Est-il possible de crypter un fichier texte à l'aide d'une paire de clés ssh à l'aide de gnupg? Là où je travaille, nous avons déjà créé notre paire et il sera très utile d'utiliser ces clés pour envoyer des fichiers cryptés. Merci!
ssh
encryption
gnupg
dmferrari
la source
la source
Réponses:
En termes de sécurité, il est fortement déconseillé d'utiliser la même paire de clés pour l'authentification et le chiffrement des données. Par exemple, si une clé utilisée pour l'authentification est compromise, elle révélera également toutes les données précédemment chiffrées avec elle. (Je ne suis pas bon du tout en ce qui concerne la cryptographie, mais je pense qu'il y a également plusieurs problèmes de ce côté.)
De plus, la génération d'une deuxième clé prend moins de 10 secondes (et cela sur un ordinateur de cinq ans).
Il est techniquement possible de crypter les données à l'aide d'une paire de clés SSH, bien que, comme l'a noté @DavidSchwartz, seules les clés RSA peuvent être utilisées pour cela - DSA et ECDSA ne peuvent être utilisées que pour la signature.
Cependant, cela ne signifie pas que vous pouvez simplement importer la clé dans GnuPG et vous attendre à ce qu'elle fonctionne. Cette publication montre quelques différences entre les certificats PGP utilisés par GnuPG et les clés RSA nues utilisées par SSH; en bref, les "clés" GnuPG contiennent beaucoup plus d'informations que les seuls paramètres RSA, et il n'y a tout simplement pas d'outils écrits qui pourraient encapsuler une clé existante dans un certificat GPG - principalement pour éviter les problèmes de sécurité.
La «autre» norme de cryptage des e-mails, S / MIME, utilise un format de certificat plus simple (X.509) et il existe des outils largement disponibles pour créer un certificat basé sur une clé RSA existante. Enfin, vous pouvez abandonner les normes existantes et lancer les vôtres, en utilisant de vieilles fonctions RSA simples à chiffrer, qui sont disponibles pour pratiquement tous les langages de programmation et même en tant que commandes shell via
openssl
. Creuser sa propre tombe est laissé au lecteur comme exercice.la source