Hello Hello,
En ce début de semaine, si vous avez suivi l’actu tech, vous n’avez pas loupé l’affaire du moment. En effet une faille sensible fait pas mal parler d’elle, concernant les serveurs de clé GPG.
Le protocole est conçu de manière, à ce qu’une clef émise vers un serveur ne puisse être révoqué, seulement ses infos pourront être mises à jours. Ce qui rend les serveurs sensibles à des attaques par empoisonnement.
Si vous voulez comprendre plus en détail avec toute les sources comprises, rendez vous sur ce lien en français : Pourquoi une attaque relativement simple à mettre en oeuvre fait vaciller la communauté OpenPGP ? | blog Bearstech
Sinon concrètement, que faire ?
Afin d’être un peu plus serein, on va créer si celui-ci n’existe pas le fichier « dirmngr.conf » dans le répertoire :
$HOME/.gnupg/
nano $HOME/.gnupg/dirmngr.conf
Dans ce fichier, on y ajoute la ligne suivante :
keyserver hkps://keys.openpgp.org
Maintenant vérifions que la config soit bien prise en compte :
dirmngr
dirmngr[11406.0]: certificats chargés de façon permanente : 129 dirmngr[11406.0]: certificats actuellement en cache : 0 dirmngr[11406.0]: trusted certificates: 129 (128,0,0,1) # Home: /home/USER/.gnupg # Config: /home/USER/.gnupg/dirmngr.conf OK Dirmngr 2.2.12 at your service
Pour finir, il faut aussi s’assurer que le fichier de config GPG (sur Debian, chez moi il s’appelle « gpg-agent.conf ») ne contienne aucune ligne commençant par « keyserver ».
Voila, normalement c’est tout bon, et vous pouvez envoyer/recevoir des clefs, en toute « confiance ».
Attention tout de même à Enigmail si vous l’utilisez. Pour les distributions, j’ose espérer qu’elles prennent le problème en compte et que sa résolution soit transparente pour nous utilisateur.
Dirmngr, c’est quoi ?
Dirmngr est utilisé pour l’accès au réseau par gpg, gpgsm et dirmngr-client entre autres outils. À moins que ce paquet ne soit installé, les composants de la suite GnuPG essayant d’interagir avec le réseau échoueront.
Voila, si cette petite procédure vous est utile, tant mieux ! 🙂
Si vous voulez réagir, ou partager un complément avec moi sur ce sujet, n’hésitez surtout PAS !!
Merci 🙂
@++
https://dkg.fifthhorseman.net/blog/openpgp-certificate-flooding.html
https://gist.github.com/rjhansen/67ab921ffb4084c865b3618d6955275f
Bonjour,
chez moi j’ai :
$ dirmngr
dirmngr[21390.0]: error opening ‘/home/xxxxxx/.gnupg/dirmngr_ldapservers.conf’: No such file or directory
dirmngr[21390.0]: permanently loaded certificates: 0
dirmngr[21390.0]: runtime cached certificates: 0
dirmngr[21390.0]: failed to open cache dir file ‘/home/xxxxx/.gnupg/dirmngr-cache.d/DIR.txt’: No such file or directory
dirmngr[21390.0]: creating directory ‘/home/xxxxxx/.gnupg/dirmngr-cache.d’
dirmngr[21390.0]: new cache dir file ‘/home/xxxxxx/.gnupg/dirmngr-cache.d/DIR.txt’ created
# Home: ~/.gnupg
# Config: /home/xxxxxx/.gnupg/dirmngr.conf
OK Dirmngr 2.1.11 at your service
Une idée de pourquoi j’ai :
dirmngr[21390.0]: error opening ‘/home/xxxxxx/.gnupg/dirmngr_ldapservers.conf’: No such file or directory
Merci.
Hello,
C’est normal, on peut aussi utiliser dirmngr (je ne peux pas te dire comment), avec un serveur LDAP. Ce n’est pas ton cas visiblement ^^.
Je suppose que c’est utilisé en entreprise/associations/coworking.
Ok, merci.