Available in

(1) (4) (1)/fr

Contents

NOM

enc − routines de chiffrement symétriques

SYNOPSIS

openssl enc −nom_algorithme [−in nom_fichier] [−out nom_fichier] [−pass param] [−e] [−d] [−a] [−A] [−k mot_de_passe] [−kfile nom_fichier] [−K clé] [−iv IV ] [−p] [−P] [−bufsize nombre] [−nopad] [−debug]

DESCRIPTION

Les commandes de chiffrement symétrique permettent de chiffre ou de déchiffrer des données en utilisant divers algorithmes par blocs ou par flux avec des clés basées sur des mots de passe ou fournies explicitement. L’encodage ou le décodage base64 peut également être effectué, soit par lui−même, soit en supplément au chiffrement et déchiffrement.

OPTIONS

−in nom_fichier

Le fichier d’entrée. Par défaut c’est l’entrée standard.

−out nom_fichier

Le fichier de sortie. Par défaut c’est la sortie standard.

−pass param

Le fichier des mots de passe d’entrée. Pour plus d’information sur le format de param référez−vous à la section PHRASE DE PASSE EN PARAMÈTRE d’openssl(1).

−salt

Ajouter un grain de sel (« salt ») dans les routines de dérivation de clé. Cette option devrait TOUJOURS être utilisée, sauf si la compatibilité avec d’anciennes versions d’OpenSSL ou SSLeay est nécessaire. Cette option est présente dans OpenSSL depuis la version 0.9.5.

−nosalt

ne pas utiliser de sel dans les routines de dérivation de clé. Ceci est la valeur par défaut pour assurer la compatibilité avec d’anciennes versions d’OpenSSL et SSLeay.

−e

Chiffrer les données en entrée : ceci est effectué par défaut.

−d

Décriffer les données en entrée.

−a

Traitement base64 des données. Ceci signifie que lors d’un chiffrement, les données sont encodées en base64 après le chiffrement et lors d’un déchiffrement, les données sont décodées en base64 avant le déchiffrement.

−A

avec l’option −a, le traitement base64 est effectué sur une ligne.

−k mot_de_passe

Le mot de passe à partir duquel la clé sera dérivée. Ceci est pour assurer la compatibilité avec d’anciennes versions d’OpenSSL, mais est remplacé par le paramètre −pass.

−kfile nom_fichier

Lire le mot de passe pour la dérivation de la clé à partir de la première ligne de nom_fichier. Ceci est pour assurer la compatibilité avec d’anciens versions d’OpenSSL, mais est remplacé par l’argument −pass.

−S sel

Le grain de sel à utiliser. Sous forme de chaîne de caractères composée de caractères hexadécimaux uniquement.

−K clé

La clé à utiliser : sous forme de chaîne de caractères composée de caractères hexadécimaux uniquement. Si seule la clé est spécifiée, l’ IV (« Vecteur d’Initilisation ») doit être spécifié en plus en utilisant l’option −iv. Si une clé et un mot de passe sont spécifiés, la clé donnée avec l’option −K est prise et l’ IV est généré à partir du mot de passe. Cela n’a probablement pas de sens de spécifier à la fois la clé et le mot de passe.

−iv IV

L’ IV à utiliser : sous forme de chaîne de caractères composée de caractères hexadécimaux uniquement. Si seule la clé est spécifiée avec l’option −K, l’ IV doit être défini explicitement. Si un mot de passe est spécifié, l’ IV est généré à partir de ce mot de passe.

−p

Afficher la clé et l’ IV utilisés.

−P

Afficher la clé et l’ IV utilisés puis sortir immédiatement : aucun chiffrement ou déchiffrement n’est effectué.

−bufsize nombre

Définir la taille du tampon d’entrée/sortie.

−nopad

Désactiver le remplissage (« padding ») de blocs standard.

−debug

Déboguer les BIOs utilisé pour l’entrée/sortie.

NOTES

Le programme peut être appelé soit comme openssl nom_algorithme soit comme openssl enc −nom_algorithme.

Un mot de passe sera demandé si besoin est pour dériver la clé et l’ IV .

L’option −salt devrait TOUJOURS être utilisée si la clé est dérivée d’un mot de passe sauf si vous souhaitez être compatible avec les versions précédentes d’OpenSSL et de SSLeay.

Sans l’option −salt, il est possible d’effectuer des attaques efficaces sur les mots de passe à partir de dictionnaires et d’attaquer des flux de données chiffrées. Ceci vient du fait que sans le grain de sel, le même mot de passe génère toujours la même clé de chiffrement. Si un grain de sel est utilisé, les huit premiers octets des données encodées sont réservés pour le sel : ils sont générés aléatoirement lors du chiffrement d’un fichier et lus lors du déchiffrement.

Certains algorithmes n’ont pas de clé de taille importante et d’autres ont des implications sur la sécurité en cas de mauvaise utilisation. Un débutant est avisé d’utiliser des encodages en bloc forts en mode CBC comme bf ou des3.

Tous les algorithmes en mode bloc utilisent la méthode de remplissage PKCS#5, le « standard block padding » : ceci permet d’effectuer une vérification rudimentaire de l’intégrité ou du mot de passe. Toutefois, comme la probabilité que de données quelconques passent le test est meilleure que 1 sur 256, ce n’est pas un très bon test.

Si le remplissage est désactivé, les données en entrées doivent avoir une taille multiple de la taille de bloc de l’algorithme.

Tous les algorithmes RC2 ont la même longueur de clé et longueur de clé effective.

Les algorithmes Blowfish et RC5 utilisent une clé de 128 bits.

ALGORITHMES PRIS EN CHARGE

 base64             Base 64
 bf−cbc             Blowfish en mode CBC
 bf                 Alias pour bf−cbc
 bf−cfb             Blowfish en mode CFB
 bf−ecb             Blowfish en mode ECB
 bf−ofb             Blowfish en mode OFB
 cast−cbc           CAST en mode CBC
 cast               Alias pour cast−cbc
 cast5−cbc          CAST5 en mode CBC
 cast5−cfb          CAST5 en mode CFB
 cast5−ecb          CAST5 en mode ECB
 cast5−ofb          CAST5 en mode OFB
 des−cbc            DES en mode CBC
 des                Alias pour des−cbc
 des−cfb            DES en mode CBC
 des−ofb            DES en mode OFB
 des−ecb            DES en mode ECB
 des−ede−cbc        Triple DES EDE à 2 clés en mode CBC
 des−ede            Triple DES EDE à 2 clés en mode ECB
 des−ede−cfb        Triple DES EDE à 2 clés en mode CFB
 des−ede−ofb        Triple DES EDE à 2 clés en mode OFB
 des−ede3−cbc       Triple DES EDE à 3 clés in CBC mode
 des−ede3           Triple DES EDE à 3 clés en mode ECB
 des3               Alias pour des−ede3−cbc
 des−ede3−cfb       Triple DES EDE à 3 clés en mode CFB
 des−ede3−ofb       Triple DES EDE à 3 clés en mode OFB
 desx               Algorithm DESX
 idea−cbc           Algorithm IDEA en mode CBC
 idea               Alias pour idea−cbc
 idea−cfb           IDEA en mode CFB
 idea−ecb           IDEA en mode ECB
 idea−ofb           IDEA en mode OFB
 rc2−cbc            RC2 128 bits en mode CBC
 rc2                Alias pour rc2−cbc
 rc2−cfb            RC2 128 bits en mode CFB
 rc2−ecb            RC2 128 bits en mode ECB
 rc2−ofb            RC2 128 bits en mode OFB
 rc2−64−cbc         RC2 64 bits en mode CBC
 rc2−40−cbc         RC2 40 bits en mode CBC
 rc4                RC4 128 bits
 rc4−64             RC4 64 bits
 rc4−40             RC4 40 bits
 rc5−cbc            Algorithme RC5 en mode CBC
 rc5                Alias pour rc5−cbc
 rc5−cfb            Algorithme RC5 en mode CFB
 rc5−ecb            Algorithme RC5 en mode ECB
 rc5−ofb            RC5 cipher in OFB mode
 aes−[128|192|256]−cbc  AES 128/192/256 bits en mode CBC
 aes−[128|192|256]      Alias pour aes−[128|192|256]−cbc
 aes−[128|192|256]−cfb  AES 128/192/256 bits en mode CFB 128 bits
 aes−[128|192|256]−cfb1 AES 128/192/256 bits en mode CFB 1 bit
 aes−[128|192|256]−cfb8 AES 128/192/256 bits en mode CFB 8 bits
 aes−[128|192|256]−ecb  AES 128/192/256 bits en mode ECB
 aes−[128|192|256]−ofb  AES 128/192/256 bits en mode OFB

EXEMPLES

Encoder just en base64 un fichier binaire :

 openssl base64 −in file.bin −out file.b64

Décoder le même fichier :

 openssl base64 −d −in file.b64 −out file.bin

Chiffrer un fichier en utilisant le triple DES en mode CBC et en demandant le mot de passe sur le terminal :

 openssl des3 −salt −in file.txt −out file.des3

Déchiffrer un fichier avec le mot de passe fournit :

 openssl des3 −d −salt −in file.des3 −out file.txt −k mypassword

Chiffrer un fichier, puis l’encoder en base64 (pour pouvoir l’envoyer par mail par exemple), en utilisant l’algorithme Blowfish en mode CBC  :

 openssl bf −a −salt −in file.txt −out file.bf

Décoder un fichier base64, puis le déchiffrer :

 openssl bf −d −salt −a −in file.bf −out file.txt

Déchiffer des données en utilisant une clé RC4 de 40 bits fournie :

 openssl rc4−40 −in file.rc4 −out file.txt −K 0102030405

BOGUES

L’option −A ne fonctionne pas correctement avec les très gros fichiers.

Il devrait y avoir une option permettant d’inclure un compteur d’itérations.

Le programme enc gère seulement un nombre fixe d’algorithmes avec certains paramètres. Ainsi, par exemple, pour utiliser RC2 avec une clé de 76 bits ou RC4 avec 84 bits, vous ne pourrez pas utiliser ce programme.

TRADUCTION

Cette page de manuel a été traduite par arne en 2002 et est maintenue par la liste <debian−l10n−french AT lists DOT debian DOT org>. Veuillez signaler toute erreur de traduction par un rapport de bogue sur le paquet manpages-fr-extra.

COMMENTS

blog comments powered by Disqus