J'ai crypté un fichier en utilisant un cryptage symétrique comme ceci:
gpg --symmetric myfile
qui aboutit à un fichier myfile.gpg
.
Bien. Maintenant déchiffrons à nouveau le fichier:
gpg -o myfile --decrypt myfile.gpg
On me demande le mot de passe composé que j'ai mis, puis je vois
gpg: CAST5 encrypted data
gpg: encrypted with 1 passphrase
gpg: WARNING: message was not integrity protected
Je ne suis pas sûr de la première et de la dernière ligne.
- Qu'est-ce que le chiffre CAST5 et est-il sécurisé? Je connais 3DES et AES et je sais que ceux-ci sont sécurisés.
- Pourquoi n'est-il pas protégé pour l'intégrité?
- Et en outre, comment puis-je résoudre ce problème?
encryption
gnupg
data-integrity
aes
Gertvdijk
la source
la source
gpg -c myfile
chiffrer etgpg myfile.gpg
déchiffrer, la sortie sera déchiffréemyfile
par défaut.gpg myfile.gpg
se traduira par une sortie déchiffrée envoyée à stdout sur mon système ...Réponses:
Contexte
CAST-5 est un algorithme de cryptage plus utilisé par GnuPG parce que AES n'existait pas encore de retour dans le temps GnuPG a été initialement créé la source . Ce n'est pas très utilisé (à part GnuPG pour des raisons de compatibilité).
C'est
WARNING: message was not integrity protected
parce que cette fonctionnalité n'est pas activée par défaut au moment du cryptage. Si cette option était activée, GnuPG pourrait indiquer si le fichier a été modifié pendant le transit.Mise à jour: les versions modernes de GnuPG fournies avec Ubuntu / Debian ont maintenant MDC activé par défaut et vous ne devriez plus jamais voir ce message pour quelque chose signé avec ces nouvelles versions.
Solutions
Pour utiliser un AES-256 plus puissant, vous devez le spécifier soit en ligne de commande, soit dans votre fichier de configuration.
Ligne de commande: ajoutez l’
--cipher-algo AES256
option pour que la ligne complète à chiffrer devienneFichier de configuration (recommandé): ajoutez la ligne suivante à votre
~/.gnupg/gpg.conf
fichier de configuration.Je recommande cette approche car elle sera utilisée pour toutes les futures opérations GPG sur ce compte utilisateur.
Il n'y a rien à changer pour que l'utilisateur déchiffre le fichier - GnuPG le détectera automatiquement.
Notez qu'en utilisant le chiffrement AES-256, l'intégrité du message est automatiquement protégée. Pour activer manuellement la protection de l'intégrité sur d'autres chiffrements pour lesquels cela n'est pas activé (comme CAST-5), ajoutez l'
--force-mdc
option lors du chiffrement.Encore mieux: signe!
Une approche encore meilleure serait de signer vos fichiers avec votre paire de clés (si vous en avez). Ajoutez simplement l'
--sign
option à la commande de chiffrement, comme ceci:Cela validera non seulement l'intégrité du fichier, mais permettra également au destinataire du fichier de vérifier l'origine. Toute modification du fichier entraînerait l'échec de la vérification de la signature.
la source