Outils pour utilisateurs

Outils du site


sysadmin:securite:openpgp

OpenPGP

PGP est un logiciel de chiffrement symétrique et asymétrique. Il a donné un standard : OpenPGP (RFC 2440). Il a un équivalent libre : GnuPG.

PGP et GnuPG

Depuis quelques années seulement, une personne physique peut disposer gratuitement d'un certificat (voir par exemple CAcert). Dès lors, la seule alternative a longtemps été le logiciel PGP (Pretty Good Privacy ou « plutôt bonne intimité ») ou son concurrent libre GnuPG. Les deux logiciels sont compatibles et savent lire le même format de fichiers (clefs, messages chiffrés, messages signés), normalisé et nommé OpenPGP.

La gestion des clefs (certificats) change ici sensiblement : chacun a son réseau de confiance (Web of Trust) et gère ses clefs et les clefs publiques de ses contacts. Il n'y a plus de notion de tiers de confiance1), il n'y a plus besoin d'une infrastructure souvent coûteuse et l'utilisateur est indépendant.

Ces deux logiciels sont essentiellement utilisés pour signer et/ou chiffrer des courriers électroniques mais servent aussi au chiffrement de fichiers (stockés sur un disque dur par exemple). Dans le cadre de la messagerie électronique, les garanties que confèrent chiffrement et signature avec ces logiciels et ces techniques sont les mêmes qu'avec des certificats :

  • garantie que le message n'a pu être signé que par le propriétaire de la clef,
  • garantie que le message ne peut être lu que par le propriétaire de la clef (s'il est chiffré) ou altéré durant le transfert (s'il est signé).
Évidemment, ces garanties ne tiennent que sous réserve que les clefs ne sont pas compromises. Il faut donc gérer ces dernières avec grand soin ; en particulier on ne les stocke jamais sur des supports amovibles (clefs USB) sauf mesures particulières (chiffrement de la clef) et on protège ses clefs par des phrases secrètes fortes (longues).

Logiciels recommandés

Sur Unix, GnuPG est un excellent logiciel. Le site MacGPG propose une version de GnuPG pour Mac OS X. Il existe aussi un portage pour Windows, compris dans l'ensemble GPG4Win.

Pour l'interfacer avec Mozilla Thunderbird, il vous faut installer le greffon Enigmail ; dans Mozilla Firefox, il vous faut installer le greffon FireGPG.

Avant le chiffrement et la signature de courriers électroniques, ces logiciels permettent surtout le chiffrement et la signature de fichiers.

Gestion des clés avec Mozilla Thunderbird & Engimail

Quelle que soit la plateforme (Mac OS X, Unix et GNU/Linux ou Windows), le greffon Engimail offre une interface graphique efficace pour créer et gérer vos clés. Lancer Thunderbird pour aborder la suite.

Création de clés

Une fois Enigmail installé dans Thunderbird, un nouveau menu s'affiche et on y trouve Gestion de clefs :

Menu OpenPGP

Une nouvelle fenêtre s'ouvre :

Gestion des clefs

On y voit nos clés et celles de nos interlocuteurs : il s'agit de notre trousseau.

Pour créer une nouvelle clef, dans le menu Générer, cliquer sur Nouvelle paire de clefs :

Menu Générer

Il y a plusieurs paramètres importants :

  1. l'identité de la clé : Engimail utilise les identités de Thunderbird (voir Identités et signatures dans Mozilla Thunderbird), choisir dans la liste déroulante ;
  2. la phrase secrète (mot de passe plus long que la moyenne) : choisissez-la longue et évidemment non-triviale, la sécurité de l'ensemble du modèle décentralisé PGP repose dessus ;
  3. le commentaire éventuel ;
  4. la durée de vie de la clef.

Quand c'est fait, cliquer sur Générer la clef.

Paramétrage

Si vous n'indiquez pas de phrase secrète, votre clé sera stocké en clair. Quiconque aura accès au fichier pourra signer des messages avec votre identité ! Il est donc indispensable de choisir une phrase secrète complexe à trouver mais simple à retenir pour vous.

Une fois la clé créé, Enigmail propose d'enregistrer un certificat de révocation. Si votre clé est compromise ou que vous avez oublié la phrase secrète, ce fichier vous permettra de la révoquer.

Certificat

On voit apparaître la nouvelle clé :

Nouvelle clé

Pour la signature et le chiffrement du courrier, voir Chiffrement et courrier électronique avec Mozilla Thunderbird.

Échanges de clefs

Signature de clefs

Réseau de confiance

Nota Bene

L'équipe informatique utilise la clef suivante : netadmin@ : OpenPGP key pour les urgences.

1)
ou plutôt chacun assure lui-même ce service
sysadmin/securite/openpgp.txt · Dernière modification: 2009/11/23 15:41 par Pascal Cabaud