Présentation du chiffrement des mails avec PGP pour la Cryptoparty Rennes 1 - INSA Rennes le 4 mars 2017

1. https://bibliotheques.univ-rennes1.fr/
@BURennes1
/UnivRennes1
damien.belveze@univ-rennes1.fr
Chiffrer ses mails avec PGP
Une clé publique pour une
vie privée

2. https://bibliotheques.univ-rennes1.fr/
@BURennes1
/UnivRennes1
damien.belveze@univ-rennes1.fr
Envoyer un mail non chiffré = envoyer
une carte postale sur le réseau

3. https://bibliotheques.univ-rennes1.fr/
@BURennes1
/UnivRennes1
damien.belveze@univ-rennes1.fr
Chiffrement des mails : 1991, Philip
Zimmerman
Pretty Good Privacy (PGP)
Première « cryptowar »
Les deux principes de PGP :
Chiffrement de bout en bout : les usagers détiennent les
clés, pas les serveurs qu'ils utilisent.
Chiffrement asymétrique : la clé qui sert à chiffrer est
différente de celle qui sert à déchiffrer

4. https://bibliotheques.univ-rennes1.fr/
@BURennes1
/UnivRennes1
damien.belveze@univ-rennes1.fr
Chiffrement symétrique

5. https://bibliotheques.univ-rennes1.fr/
@BURennes1
/UnivRennes1
damien.belveze@univ-rennes1.fr
Chiffrement asymétrique

6. https://bibliotheques.univ-rennes1.fr/
@BURennes1
/UnivRennes1
damien.belveze@univ-rennes1.fr
Comment Alice peut-elle vérifier que
c'est bien Bob qui lui écrit ?
Bob se sert de la clé publique d'Alice pour lui envoyer
un mail chiffré
Il signe ce message avec sa clé privée
Alice reçoit le message de Bob et le déchiffre avec sa
clé privée à elle.
Elle affiche l'empreinte de la clé publique de Bob.
Cette empreinte doit correspondre à celle qu'Alice lui
a remise en main propre.

7. https://bibliotheques.univ-rennes1.fr/
@BURennes1
/UnivRennes1
damien.belveze@univ-rennes1.fr
Qu'est-ce que signer une clé ?
C'est indiquer à soi-même ou aux autres le niveau de
confiance que l'on accorde au propriétaire d'une
clé
On signe une clé :
Parce qu'on a rencontré la personne et qu'on a fait le
lien entre son identité et sa clé
Parce qu'un tiers en qui on a confiance a déjà signé
sa clé

8. https://bibliotheques.univ-rennes1.fr/
@BURennes1
/UnivRennes1
damien.belveze@univ-rennes1.fr
Limites de ce type de chiffrement
Cryptanalyse : très longue et très coûteuse
« Cryptanalyse à la gégène » : beaucoup plus
économique
Refus de fourniture de la clé malgré une injonction du
juge : 45000 euros et 3 ans de prison
Le chiffrement des mails est cependant légal et
recommandé pour nombre de professions (avocats,
journalistes, diplomates...)

9. https://bibliotheques.univ-rennes1.fr/
@BURennes1
/UnivRennes1
damien.belveze@univ-rennes1.fr
Les points de vigilance
PGP ne chiffre pas les métadonnées (User Agent,
destinataire, expéditeur, objet, horodatage)
Attaque par keylogger
Attaque par infection du client mail
L'attaque la plus courante est celle de l'homme du milieu

10. https://bibliotheques.univ-rennes1.fr/
@BURennes1
/UnivRennes1
damien.belveze@univ-rennes1.fr
L'avenir de PGP
Non intrusif : pas besoin d'avoir le 06 du
correspondant
Résistance du mail par rapport au message
instantané
Des algorithmes de hachage et de chiffrement forts
Mais une certaine complexité : PGP peine à gagner de
nouveaux usages.

11. https://bibliotheques.univ-rennes1.fr/
@BURennes1
/UnivRennes1
damien.belveze@univ-rennes1.fr
Travaux pratiques
1. Installer les logiciels
2. Créer sa paire de clés
3. Envoyer votre premier message chiffré
http://focus.univ-rennes1.fr/pgp

12. https://bibliotheques.univ-rennes1.fr/
@BURennes1
/UnivRennes1
damien.belveze@univ-rennes1.fr