Forum général.général Crypter ses mails

Posté par  (site web personnel) .
Étiquettes : aucune
0
31
jan.
2006
Bonjour,

Je dois l'avouer, en matière de cryptage de données. je n'y connais guère plus que le principe théorique des clés publiques / privées.

Il se trouve que j'aimerais bien utiliser Open PGP pour crypter mes messages, mais je n'y connais presque rien. Voici ce que j'ai compris, vous me corrigerez:

Je me génère une paire de clés, je garde la privée pour moi, et je publie (en attaché?) ma publique. Si je communique avec une personne qui n'a pas de clé, je ne peux pas crypter, par contre si il en a une, j'utilise sa clé publique pour crypter le message. Il utilisera sa privée pour décrypter.

Mais maintenant, comment mettre tout ça en place ? Quelqu'un a un bon guide, je n'ai trouvé que quelques bribes sur le net, il m'en faudrait surtout une qui m'explique comment configurer ça dans mon client (KMail en l'occurence).

Merci de votre aide.
  • # Début de réponse...

    Posté par  (site web personnel) . Évalué à 2.

    Je ne connais pas de document concernant Kmail en particulier, mais pour certains points généraux il existe un wikibook sur le sujet :

    http://fr.wikibooks.org/wiki/GPG
  • # Lire le manuel

    Posté par  . Évalué à 2.

    Ben justement dans Kmail tout est expliqué en long en large et en travers.
    Il suffit d'aller dans le menu aide puis manuel de kmail. Ensuite aller dans
    Page Sécurité (chap 4) et la fin du chapitre il ya un lien sur OpenPPG qui
    explique dans le détail comment faire avec kmail. En plus c'est en français.
    voila.
  • # Ben...

    Posté par  (site web personnel) . Évalué à 5.

    J'avais rédigé ca il y a quelques temps...

    -> http://gpglinux.free.fr/gpg.pdf
  • # ENIGMAIL

    Posté par  . Évalué à 3.

    Voir le plugin enigmail pour mozilla/thunderbird. (Attention ca entre en conflit avec la tradution française sur ma mandriva. Obligé de parler l'anglais donc)
  • # Un peu de théorie avant la pratique

    Posté par  . Évalué à 1.

    1ère remarque (la moins importante) :
    Les termes "crypter" et "cryptage" sont des anglicismes. On devrait dire "chiffrer" et "chiffrement". Néanmoins les termes que tu emploies sont (à tort) couramment utilisés. A tel point qu'ils sont entrés dans le dictionnaire récemment. Mais bon les initiés en matière de sécurité informatique et notamment en cryptologie, utilisent exclusivement les termes "chiffrer", "chiffrement", "déchiffrer" et "déchiffrement". (NB : Le terme "décryptage", également un anglicisme, est employé par ces derniers pour désigner l'action de retrouver le texte clair à partir du texte chiffré sans connaissance préalable de la clé secréte).

    2ème remarque (bien plus importante, sinon capitale) :
    En matière de sécurité informatique, l'absence de protection faut parfois mieux que le faux sentiment de sécurité que procure une protection non maitrisée. Ainsi, je t'invite à te documenter d'avantage sur les principes de la cryptographie et surtout sur son utilisation pratique. Et cela même avant de passer à la pratique en utilisant un outil particulier. Ce dernier doit être utilisé convenablement pour garantir le niveau de sécurité qu'il prétend pouvoir donner. Tu peux par exemple lire les documents suivants :

    + Une introduction à la cryptographie :
    ftp://ftp.pgpi.org/pub/pgp/6.5/docs/french/IntroToCrypto.pdf

    + Traduction française de la FAQ du forum sci.crypt :
    http://michel.arboi.free.fr/cryptFAQ/index.html

    Ces documents datent de quelques années mais il reste toujours d'actualité dans sa majeure partie.

    Concernant la transmission de ta clé publique, rien ne t'interdit de l'attacher à ton mail mais ce n'est pas l'usage courant. Cà rallonge les mails inutilement si tu l'envoies systèmatiquement à tous les destinaires de tes mails. En effet, certains ne l'utiliseront pas et ceux qui l'ont déjà n'en ont plus le besoin. Si tu souhaites procéder ainsi pour transmettre ta clé, efforce toi de l'envoyer une seule fois à des personnes qui ont exprimé le souhait de l'utiliser. Il existe une autre raison allant contre l'utilisation _exclusive_ de ce moyen de transmission. Je l'expose plus bas dans mon post.

    L'usage est de la rendre _publiquement_ accessible en _téléchargement_. Tu peux utiliser pour celà à la fois ton site web si tu en as un et un serveur de clé ad-hoc. Utilise par exemple celui là :
    http://keyserver.veridis.com:11371/index.html
    A l'heure où j'écris ces lignes, ce serveur semble momentanément indisponible. Les serveurs de clés ne sont plus ce qu'ils étaient. Et je dis celà sans ironie. Il en exite bien d'autres. Les serveurs de clés se synchronisent régulièrement entre eux (en théorie du moins). Il est donc (en théorie) inutile d'uploader ta clé publique sur plusieurs serveurs de clés.

    Le caractère public de la disponibilité de ta clé est un élement intéressant dans le fonctionnement du "réseau de confiance" (web of trust) c.f. :
    http://openpgp.vie-privee.org/gpg-intro-5.html
    Ainsi, la mise à disposition de ta clé sur un serveur de clés est particulièrement intéressante pour accroître la puissance du "réseau de confiance". C'est la raison qui me motive à te déconseiller l'utilisation _exclusive_ de l'envoie de ta clé publique en pièce jointe d'un mail comme moyen de transmission.

    Ainsi pour résumer, je te conseille de mettre ta clé publique sur un serveur de clé et sur ton site web (dans le cas où tu en as un). Je te conseille ensuite de configurer ton client de messagerie pour que la signature de ton mail inclue au minimum l'identifiant de ta clé (key id - il te permet de faire une recherche sur un serveur de clé). L'adresse du serveur de clé où tu as uploadé ta clé, et éventuellement l'adresse de ta clé au niveau de ton site web peuvent également faire partie de ta signature.

    Surtout ne perds pas de vue que quelque soit la manière dont tu récupéres la clé de ton contact (exception faite d'un échange de main en main), que ce soit par mail, par téléchargement sur un serveur de clé ou sur le site web du propriétaire de la clé, tu dois t'assurer que la clé que tu viens de récupérer et bien celle de celui que tu penses. Pour cela, il existe deux manières complémentaires. La première correspond au cas où tu as la possibilité de rencontrer physiquement tes contacts. Dans ce cas, lors d'une rencontre avec une personne avec qui tu souhaites communiquer de manière sécurisé, que ce soit dans le but de garantir l'authenticité et/ou la confidentialité des messages échangés, vous vous échangez les empreintes (fingerprints) de vos clés. A partir de ce moment là, tu peux vérifier que la clé que tu as récupéré, est bien celle de la personne que tu as rencontré. Mais lors de la rencontre, vous vérifiez également vos identités en présentant vos papiers d'identité officiels (carte d'identité ou passeport). Il est évident que si c'est une personne que tu connais bien et dont tu n'as pas de doute sur son identité, tu peux te dispenser de cette formalité. A moins bien sûr que tu veuilles installer le doute chez cette personne, concernant ta santée mentale ;-) Ainsi après avoir vérifié que l'empreinte qui t'as été _directement_ communiquée correspond bien à l'empreinte de la clé que tu as récupérée, et que l'identité prouvée (ou déjà connue) correspond bien à cette dernière clé, tu peux non seulement l'utiliser pour communiquer de manière sécurisée et signer (avec ta clé privée) sa clé publique. L'usage est alors d'uploader sur un serveur de clés sa clé publique comportant ta signature et d'en envoyer une copie par mail au propriétaire de la clé. Le deuxième moyen de s'assurer de l'authenticité d'une clé est de se reposer sur le "réseau de confiance" (cf lien ci-dessus sur le fonctionnement de ce dernier).

    Je suis concient que tout ce que je viens d'écrire ne répond pas à ta question initiale. Mais c'est je pense, un préalable important, si ce n'est pas indispensable, à la bonne utilisation d'un outil comme GNU Privacy Guard (GnuPG). Pour information, OpenPGP n'est pas un outil mais un standard auquel les outils comme GnuPG et PGP se conforment. Concernant l'intégration et l'utilisation de GnuPG sous KMail, tu peux par exemple te référer aux liens suivants :

    How to set up gpg-agent for use with KDE and KMail :
    http://gentoo-wiki.com/HOWTO_KMail_gpg-agent_kde

    Using OpenPGP and PGP/MIME with KMail >= 1.7 :
    http://kmail.kde.org/kmail-pgpmime-howto.html

    Je te recommande également la lecture des documents suivants. Tu les trouveras probablement très instructifs.

    Introduction à GnuPG :
    http://openpgp.vie-privee.org/gpg-intro.html

    Le manuel de GNU Privacy Guard (GnuPG) :
    http://www.gnupg.org/gph/fr/manual.html

    Si tu as des questions bien précises sur l'utilisation d'un logiciel libre ou opensource de cryptographie. Tu peux les formuler sur la liste de diffusion open-crypto (les posts sont en français) de Michel Bouissou (à l'origine de la Knoppix MiB, une version de la Knoppix orientée sécurité). Les intervenants de cette liste, en plus d'être particulièrement sympas, portent un grand intérêt à la cryptographie, et à la sécurité informatique d'une manière plus générale. Je les trouve de plus assez compétent sur le sujet.
    Pour s'abonner à cette liste de diffusion (de type "Sympa"), tu envoies un mail à l'adresse <sympa@bouissou.net> avec le sujet suivant :
    SUBSCRIBE open-crypto@bouissou.net monPrénom monNom
    Après avoir confirmé ton abonnement (cf mail de réponse à ta demande d'abonnement), tu peux poser tes questions à l'adresse <open-crypto@bouissou.net>.
    Pour se désabonner, tu envoies un mail à l'adresse <sympa@bouissou.net> avec le sujet suivant :
    SIGNOFF open-crypto@bouissou.net monAdresseEmail

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.