27 mars 2015 - 16ème JDLL de LYON @wagabow
Atelier signature et chiffrement de mail
Seahorse – Thunderbird - Enigmail
Qui suis-je ?
Un curieuxUn inquiet !
@wagabow (twitter, diaspora, entre autre)
Padawan en vie privéeCherche à quitter le côté obscur
Jedi : Genma, Aeris (mais pas que!)
Introduction
Pourquoi chiffrer ces mails ?Pourquoi pas ?
Parce que c'est marrant (si si c'est vrai!)Parce que l'on souhaite protéger notre vie privée.
De qui ?Des publicités ciblées (Google)
De la surveillance de masse (NSA)
Introduction
GPG, c'est quoi ?
Cryptographie à clé publique :● On signe avec notre clé privée, le destinataire
nous authentifie avec notre clé publique● On chiffre avec sa clé publique, il déchiffre avec
sa clé privée
Sommaire● Préambule : SMTPS / IMAPs● Installation● Gestion du trousseau :
● Création de clés● Publication● Importation● Exportation de la clé publique● Vérification et signature● Révocation
● Thunderbid - Enigmail● Configuration de thunderbird● Chiffrer un mail● Signer un mail● Déchiffrer un mail● Vérifier la signature d'un mail● Gestion du trousseau via Enigmail
Préambule : SMTPS / IMAPs
Pourquoi SMTPs / IMAPs ?A quoi bon chiffrer ces mails si lors de
l'authentification au serveur SMTP / IMAP, le couple login/password est en clair ?! :)
Installation
● Création et gestion du trousseau de clé : Seahorse (de base) ou CLI (ma petite préférence ;) !)
INFO DE DERNIERE MINUTE, ENIGMAIL GERE TRES BIEN LE TROUSSEAU:)
● Client mail : Thunderbird● Extension Thunderbird : Enigmail
Exportation de la clé publique
● En CLI : gpg2 --export --armor > key_gpg.pub● Via Thunderbird (cf plus loin:)
Vérification et signature
● Important : vérifier les clés publiques de vos destinataires pour leur attribuer un niveau de confiance
● → rencontrer les propriétaires de clés publiques : KEY SIGNING PARTY
En plus c'est cool les Key Signing Party !
Révocation
● Le principe : annoncer que votre clé n'est plus utilisé (oubli de mot de passe, compromission de votre clé privée …)
● Plusieurs méthodes :● Prévisionnel : en CLI ou via Enigmail (que l'on verra dans
la partie Thunderbird/Enigmail)
● Immédiat : Par seahorse
Révocation
● Prévisionnel : en ligne de commandegpg2 –gen-revoke user-id
● Créer un certificat de révocation à importer si besoin puis à publier ( ! seulement en cas de pb ! )
gpg2 --import fichiergpg2 --keyserver pgp.mit.edu --send-keys votreclef
● Pourquoi ce certificat : si le mot de passe est oublié et sans avoir créer ce certificat au préalable, vous ne pourrez révoquer votre clé.
Utilisation – Chiffrer et signer un email
Configuration
● Ca y est, on y est !● Avant tout, configurons Thunderbird
Chiffrer et Signer un mail
● Dépendant de la configuration de Thunderbird. Ma conf :
● Si je possède la clé publique du destinataire Chiffrer / signer automatiquement (pop-up →
de confirmation)● Si je ne possède pas sa clé publique →
Thunderbird me demande ce que je veux faire (chiffrer ou signer ou rien)
Déchiffrer un mail
● Ouvrir le mail reçu et si Thunderbird/Enigmail est correctement configuré, votre mot de passe de votre clé privée vous est demandé le mail →est déchiffré
Vérifier la signature d'un mail
● Via Thunderbird, une fois le mail déchiffré (si chiffré) et ouvert
Gestion du trousseau via Enigmail
● Il est aussi possible de gérer son trousseau de clé via Enigmail
Remerciements● Les G.O. des JDLL :-)● ALDIL● Au collectif Café Vie Privée
(https://café-vie-privée.fr/) avec (entre autre) :● Genma :
● https://twitter.com/genma● https://github.com/genma/● http://genma.free.fr/
● Aeris :● https://twitter.com/aeris22● https://blog.imirhil.fr
Top Related