NOM
enc - routines de chiffrement symétriques
SYNOPSIS
openssl enc -nom_algorithme [-in nom_fichier] [-out nom_fichier] [-pass
param] [-e] [-d] [-a] [-A] [-k mot_de_passe] [-kfile nom_fichier] [-K
clé] [-iv IV] [-p] [-P] [-bufsize nombre] [-nopad] [-debug]
Les commandes de chiffrement symétrique permettent de chiffre ou de
déchiffrer des données en utilisant divers algorithmes par blocs ou par
flux avec des clés basées sur des mots de passe ou fournies
explicitement. L’encodage ou le décodage base64 peut également être
effectué, soit par lui-même, soit en supplément au chiffrement et
déchiffrement.
OPTIONS
-in nom_fichier
Le fichier d’entrée. Par défaut c’est l’entrée standard.
-out nom_fichier
Le fichier de sortie. Par défaut c’est la sortie standard.
-pass param
Le fichier des mots de passe d’entrée. Pour plus d’information sur
le format de param référez-vous à la section PHRASE DE PASSE EN
PARAMÈTRE d’openssl(1).
-salt
Ajouter un grain de sel («salt») dans les routines de dérivation de
clé. Cette option devrait TOUJOURS être utilisée, sauf si la
compatibilité avec d’anciennes versions d’OpenSSL ou SSLeay est
nécessaire. Cette option est présente dans OpenSSL depuis la
version 0.9.5.
-nosalt
ne pas utiliser de sel dans les routines de dérivation de clé. Ceci
est la valeur par défaut pour assurer la compatibilité avec
d’anciennes versions d’OpenSSL et SSLeay.
-e Chiffrer les données en entrée: ceci est effectué par défaut.
-d Décriffer les données en entrée.
-a Traitement base64 des données. Ceci signifie que lors d’un
chiffrement, les données sont encodées en base64 après le
chiffrement et lors d’un déchiffrement, les données sont décodées
en base64 avant le déchiffrement.
-A avec l’option -a, le traitement base64 est effectué sur une ligne.
-k mot_de_passe
Le mot de passe à partir duquel la clé sera dérivée. Ceci est pour
assurer la compatibilité avec d’anciennes versions d’OpenSSL, mais
est remplacé par le paramètre -pass.
-kfile nom_fichier
Lire le mot de passe pour la dérivation de la clé à partir de la
première ligne de nom_fichier. Ceci est pour assurer la
compatibilité avec d’anciens versions d’OpenSSL, mais est remplacé
par l’argument -pass.
-S sel
Le grain de sel à utiliser. Sous forme de chaîne de caractères
composée de caractères hexadécimaux uniquement.
-K clé
La clé à utiliser: sous forme de chaîne de caractères composée de
caractères hexadécimaux uniquement. Si seule la clé est spécifiée,
l’IV («Vecteur d’Initilisation») doit être spécifié en plus en
utilisant l’option -iv. Si une clé et un mot de passe sont
spécifiés, la clé donnée avec l’option -K est prise et l’IV est
généré à partir du mot de passe. Cela n’a probablement pas de sens
de spécifier à la fois la clé et le mot de passe.
-iv IV
L’IV à utiliser: sous forme de chaîne de caractères composée de
caractères hexadécimaux uniquement. Si seule la clé est spécifiée
avec l’option -K, l’IV doit être défini explicitement. Si un mot de
passe est spécifié, l’IV est généré à partir de ce mot de passe.
-p Afficher la clé et l’IV utilisés.
-P Afficher la clé et l’IV utilisés puis sortir immédiatement: aucun
chiffrement ou déchiffrement n’est effectué.
-bufsize nombre
Définir la taille du tampon d’entrée/sortie.
-nopad
Désactiver le remplissage («padding») de blocs standard.
-debug
Déboguer les BIOs utilisé pour l’entrée/sortie.
NOTES
Le programme peut être appelé soit comme openssl nom_algorithme soit
comme openssl enc -nom_algorithme.
Un mot de passe sera demandé si besoin est pour dériver la clé et l’IV.
L’option -salt devrait TOUJOURS être utilisée si la clé est dérivée
d’un mot de passe sauf si vous souhaitez être compatible avec les
versions précédentes d’OpenSSL et de SSLeay.
Sans l’option -salt, il est possible d’effectuer des attaques efficaces
sur les mots de passe à partir de dictionnaires et d’attaquer des flux
de données chiffrées. Ceci vient du fait que sans le grain de sel, le
même mot de passe génère toujours la même clé de chiffrement. Si un
grain de sel est utilisé, les huit premiers octets des données encodées
sont réservés pour le sel: ils sont générés aléatoirement lors du
chiffrement d’un fichier et lus lors du déchiffrement.
Certains algorithmes n’ont pas de clé de taille importante et d’autres
ont des implications sur la sécurité en cas de mauvaise utilisation. Un
débutant est avisé d’utiliser des encodages en bloc forts en mode CBC
comme bf ou des3.
Tous les algorithmes en mode bloc utilisent la méthode de remplissage
PKCS#5, le «standard block padding»: ceci permet d’effectuer une
vérification rudimentaire de l’intégrité ou du mot de passe. Toutefois,
comme la probabilité que de données quelconques passent le test est
meilleure que 1 sur 256, ce n’est pas un très bon test.
Si le remplissage est désactivé, les données en entrées doivent avoir
une taille multiple de la taille de bloc de l’algorithme.
Tous les algorithmes RC2 ont la même longueur de clé et longueur de clé
effective.
Les algorithmes Blowfish et RC5 utilisent une clé de 128 bits.
ALGORITHMES PRIS EN CHARGE
base64 Base 64
bf-cbc Blowfish en mode CBC
bf Alias pour bf-cbc
bf-cfb Blowfish en mode CFB
bf-ecb Blowfish en mode ECB
bf-ofb Blowfish en mode OFB
cast-cbc CAST en mode CBC
cast Alias pour cast-cbc
cast5-cbc CAST5 en mode CBC
cast5-cfb CAST5 en mode CFB
cast5-ecb CAST5 en mode ECB
cast5-ofb CAST5 en mode OFB
des-cbc DES en mode CBC
des Alias pour des-cbc
des-cfb DES en mode CBC
des-ofb DES en mode OFB
des-ecb DES en mode ECB
des-ede-cbc Triple DES EDE à 2 clés en mode CBC
des-ede Triple DES EDE à 2 clés en mode ECB
des-ede-cfb Triple DES EDE à 2 clés en mode CFB
des-ede-ofb Triple DES EDE à 2 clés en mode OFB
des-ede3-cbc Triple DES EDE à 3 clés in CBC mode
des-ede3 Triple DES EDE à 3 clés en mode ECB
des3 Alias pour des-ede3-cbc
des-ede3-cfb Triple DES EDE à 3 clés en mode CFB
des-ede3-ofb Triple DES EDE à 3 clés en mode OFB
desx Algorithm DESX
idea-cbc Algorithm IDEA en mode CBC
idea Alias pour idea-cbc
idea-cfb IDEA en mode CFB
idea-ecb IDEA en mode ECB
idea-ofb IDEA en mode OFB
rc2-cbc RC2 128 bits en mode CBC
rc2 Alias pour rc2-cbc
rc2-cfb RC2 128 bits en mode CFB
rc2-ecb RC2 128 bits en mode ECB
rc2-ofb RC2 128 bits en mode OFB
rc2-64-cbc RC2 64 bits en mode CBC
rc2-40-cbc RC2 40 bits en mode CBC
rc4 RC4 128 bits
rc4-64 RC4 64 bits
rc4-40 RC4 40 bits
rc5-cbc Algorithme RC5 en mode CBC
rc5 Alias pour rc5-cbc
rc5-cfb Algorithme RC5 en mode CFB
rc5-ecb Algorithme RC5 en mode ECB
rc5-ofb RC5 cipher in OFB mode
aes-[128|192|256]-cbc AES 128/192/256 bits en mode CBC
aes-[128|192|256] Alias pour aes-[128|192|256]-cbc
aes-[128|192|256]-cfb AES 128/192/256 bits en mode CFB 128 bits
aes-[128|192|256]-cfb1 AES 128/192/256 bits en mode CFB 1 bit
aes-[128|192|256]-cfb8 AES 128/192/256 bits en mode CFB 8 bits
aes-[128|192|256]-ecb AES 128/192/256 bits en mode ECB
aes-[128|192|256]-ofb AES 128/192/256 bits en mode OFB
EXEMPLES
Encoder just en base64 un fichier binaire:
openssl base64 -in file.bin -out file.b64
Décoder le même fichier:
openssl base64 -d -in file.b64 -out file.bin
Chiffrer un fichier en utilisant le triple DES en mode CBC et en
demandant le mot de passe sur le terminal:
openssl des3 -salt -in file.txt -out file.des3
Déchiffrer un fichier avec le mot de passe fournit:
openssl des3 -d -salt -in file.des3 -out file.txt -k mypassword
Chiffrer un fichier, puis l’encoder en base64 (pour pouvoir l’envoyer
par mail par exemple), en utilisant l’algorithme Blowfish en mode CBC:
openssl bf -a -salt -in file.txt -out file.bf
Décoder un fichier base64, puis le déchiffrer:
openssl bf -d -salt -a -in file.bf -out file.txt
Déchiffer des données en utilisant une clé RC4 de 40 bits fournie:
openssl rc4-40 -in file.rc4 -out file.txt -K 0102030405
BOGUES
L’option -A ne fonctionne pas correctement avec les très gros fichiers.
Il devrait y avoir une option permettant d’inclure un compteur
d’itérations.
Le programme enc gère seulement un nombre fixe d’algorithmes avec
certains paramètres. Ainsi, par exemple, pour utiliser RC2 avec une clé
de 76 bits ou RC4 avec 84 bits, vous ne pourrez pas utiliser ce
programme.
TRADUCTION
Cette page de manuel a été traduite par arne en 2002 et est maintenue
par la liste <debian-l10n-french AT lists DOT debian DOT org>.
Veuillez signaler toute erreur de traduction par un rapport de bogue
sur le paquet manpages-fr-extra.