PGP / GPG - Pretty Good Privacy

Introduction

PGP (“Pretty Good Privacy” ou en français “Plutôt bonne intimité” est un mécanisme de cryptographie renforcé qui permet de chiffrer une donnée à l'aide d'une clef publique pour que seul le détenteur de la clef privée associée à la clef publique puisse en prendre connaissance.

C'est par exemple utilisé pour chiffrer les mails pour qu'il soit impossible de lire leurs contenus sans la clef privée.

PGP/GPG n'est pas à confondre avec TLS. Un mail envoyé via TLS permet de chiffrer la transmission du mail sur Internet afin qu'il ne soit pas possible de l'intercepter et de lire son contenu avant qu'il arrive à son destinataire. Une fois que le mail est arrivé chez son destinataire, son contenu peut être lu, par son destinataire mais aussi un éventuel pirate qui aurai accès à sa boite mail.

PGP/GPG permet de protéger le contenu du mail une fois le mail arrivé et stocké sur le serveur de messagerie ou sur l'ordinateur.

Exemple : Monsieur X envoi régulièrement des mails à Y et tout deux veulent protéger leurs vies privées afin que leurs échanges ne puissent pas être lus par une autre personne sans cette clef privé. Monsieur X vas alors générer un couple de clef PGP privé/publique et envoyer la clef publique à Monsieur Y. Ainsi, Monsieur X pourra chiffrer ses mails avec sa clef privée avant de l'envoyer à Monsieur Y. Ce dernier utilisera alors la clef publique de Monsieur X pour lire et déchiffrer les mails qu'il reçoit.

Si Monsieur Y souhaites également chiffrer les mails qu'ils envois à Monsieur X, il devra faire de même en générant un couple de clef PGP privé/publique et envoyer la clef publique à Monsieur X à son tour.

Présentation de la fonctionnalité

Depuis le 23 février 2018, les hébergés chez FranceServ Hébergement peuvent renseigner une clef PGP publique sur l'interfaces de gestion afin que les mails envoyés à leurs intentions par les robots automatiques du service puissent être chiffrés et protégés. Ainsi, seul le destinataire légitime d'un mail pourra en prendre connaissance.

C'est une fonctionnalité propre au service d'hébergement et à ses notifications et mails automatiques ainsi qu'au site officiel de FranceServ Hébergement.

Génération de votre paire de clef publique/privé

La génération de cette paire de clef peut s'effectuer avec un logiciel GNUPG2 tels que par exemple l'extension Enigmail de Mozilla Firefox ou K-9 Mail sur Android.

Installation du plugin Enigmail pour Thunderbird

Mozilla Thunderbird, comme Mozilla Firefox, dispose d’une bibliothèque de modules complémentaires (ou plugins). L’un d’eux est Enigmail : c’est lui qui va vous donner la possibilité d’utiliser GPG pour chiffrer vos e-mails.

  1. Pour l’installer, allez dans le menu à droite et sur modules complémentaires,
  2. Recherchez alors le plugin Enigmail puis installez-là en cliquant sur Installer.
  3. À la fin de cette installation, vous serez invités à redémarrer Thunderbird, ce que vous allez faire. À l’ouverture l’assistant de configuration d’OpenPGP s’ouvrira et vous pouvez configurer GPG.

Configuration du plugin Enigmail et installation d’OpenPGP

  1. Après le redémarrage de Thunderbird, on obtient un écran de configuration d’OpenPGP,
  2. Cliquez sur suivant. L’assistant vous dira qu’il faut installer le logiciel GPG. Cliquez sur Installer,
  3. Le programme téléchargera GPG et l’installation commencera. Sélectionnez la langue et cliquez sur OK,
  4. Patientez durant l’installation d’OpenPGP,
  5. Après, cliquez sur suivant pour procéder à la configuration,
  6. À la question pour signer par défaut tous les messages, mettez Non,
  7. Concernant le chiffrement par défaut, cliquez sur oui. Le chiffrement permet, comme c’est écrit, de cacher le message : seul le destinataire pourra le lire. Si on choisit oui ici, alors ça chiffrera les messages pour tout ceux qui utilisent GPG, et ça laissera le message en clair pour ceux qui ne l’utilisent pas, et c’est ce que nous voulons.
  8. Cliquez ensuite sur suivant,
  9. À la question concernant le choix de paramètres supplémentaires, choisissez également oui. Ça nous évitera de devoir configurer tout ça après. Ensuite, faites suivant.

Génération de paire de clés PGP/GPG

On va maintenant créer deux clés (une publique et une privée) ; ou plutôt c’est l’ordinateur qui va faire ça : vous n’avez rien à faire en fait.

La clé publique c’est la clé que vous donnerez à vos contacts, distribuerez sur le net : les utilisateurs s’en serviront pour vous envoyer un message. La clé privée en revanche, il faut la garder très précieusement : elle vous servira à déchiffrer les messages que vous recevrez.

Choisissez alors votre mot de passe afin de protéger votre clef privée, il faudra vous en souvenir. Cliquez ensuite sur suivant,

Comme vous n’avez encore de paire de clés, il faut en créer une. Choisissez donc je veux créer une nouvelle paire de clés pour chiffrer et signer mes messages puis cliquez sur suivant,

L'assistant de configuration vous fait alors un petit récapitulatif de vos choix. Il ne vous reste qu’à cliquer sur suivant pour générer les deux clés.

La génération des clés peut durer entre quelques secondes et quelques minutes. La génération des clés a besoin d’un haut niveau d’entropie. Sans entrer dans les détails, cela signifie qu’il va chercher des bits aléatoire sur l’ordinateur. Plus il trouve de l’entropie, plus la clé sera robuste. Si la génération de la clé prend beaucoup de temps, ouvrez Word (ou LibreOffice Writer) et taper n’importe quoi au clavier, au hasard. Secouez la souris, montez et baissez le volume, etc. Il faut de l’aléatoire.

Une fois la génération des clés terminée, il vous dit de faire un certificat de révocation. Ceci est pour pouvoir annuler la clé au cas où vous la perdez ou si vous oubliez le mot de passe. Cela notifiera vos contacts que votre clé ne doit plus être utilisée.

Il vous demandera votre mot de passe (celui que vous avez choisi il y a quelques instants) et il vous proposera d’enregistrer un fichier .asc, c’est le certificat de révocation de la clé. Il ne servira qu’au cas où. Ce fichier est à conserver en lieu sûr et il ne faut jamais le perdre.

Une fois le fichier enregistré, vous avez terminé, félicitation !

Thunderbird est installé, Enigmail et GPG aussi et vos clés sont générées. Il ne reste plus qu’à apprendre à se servir de tout ça.

Échanger les clés publiques avec vos contacts

Votre clé publique permet à vos contacts de chiffrer les messages qu’ils vous envoient. Ainsi, seul vous pourrez les déchiffrer (grâce à votre clé privée). Pour pouvoir leur répondre, il faudra également que vous importiez la clé publique de votre contact si besoin.

Exporter sa clé publique, et la distribuer

Il faut donc donner votre clé publique à vos contacts. Voici comment on fait.

  1. Dans les préférences de Thunderbird, allez sur OpenPGP puis Gestion des clés
  2. On va exporter la clé dans un fichier. Ce fichier peut être placé sur une clé USB et donné à vos proches, ou envoyé sur votre site, ou partagé de n’importe quelle autre façon.
  3. Toujours dans la fenêtre de la gestion des clés, allez sur Fichier puis Exporter les clés vers un fichier. Un popup vous demandera quelles clés. Ne choisissez d’exporter que la clé publique.

Enregistrez alors votre fichier. C’est un fichier .asc : c’est un simple fichier texte qui contient votre clé publique. C’est ce fichier texte qu’il faut donner à tous vos contacts (du moins, ceux qui veulent utiliser GPG avec vous) et donc à FranceServ Hébergement via votre interface de gestion.

Une fois votre clef enregistré dans votre interface de gestion, elle est prise en compte en 60 secondes maximum. Un mail vous sera alors envoyé ce de style :

L'adresse où renseigner votre clef PGP publique est à cette adresse : https://www.franceserv.fr/admin/protection/pgp-key/

Pour aller plus loin avec PGP

Pour plus d'information sur l'utilisation de Enigmail avec Thunderbird, vous pouvez vous rendre sur cette excellente documentation : http://lehollandaisvolant.net/tuto/gpg/#i2

 
pgp.txt · Dernière modification: 2019/03/13 06:46 par elodie
 
Recent changes RSS feed Creative Commons License Donate Powered by PHP Valid XHTML 1.0 Valid CSS Driven by DokuWiki