1. 27 mars 2015 - 16ème JDLL de LYON
@wagabow
Atelier signature et chiffrement de
mail
Seahorse – Thunderbird - Enigmail
2. Qui suis-je ?
Un curieux
Un inquiet !
@wagabow (twitter, diaspora, entre autre)
Padawan en vie privée
Cherche à quitter le côté obscur
Jedi : Genma, Aeris (mais pas que!)
4. Introduction
Pourquoi chiffrer ces mails ?
Pourquoi pas ?
Parce que c'est marrant (si si c'est vrai!)
Parce que l'on souhaite protéger notre vie privée.
De qui ?
Des publicités ciblées (Google)
De la surveillance de masse (NSA)
5. Introduction
GPG, c'est quoi ?
Cryptographie à clé publique :
● On signe avec notre clé privée, le destinataire
nous authentifie avec notre clé publique
● On chiffre avec sa clé publique, il déchiffre avec
sa clé privée
6. Sommaire
● Préambule : SMTPS / IMAPs
● Installation
● Gestion du trousseau :
● Création de clés
● Publication
● Importation
● Exportation de la clé publique
● Vérification et signature
● Révocation
● Thunderbid - Enigmail
● Configuration de thunderbird
● Chiffrer un mail
● Signer un mail
● Déchiffrer un mail
● Vérifier la signature d'un mail
● Gestion du trousseau via Enigmail
7. Préambule : SMTPS / IMAPs
Pourquoi SMTPs / IMAPs ?
A quoi bon chiffrer ces mails si lors de
l'authentification au serveur SMTP / IMAP, le
couple login/password est en clair ?! :)
10. Installation
● Création et gestion du trousseau de clé :
Seahorse (de base) ou CLI (ma petite préférence ;) !)
INFO DE DERNIERE MINUTE, ENIGMAIL GERE TRES BIEN LE TROUSSEAU:)
● Client mail : Thunderbird
● Extension Thunderbird : Enigmail
11. Seahorse – Création de sa clé
● Création et gestion
du trousseau de clé :
Seahorse
12. Seahorse – Création de sa clé
● Création et gestion
du trousseau de clé :
Seahorse
18. Exportation de la clé publique
● En CLI : gpg2 --export --armor > key_gpg.pub
● Via Thunderbird (cf plus loin:)
19. Vérification et signature
● Important : vérifier les clés publiques de vos
destinataires pour leur attribuer un niveau de
confiance
● → rencontrer les propriétaires de clés
publiques : KEY SIGNING PARTY
En plus c'est cool les Key Signing Party !
22. Révocation
● Le principe : annoncer que votre clé n'est plus
utilisé (oubli de mot de passe, compromission
de votre clé privée …)
● Plusieurs méthodes :
● Prévisionnel : en CLI ou via Enigmail (que l'on verra dans
la partie Thunderbird/Enigmail)
● Immédiat : Par seahorse
23. Révocation
● Prévisionnel : en ligne de commande
gpg2 –gen-revoke user-id
● Créer un certificat de révocation à importer si
besoin puis à publier ( ! seulement en cas de pb ! )
gpg2 --import fichier
gpg2 --keyserver pgp.mit.edu --send-keys votreclef
● Pourquoi ce certificat : si le mot de passe est oublié et
sans avoir créer ce certificat au préalable, vous ne pourrez
révoquer votre clé.
29. Chiffrer et Signer un mail
● Dépendant de la configuration de Thunderbird.
Ma conf :
● Si je possède la clé publique du destinataire
Chiffrer / signer automatiquement (pop-up→
de confirmation)
● Si je ne possède pas sa clé publique →
Thunderbird me demande ce que je veux
faire (chiffrer ou signer ou rien)
30. Déchiffrer un mail
● Ouvrir le mail reçu et si Thunderbird/Enigmail
est correctement configuré, votre mot de passe
de votre clé privée vous est demandé le mail→
est déchiffré
31. Vérifier la signature d'un mail
● Via Thunderbird, une fois le mail déchiffré (si
chiffré) et ouvert
32. Gestion du trousseau via Enigmail
● Il est aussi possible
de gérer son
trousseau de clé via
Enigmail