mince, ça nous a paru si pratique, Enigmail. Mais je comprends bien
les raisons. Ça va être un peu dur de faire passer les gens à Claws
Mail. Et même pour nous, il faut qu'on se tape l'importation de nos
mails.

C'est un gros handicap de Thunderbird de ne pas inclure un vrai GPG.

Je commence à comprendre pourquoi des gens disent que GPG n'est pas à
la portée de tout le monde. Enigmail est facile mais si c'est nul, ce
n'est pas la peine.

> 
> DSA est couvert par un brevet détenu par… un ancien de la NSA,
> David W. Kravitz !

Oui, j'avais bien lu ça sur Wikipedia :-(

> Concernant RSA, sauf à utiliser l'algo Dual_EC_DRBG notoierement
> troué par la NSA, je pense que tu es à l'abris.

Avec Enigmail, c'est RSA sans précision ou DSA-elgamal.

> Entre RSA et DSA, la sécu est globalement la même. Dans tous les
> cas, comme il faut aujourd'hui des clefs de 4096 bits (et en tout
> cas de plus de 2048), seul RSA reste en lice.

En faisant mes essais avec Enigmail, j'ai vu en effet que DSA fait des
clés bien plus petites que DSA.

>> Pour le SSH, nous avons plus de choix d'algorithme. J'ai vu que
>> les rédacteurs du Wiki d'ArchLinux choisissent ECDSA.
> 
> Si tu as la possibilité d'utilisé des ECC (donc ECDSA), fonce ! 
> C'est le futur de la crypto et d'un niveau bien supérieur à RSA ou
> DSA

Nous utilisons des clés ECDSA pour notre petit réseau et c'est
compatible avec #!Crunchbang (Debian Wheezy), Debian Wheezy et antiX
(Debian Jessie). Je n'ai pas encore essayé avec Lubuntu. Nous allons
essayer de mettre en place une connection SSH avec des gens qui sont
au loin, derrière leur bo-box.

Et pour finir, comprenez-vous pourquoi Snowden ne parle que de PGP,
donc que de logiciel au code fermé à tous? Est-ce que seul
l'algorithme compte?

Nous allons donc faire des essais avec Claws-Mail. Nous verrons si
nous arrivons à bon terme …

Merci beaucoup de toutes vos explications.

Bon week-end

libre fan
-- 
Libres-Ailé(e)s, pour GNU/Linux et le monde du Libre:
http://librezele.fr.cr
http://bibliolibre.eu.org/ - en lien avec Libre-Fan
http://librefan.eu.org/
Libérez vos courriels: http://autistici.org/ ou http://riseup.net/