Comodo [en]
TBS [fr]
Startcom [en]
Secorio [en]
TC TrustCenter [en]
CaCert [en]

Pour l’exemple de ce billet j’ai retenu Comodo car ce sont eux qui ont la procédure la plus simple: pas d’inscription préalable, demande minimale de renseignements, ça ne devrait décourager que les plus allergiques à l’anglais. Pour ceux là il y a TBS, qui d’ailleurs délivre des certificats Comodo mais ils sont plus inquisiteurs sur les renseignements personnels.

Etape 1 : La demande de certificat

Avec Firefox de préférence aller sur la page Free Secure Email Certificate et cliquer sur le bouton Free Download. Entrer le prénom, le nom, l’adresse email pour laquelle on veut le certificat, le pays, laisser « Haut Grade » pour l’option « Key size ». Saisir un mot de passe pour pouvoir éventuellement révoquer le certificat, décocher (ou pas) la case « Opt-in » pour la newsletter de Comodo, accepter les conditions et valider, c’est parti.

Etape 2 : Installer le certificat dans Firefox

Lorsque le message Your certificate is ready for collection est arrivé dans la boite à lettres, cliquer sur le lien Click & Install Comodo Email Certificate si Firefox est le navigateur par défaut, sinon copier l’adresse du lien et la coller dans la barre d’adresse de Firefox.

Valider la boite de dialogue Votre certificat personnel a été installé en haussant les épaules, car c’est en grande partie faux. Certes le certificat a bien été installé dans Firefox, mais à quoi ça sert pour le mail? A rien. On continue.

Etape 3 : Sauvegarder le certificat

Toujours sous Firefox, aller dans Outils, puis Options, menu Avancé, onglet Chiffrement, cliquer sur le bouton Afficher les certificats, aller sur l’onglet Vos certificats. Cliquer sur le certificat nommé ID COMODO CA Limited puis sur le bouton Sauvegarder. Choisir un emplacement sur le disque et un nom de fichier, l’adresse email est un bon choix. Entrer ensuite un mot de passe de protection suffisamment robuste, personne n’aimerait qu’on utilise sa clé privée pour signer des messages…

Etape 4 : Importer le certificat dans Thunderbird

On commence à voir le bout du tunnel. Sous Thunderbird, aller dans Outils, puis Options, menu Avancé, onglet Certificats, cliquer sur le bouton Voir les certificats, puis sur le bouton Importer. Choisir le certificat sauvegardé, entrer le mot de passe, valider. Le certificat ID COMODO CA Limited doit apparaître dans l’onglet Vos certificats. Valider pour sortir du menu Options.

Etape 5 : Associer le certificat au compte de messagerie

Toujours sous Thunderbird, aller dans Outils, puis Paramètre des comptes. Pour l’adresse de messagerie concernée, sélectionner la rubrique Sécurité . Dans la zone Signature cliquer sur Sélectionner un certificat, choisir ID COMODO CA Limited, valider et accepter d’utiliser le même certificat pour le chiffrement.

On peut choisir de cocher la case Signer les messages numériquement, tous les messages seront signés par défaut et il y a peu d’effets indésirables.

Etape 6 : Mon premier message signé et chiffré!

Pour tester on s’envoie un message à soi-même en signant et chiffrant le message, menu Options ou bouton Sécurité. Le message reçu aura 2 jolies petites icônes dans la zone d’en-tête, une enveloppe cachetée pour la signature et un cadenas pour le chiffrement.

Les messages signés peuvent être envoyés à tout le monde, les messages chiffrés ne peuvent être envoyés qu’aux destinataires dont on a la clé publique, qu’on obtient en recevant un message signé ou chiffré.

Un script bash basique pour faire un dump individuel de chaque base du serveur local avec mysqldump, y compris information_schema. En fin de script, un dump global est réalisé, et un rapport est envoyé. Associé à une tache cron et à un backup distant avec rsnapshot ça permet de faire des sauvegardes historisées des bases MySQL d’un serveur.

#!/bin/bash
# Backup des bases MySQL du Serveur local
# Initialisations
# L'utilisateur doit avoir les privilèges globaux SELECT, SHOW_DATABASES et LOCK_TABLES
MYSQL_USER="myuser"
MYSQL_PASSWD="mypassword"
TMP_LOG="/tmp/bmydb.log"
LOG_FILE="/var/log/bmydb.log"
BACKUP_DIR="/var/backups"
# Destinataire du rapport
ADMIN="root"
echo "+++$(date) Debut $0" > $TMP_LOG	
 
# Fonction sortie du script
sortie() {
	# Enregistre la fin de traitement dans la log
	echo "+++$(date) Fin $0" >> $TMP_LOG
	cat $TMP_LOG >> $LOG_FILE
	if [ $1 = 0 ]; then
		mail -s "Rapport $0" $ADMIN < $TMP_LOG
	else
		mail -s "Erreur execution $0" $ADMIN < $TMP_LOG
	fi
	rm -f $TMP_LOG
	exit $1
}	
 
# Récupération de la liste des bases
dbl=$(mysql --user $MYSQL_USER --password=$MYSQL_PASSWD --batch --silent --execute="SHOW DATABASES;")  2>> $TMP_LOG
if [ $? -ne 0 ]; then
	echo "$(date) Erreur lors de la récupération de la liste des bases" >> $TMP_LOG
	sortie 1
fi
 
# Dump individuel des bases
for db in $dbl
do
	mysqldump --user $MYSQL_USER --password=$MYSQL_PASSWD --result-file=$BACKUP_DIR/mysql_$db $db 2>> $TMP_LOG
	if [ $? -gt 0 ]; then
		# On réessaye avec l'option --skip-lock-tables 
		mysqldump --user $MYSQL_USER --password=$MYSQL_PASSWD --skip-lock-tables --result-file=$BACKUP_DIR/mysql_$db $db 2>> $TMP_LOG
		if [ $? -gt 0 ]; then
			echo "$(date) Erreur Dump base $db" >> $TMP_LOG
		else
			gzip -f $BACKUP_DIR/mysql_$db
			echo "$(date) Base $db sauvegardée dans $BACKUP_DIR/mysql_$db.gz avec l'option --skip-lock-tables" >> $TMP_LOG
		fi
	else
		gzip -f $BACKUP_DIR/mysql_$db
		echo "$(date) Base $db sauvegardée dans $BACKUP_DIR/mysql_$db.gz" >> $TMP_LOG
	fi
 
done
 
# Dump Global
mysqldump --user $MYSQL_USER --password=$MYSQL_PASSWD --result-file=$BACKUP_DIR/mysql_full --all-databases
if [ $? -gt 0 ]; then
	echo "$(date) Erreur Dump Global" >> $TMP_LOG
else
	gzip -f $BACKUP_DIR/mysql_full
	echo "$(date) Dump global effectué dans $BACKUP_DIR/mysql_full.gz" >> $TMP_LOG
fi
 
sortie 0

Après moult hésitations je me suis décidé à passer sous KDE4, mais je pense que j’aurais du continuer à hésiter encore un peu… Certes l’interface est bien jolie et paramétrable à souhait, la stabilité est correcte, mais il y a des lacunes énervantes sur des fonctions majeures, comme le SSL et les certificats. Il semble que KDE gère (mal) sa propre liste d’autorités de certification. CAcert par exemple n’est pas reconnu, alors qu’il se trouve dans le magasin global de certificats de la distribution.

On peut contourner le problème en utilisant le magasin global plutôt que celui de KDE avec la commande suivante :

sudo ln -sf /etc/ssl/certs/ca-certificates.crt /usr/share/kde4/apps/kssl/ca-bundle.crt

Il me reste à trouver comment utiliser mes certificats persos avec KMail, j’y retourne…

Liens:

https://bugs.kde.org/show_bug.cgi?id=162485

https://bugs.launchpad.net/kdelibs/+bug/295266

En fait ce que Dovecot n’aime pas c’est qu’on recule l’horloge du serveur. C’est d’ailleurs bien expliqué sur le wiki de Dovecot. Alors pourquoi j’avais utilisé ntpdate au lieu du bon vieux ntp qui va bien? Ben j’en sais rien.

GnuPG est préinstallé sous Debian et Ubuntu ainsi qu’avec la majorité des distributions Linux je crois. Le projet Gpg4win fournit un programme d’installation pour Windows qui inclus GnuPG et différents modules complémentaires. Les commandes de gpg sont les mêmes dans les différents environnements. GnuPG est avant tout un logiciel de cryptage asymétrique (clé publique – clé privée) et son domaine de prédilection est la transmission sécurisée d’information entre utilisateurs. Mais on peut aussi s’en servir pour faire du cryptage simple, c’est ce qu’on va voir ici.

Le problème à résoudre est le suivant :

Un utilisateur gère sur son poste de travail des informations confidentielles. L’accès au poste de travail étant protégé, on estime la sécurité suffisante sur le poste (ça pourrait se discuter mais c’est pas le sujet). Par contre les sauvegardes sont effectuées sur un serveur dont l’accès est public. On ne peut donc pas y sauvegarder les données confidentielles en l’état.

La solution va être de crypter les données avant de les sauvegarder, voilà comment :

Génération d’un paire de clés :

gpg --gen-key
gpg (GnuPG) 1.4.7; Copyright (C) 2006 Free Software Foundation, Inc.
This program comes with ABSOLUTELY NO WARRANTY.
This is free software, and you are welcome to redistribute it
under certain conditions. See the file COPYING for details.
Please select what kind of key you want:
(1) DSA and Elgamal (default)
(2) DSA (sign only)
(5) RSA (sign only)
Your selection? 1
DSA keypair will have 1024 bits.
ELG-E keys may be between 1024 and 4096 bits long.
What keysize do you want? 2048
Requested keysize is 2048 bits
Please specify how long the key should be valid.
0 = key does not expire
<n>  = key expires in n days
<n>w = key expires in n weeks
<n>m = key expires in n months
<n>y = key expires in n years
Key is valid for? 0
Key does not expire at all
Is this correct? (y/N) y
You need a user ID to identify your key; the software constructs the user ID
from the Real Name, Comment and Email Address in this form:
"Heinrich Heine (Der Dichter) <heinrichh@duesseldorf.de>"
Real name: Michel
Email address: michel@martin.com
Comment:
You selected this USER-ID:
"Michel <michel@martin.com>"
Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? o
You need a Passphrase to protect your secret key.
We need to generate a lot of random bytes. It is a good idea to perform
some other action (type on the keyboard, move the mouse, utilize the
disks) during the prime generation; this gives the random number
generator a better chance to gain enough entropy.
+++++++++++++++.+++++.+++++.+++++.+++++..+++++.+++++++++++++++++++++++++..++++++
+++>++++++++++>+++++>..+++++....................................................
.............................................+++++^^^
gpg: key 62757D49 marked as ultimately trusted
public and secret key created and signed.
gpg: checking the trustdb
gpg: 3 marginal(s) needed, 1 complete(s) needed, PGP trust model
gpg: depth: 0  valid:   2  signed:   0  trust: 0-, 0q, 0n, 0m, 0f, 2u
pub   1024D/62757D49 2007-11-12
Key fingerprint = 9B05 2259 683C 70CC D73C  3E47 816C 06FE 6275 7D49
uid                  Michel <michel@martin.com>
sub   2048g/5589D5F6 2007-11-12

Ca y est on a notre paire de clés. Attention à ne pas oublier la « passphrase », il n’y a aucun moyen de la récupérer. Elle n’est pas nécessaire pour crypter, mais sera demandée au décryptage. On peut mettre une passphrase vide, mais la sécurité est moindre.

L’étape suivante est de sauvegarder la clé privée, et la conserver en lieu sûr!!! :

gpg --export-secret-keys -a michel > michel.sec

Crypter le fichier confidentiel.doc :

gpg gpg -e -r Michel confidentiel.doc

Cette commande crée le fichier crypté confidentiel.doc.gpg qui peut être stocké sans crainte sur des serveurs publics, tant que la clé privée n’est pas compromise.

Pour décrypter sur le poste qui contient les clés (la passphrase est demandée) :

gpg confidentiel.doc.gpg

Pour décrypter sur un autre poste il faut d’abord importer la clé privée :

gpg --import michel.sec

Voilà, c’est juste un aperçu rapide d’une application pratique du cryptage avec gpg.

J’en était là lorsque la Providence, qui par chance n’avait rien à faire aujourd’hui, m’a mis le nez sur nail. Exactement ce que je cherchais depuis des mois : simple, efficace, puissant, c’est du tout bon.

exemple:

nail -s "Sujet du message" -a /chemin/fichier_a_joindre destinataire < fichier_message

c’est pas beautiful ça?

Les fonctionnalités de nail ne s’arrêtent pas là, c’est un programme de mail complet qui peut être utilisé aussi bien pour l’envoi que pour la réception de messages, avec gestion IMAP, POP, SMTP, S/MIME, mais là faut lire la man page.

home sourceforge : http://sourceforge.net/projects/nail/

debian/ubuntu :

apt-get install nail