Signatures
La signature d'un message exige la saisie de la phrase de passe de la clé privée à chaque fois.
Rappel des différentes générations de signatures
"message" correspond à un fichier texte contenant le message à signer.
# cat message
Ceci est un message signé.
# gpg --sign message
Un nouveau fichier message.gpg est généré contenant le message et la signature au format binaire.
Pour lire le contenu du message, il faut obligatoirement utiliser gpg avec l'option --decrypt.
En effet, le message n'est pas chiffré, il est seulement signé, mais étant au format binaire, seule l'option --decrypt est capable de vérifier la signature et d'afficher le message en clair.
# gpg --clearsign message
Un nouveau fichier message.asc est généré contenant le message et la signature au format ASCII.
# gpg --detach-sign message
Un nouveau fichier message.sig est généré contenant uniquement la signature au format binaire.
# gpg --detach-sign --armor message
Un nouveau fichier message.asc est généré contenant uniquement la signature au format ASCII.
Pour modifier le nom du fichier généré, il faut utiliser l'option -o nomDuFichier (ou --output).
# gpg --detach-sign --armor -o signature.asc message
Il est possible de signer un message sans passer par l'intermédiare de fichiers (entrées/sorties)
# echo "Ceci est un message signé." | gpg --clearsign
You need a passphrase to unlock the secret key for
user: "Jean Michel A Peu Près <jm@apeupres.fr>"
2048-bit RSA key, ID 219FE958, created 2015-09-11 (main key ID 0D6FE738)
gpg: gpg-agent is not available in this session
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Ceci est un message signé.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1
iQEcBAEBAgAGBQJV9enkAAoJED/atMwhn+lYiz8H+wc1peA+zFNh0pI0Xl9LaCng
2BPlhod4MYO7yAJTKh76MHx1pXZAjPRZdvQf7WockS9gyHC2/h3MGcFMJZ4LAYdQ
16LfwCC2ip08FsiWuIjnAdC+qEcvLVM6MkH5iiKVgLRnwn7b7oqp9M/mwQGb8JmA
gxRwMTDZxxSBHjjIKPtbOzzN/Wp308WQiI1G0d/uM+GE8JmOQcGAz2pNS/i01KbR
7ft0RUGOtdlnZOyBpuTl90CEkEhFjICvoyB3EEoXAR+DorxhgRUGeGliZzgoKSeU
cWsGlMaigvofC67xSaWacIpk/GOv0hZUPMR9EqmKuCDqSHpcrnWX3W2JWYqwkZM=
=XBKV
-----END PGP SIGNATURE-----
Copier/coller le message signé dans un mail au format texte (tout le contenu de -----BEGIN PGP SIGNED MESSAGE----- jusqu'à -----END PGP SIGNATURE-----).
Pour envoyer la sortie vers un fichier, utiliser l'option -o monFichier (--output).
Exemple d'un fichier signé puis altéré volontairement afin de simuler un piratage.
On signe le fichier message
# gpg --armor --detach-sign message
On vérifie la signature du fichier message.
L'option --verify prend en premier paramètre le nom du fichier contenant la signature (si la signature est dans un fichier à part) et le nom du fichier signé en second paramètre.
# gpg --verify message.asc message
gpg: Signature made Sun 13 Sep 2015 11:40:49 PM CEST using RSA key ID 219FE958
gpg: Good signature from "Jean Michel A Peu Près <jm@apeupres.fr>"
La signature est correcte.
On altère le fichier message pour simuler un piratage du fichier.
# echo "" >> message
On vérifie à nouveau la signature du fichier.
# gpg --verify message.asc message
gpg: Signature made Wed 16 Sep 2015 07:14:28 PM CEST using RSA key ID 219FE958
gpg: BAD signature from "Jean Michel A Peu Près <jm@apeupres.fr>"
Le résultat nous indique que la signature est incorrecte.
Nous avons la preuve que le fichier d'origine a été altéré.
Franchement, c'est quand même pas si compliqué de signer un fichier et c'est quand même plus sécurisant.
Et si maintenant on le chiffrait, ce fichier ...
