Utilisation de la paire de clés ssh pour crypter des fichiers


9

Est-il possible de crypter un fichier texte à l'aide d'une paire de clés ssh à l'aide de gnupg? Là où je travaille, nous avons déjà créé notre paire et il sera très utile d'utiliser ces clés pour envoyer des fichiers cryptés. Merci!


2
De quel type de clé s'agit-il? Si c'est RSA, oui. Si ce n'est pas le cas, non.
David Schwartz

Réponses:


10

En termes de sécurité, il est fortement déconseillé d'utiliser la même paire de clés pour l'authentification et le chiffrement des données. Par exemple, si une clé utilisée pour l'authentification est compromise, elle révélera également toutes les données précédemment chiffrées avec elle. (Je ne suis pas bon du tout en ce qui concerne la cryptographie, mais je pense qu'il y a également plusieurs problèmes de ce côté.)

De plus, la génération d'une deuxième clé prend moins de 10 secondes (et cela sur un ordinateur de cinq ans).


Il est techniquement possible de crypter les données à l'aide d'une paire de clés SSH, bien que, comme l'a noté @DavidSchwartz, seules les clés RSA peuvent être utilisées pour cela - DSA et ECDSA ne peuvent être utilisées que pour la signature.

Cependant, cela ne signifie pas que vous pouvez simplement importer la clé dans GnuPG et vous attendre à ce qu'elle fonctionne. Cette publication montre quelques différences entre les certificats PGP utilisés par GnuPG et les clés RSA nues utilisées par SSH; en bref, les "clés" GnuPG contiennent beaucoup plus d'informations que les seuls paramètres RSA, et il n'y a tout simplement pas d'outils écrits qui pourraient encapsuler une clé existante dans un certificat GPG - principalement pour éviter les problèmes de sécurité.

La «autre» norme de cryptage des e-mails, S / MIME, utilise un format de certificat plus simple (X.509) et il existe des outils largement disponibles pour créer un certificat basé sur une clé RSA existante. Enfin, vous pouvez abandonner les normes existantes et lancer les vôtres, en utilisant de vieilles fonctions RSA simples à chiffrer, qui sont disponibles pour pratiquement tous les langages de programmation et même en tant que commandes shell via openssl. Creuser sa propre tombe est laissé au lecteur comme exercice.


Cela a beaucoup de sens. De plus, comme il n'est pas facile d'utiliser nos clés actuelles, je demanderai à mes collègues d'en générer de nouvelles à utiliser pour le transfert de fichiers suivant vos conseils. Merci!
dmferrari
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.