les mails sous écoute ?

[Rpkx]

Bonjour,

J'ai eu un certificat Tawthe gratuit, donc sans aucune vérification de mon identité, puis un certificat Comodo guère mieux.
Je refuse de payer pour un certificat certifié par une prétendue autorité de confiance. Celui qui est lié à ma carte d'identité électronique (carte à puce) est tout sauf pratique à utiliser. L'état belge a encore gaspillé l'argent du contribuable pour un truc mal ficelé.

Finalement j'utilise très peu PGP, parce que ce n'est pas courant qu'un de mes correspondants connaisse même son existence.
La clé que j'ai utilisée pour signer est vérifiée périodiquement par PGP Global Directory. Je reçois un mail auquel je dois répondre depuis l'adresse e-mail liée à ma clé.

Je préfère PGP à GnuPG, parce que cela fait plus de dix ans que je l'utilise (rarement) et que je ne dois pas installer d'autres trucs pour le faire fonctionner.

@+


Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.0; fr; rv:1.9.1b4) Gecko/20090423 Firefox/3.5b4

[caméléon]

Je partage complétement l'avis de Phil Zimmermann sur l'intéret d'utiliser la crypto quand on en a pas besoin et sur des messages "banals".
Dans ce sens, un plugin phpBB permettant d'envoyer des mails de notifications cryptés (clé à renseigner dans le profil utilisateur) serait interessant et permettrait à ceux qui le souhaite de s'initier en toute quiétude à la crypto (j'avoue ne pas avoir convaincu mes proches d'y passer )


Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.9) Gecko/2009040821 Firefox/3.0.9 (.NET CLR 3.5.30729)

[Jacques-64]

Bonsoir,

Salut,

C'est une signature de ce genre ?

@+

Plutôt de celui-ci

Code : Tout sélectionner

Content-Type: multipart/signed; protocol="application/x-pkcs7-signature"; micalg=sha1; boundary="------------ms080602020204060209070905"

This is a cryptographically signed message in MIME format.

--------------ms080602020204060209070905
Content-Type: text/plain; charset=ISO-8859-15; format=flowed
Content-Transfer-Encoding: 7bit

Texte en clair

--------------ms080602020204060209070905
Content-Type: application/x-pkcs7-signature; name="smime.p7s"
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="smime.p7s"
Content-Description: S/MIME Cryptographic Signature

MIAGCSqGSIb3DQEHAqCAMIACAQExCzAJBgUrDgMCGgUAMIAGCSqGSIb3DQEHAQAAoIIJMzCC
AvQwggJdoAMCAQICEEHhomxPLPYqpvYomQFxik4wDQYJKoZIhvcNAQEFBQAwYjELMAkGA1UE

Autrement, j'ai aussi un certificat Thawte qui n'est certifié par personne mais, pour correspondre avec des proches ou personnes qui me connaissent, cela ne pose aucun problème puisqu'il est toujours possible de passer un coup de fil pour prévenir qu'on envoie un message signé pour transmission de la clé.
Avec des clés OpenSSL, il faut aussi envoyé la clé de certification. Cela devient nettement plus complexe.

A+

Jacques
Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.10) Gecko/2009042316 Firefox/3.0.10

[Jacques-64]

Bonsoir,

Une petite remarque sur les réactions de TB : lorsqu'on lit un vieux message (après date de fin de validité de la clé), TB ne reconnait pas correctement que la clé était valide à la date d'émission du message.
Il faut donc le savoir pour ne pas être inutilement inquiet.

A+

Jacques

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.10) Gecko/2009042316 Firefox/3.0.10

[Jacques-64]

Bonsoir,

Quand tu dis:

J'ai moi-même un certificat de Comodo, qui me permet de signer tous mes emails, mais pas de les chiffrer. Or, c'est justement ça qui est intéressant ! Il faudrait peut-être essayer le certificat thawte qui pourrait le permettre.

je pense que tu fais une erreur. Pour une communication cryptée, il faut que les 2 (ou +) correspondants disposent chacun d'un certificat. C'est donc ton correspondant qui doit te fournir la partie publique de son certificat.

1ère étape : par envoi de messages SIGNÉS, chacun envoie la partie publique de son certificat à ses correspondants.
2ème étape : on importe les certificats reçus

Ensuite, quand on signe un mail, celui-ci est vérifiable par les correspondants à condition qu'ils aient déja importé la clé. La garantie est l'impossibilité de modifier le contenu.

Par contre, quand on chiffre, le contenu est chiffré avec l'ensemble des clés publiques des destinataires. Il faut donc les avoir toutes. Peut-être est-ce ton problème: avoir les clés publiques de tes correspondants.

A+

Jacques


Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.10) Gecko/2009042316 Firefox/3.0.10

[calimo]

Par contre, quand on chiffre, le contenu est chiffré avec l'ensemble des clés publiques des destinataires. Il faut donc les avoir toutes. Peut-être est-ce ton problème: avoir les clés publiques de tes correspondants.

Oui, c'est exactement ça le gros problème. Sans la clé publique du destinataire, ça ne fonctionne pas.

Plutôt de celui-ci

Code : Tout sélectionner

Content-Type: multipart/signed; protocol="application/x-pkcs7-signature"; micalg=sha1; boundary="------------ms080602020204060209070905"

This is a cryptographically signed message in MIME format.

--------------ms080602020204060209070905
Content-Type: text/plain; charset=ISO-8859-15; format=flowed
Content-Transfer-Encoding: 7bit

Texte en clair

--------------ms080602020204060209070905
Content-Type: application/x-pkcs7-signature; name="smime.p7s"
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="smime.p7s"
Content-Description: S/MIME Cryptographic Signature

MIAGCSqGSIb3DQEHAqCAMIACAQExCzAJBgUrDgMCGgUAMIAGCSqGSIb3DQEHAQAAoIIJMzCC
AvQwggJdoAMCAQICEEHhomxPLPYqpvYomQFxik4wDQYJKoZIhvcNAQEFBQAwYjELMAkGA1UE

C'est une signature MIME, pas GPG... de quoi est-il question au juste ici ? Ce sont deux techniques assez différentes, avec MIME on a une autorité de certification... pas avec GPG.

Message envoyé avec : Mozilla/5.0 (X11; U; Linux x86_64; fr; rv:1.9.0.10) Gecko/2009042523 Ubuntu/8.10 (intrepid) Firefox/3.0.10

[Jacques-64]

Bonjour,

Peut-être un problème de lecture du fil remis à plat. Je répondais à Rpkx dont le message suivait directement le mien.
Le sujet étant "crypter les messages", les 2 techniques sont présentes. Dans un message encore antérieur, j'exposais ma préférence pour s-mime qui ne présuppose rien sur l'équipement de mes correspondants.
En y réfléchissant, les 2 méthodes ont chacune leur avantage et,pour guider le choix de chacun, il faut bien connaître le contexte.

A+

Jacques

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.10) Gecko/2009042316 Firefox/3.0.10

[Rpkx]

Sans la clé publique du destinataire, ça ne fonctionne pas

Forcément ! Sans la clé de chiffrement, tout système de cryptographie ne permet pas de décoder un message.

Mais avec PGP (compatible avec GnuPG. historiquement c'est même plutôt l'inverse qui est vrai) c'est on ne peut plus facile de récupérer une clé publique d'un correspondant. On peut l'obtenir facilement via PGPKeys si on connaît son Key ID, son adresse e-mail ou même tout simplement son nom et son prénom.

Si vous entrez le Key ID 0x505AC98A, vous obtiendrez ma clé publique avec mon identité (Prénom Nom) ainsi que l'adresse e-mail correspondante.

Si vous lancez ensuite une recherche avec mon identité vous aurez toutes mes clés publiques, valides et invalides depuis que j'utilise PGP càd le 30/10/99. Certaines n'ont pu être révoquées parce que j'avais perdu le mot de passe (oublis et erreurs de débutant).

Si l'on m'envoie un message signé avec PGP ou GPG, celui-ci recherche lui-même la clé de l'expéditeur dès que je lui demande de vérifier la signature ou de déchiffrer le message.

Il n'y a pas d'autorité de certification bidon (et surtout commerciale donc payante) pour PGP, parce que c'est la communauté des utilisateurs qui joue ce rôle. J'accorde la confiance que je veux bien à mes correspondants. Celle-ci sera basée sur les contacts que j'aurais établi avec eux, peu importe la manière, comme dans la vie réelle. Pas besoin d'un notaire pour me dire que telle personne est respectable et telle autre pas.

Pour moi les certifications imposées aux sociétés sont justifiées mais pour des particuliers c'est une grosse arnaque bien inutile.

@+

« Sed quis custodiat ipsos custodes ? » : « Mais qui garde ces gardiens ? » (Juvénal, XV, 331)

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.0; fr; rv:1.9.1b4) Gecko/20090423 Firefox/3.5b4

[Ben.d2]

Il n'y a pas d'autorité de certification bidon (et surtout commerciale donc payante) pour PGP, parce que c'est la communauté des utilisateurs qui joue ce rôle. J'accorde la confiance que je veux bien à mes correspondants. Celle-ci sera basée sur les contacts que j'aurais établi avec eux, peu importe la manière, comme dans la vie réelle. Pas besoin d'un notaire pour me dire que telle personne est respectable et telle autre pas.

Pour moi les certifications imposées aux sociétés sont justifiées mais pour des particuliers c'est une grosse arnaque bien inutile.

Ce n'est pas aussi simple.
Exemple: tu veux envoyer un message à A. Moi, de mon côté je publie sur PGPKeys une clé publique au nom de A pour son adresse e-mail. Tu vas l'utiliser pour chiffrer ton message pensant que seul A pourra le lire. Bien évidemment, A ne saura pas le lire mais pire, si je parviens à intercepter ton message, je pourrai le lire.

Une autorité de certification n'est pas là pour dire qui est respectable et qui ne l'est pas mais simplement pour garantir que la clé que tu vas utiliser appartient bien à ton correspondant et non à un usurpateur.

[Jacques-64]

Bonjour,

Je pense que la méthode de diffusion de la clé publique importe peu sauf pour ce qui concerne la facilité de cette diffusion. Ce qui est important pour des conversations confidentielles est de valider le correspondant qui nous fait face. Tout comme il est utile de vérifier les clés de hachage d'un logiciel téléchargé, il me semble indispensable de vérifier que la clé utilisée est bien celle prévue, que ce soit en PGP ou en s-mime.

Autrement, concernant les autorités de certification, elles sont indispensables pour faciliter la tâche dans un organisme un peu grand. Pour le particulier, dans le cas des clés non certifiées (type Thawte), elles ne présentent comme seul avantage que d'être pré-installées dans les logiciels et de ne rien modifier ou imposer chez le correspondant en dehors de l'installation des clés.

Selon les cas, j'utiliserais donc un jeu de clés dont je suis l'autorité de certification (donc 3 clés à transmettre à chaque correspondant mais intérêt pédagogique pour comprendre la crypto), un jeu de clés type Thawte non certifiée (donc validation par contact personnel, chacun envoyant sa clé par message signé, le plus simple car compatible avec tous les environnements) ou une clé PGP (seule utilisable si le correspondant utilise un webmail).

A+

Jacques

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.10) Gecko/2009042316 Firefox/3.0.10

[Rpkx]

Bonjour,

Jacques,
Si je voulais t'envoyer un message chiffré, cela supposerait d'abord que l'on se connaît déjà, qu'une relation de confiance s'est établie et dans ce cas je te demanderais si tu utilises PGP ou GPG et je te demanderais de me communiquer ton Key ID.
Le mien, il figure dans la signature de tous mes mails (quand j'utilise mon adresse principale, œuf corse !)

C'est pour cela que je dis qu'entre particuliers une autorité de certification n'est pas toujours utile. Il suffit d'échanger ses Key ID PGP.
Je ne me vois pas payer un certificat validé par une autorité pour l'utiliser une fois ou deux par an. Et un certificat même gratuit il faut l'installer dans tous ses navigateurs et mailers et peut-être recommencer tous les ans. Beaucoup de chichis pour peu d'avantages.

@+

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.0; fr; rv:1.9.1b4) Gecko/20090423 Firefox/3.5b4

[calimo]

Si je voulais t'envoyer un message chiffré, cela supposerait d'abord que l'on se connaît déjà, qu'une relation de confiance s'est établie et dans ce cas je te demanderais si tu utilises PGP ou GPG et je te demanderais de me communiquer ton Key ID.

Or justement, il a été dit (il y a quelques pages) que l'utilité serait maximale si tous les emails étaient chiffrés.
Lorsque tu veux prendre contact avec quelqu'un que tu ne connais pas, tu ne lui envoies pas une carte postale...

Message envoyé avec : Mozilla/5.0 (X11; U; Linux x86_64; fr; rv:1.9.0.10) Gecko/2009042523 Ubuntu/8.10 (intrepid) Firefox/3.0.10

[Jacques-64]

Bonsoir,

Si je voulais t'envoyer un message chiffré, cela supposerait d'abord que l'on se connaît déjà, qu'une relation de confiance s'est établie et dans ce cas je te demanderais si tu utilises PGP ou GPG et je te demanderais de me communiquer ton Key ID.
Le mien, il figure dans la signature de tous mes mails (quand j'utilise mon adresse principale, œuf corse !)

Pas forcément. Si mon correspondant utilise l'un des outils de M$ et s'il ne me semble pas expert en informatique, je pense que je lui enverrais un certificat thawte car c'est cela qu'il aura le plus de facilité à utiliser. Si au contraire, il utilise un webmail, PGP ou GPGs'impose.
Comme je le disais plus haut, dans ce cas, l'autorité de certification ne sert que parcequ'elle est dans l'implantation des outils de mail et que les certificats auto-signés sont difficiles à faire accepter (par le logiciel).

Le plus difficile étant d'initier l'usage, je me plie à ce qui est le plus facile pour mes correspondants. Même comme cela, pas beacoup de succès.


A+

Jacques

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.10) Gecko/2009042316 Firefox/3.0.10

[Rpkx]

Salut,

Même comme cela, pas beacoup de succès.

Bin oui, tout le monde veut la facilité alors que chiffrer ses mails ne demande presque pas d'effort.
Il faudrait que cela devienne la norme, que cela soit proposé par défaut par TB par exemple.
Maintenant si c'est pour donner du grain à moudre à ces Big Brothers, une pièce jointe chiffrée (ou même un fichier tout à fait aléatoire) ajouter régulièrement à nos mails, cela les emm**derait bien.

@+

P. S. : Si je me suis intéressé à la cryptographie dès que j'ai eu un PC et une connexion Internet, c'est parce que comme officier j'ai commencé à jouer avec des codes dès 1970 et que j'ai dû chiffrer/déchiffrer des messages jusqu'en 1995. Et à la main bien sûr, parce qu'à l'époque on n'avait pas d'autre méthode utilisable aussi sur le terrain.

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.0; fr; rv:1.9.1b4) Gecko/20090423 Firefox/3.5b4

[Jacques-64]

Bonsoir,

L'effort est au départ donc la masse critique n'apparaît pas. Le problème est que TB ne peut le pas proposer par défaut car il faut générer une paire de clé par identité mail.
Une solution serait d'imposer l'utilisation de TB et d'une clé (générée à l'inscription) pour poster dans certaines parties de certains forum grand public mais est-ce souhaitable ?

Adishatz

Jacques

PS: autrefois, sur mon ancien PC, j'avais l'accès direct à GPG dans la zone de l'horloge (le Tray en bon franglais). Je n'arrive pas à le retrouver (je dois choisir un mauvais mot clé dans google). Pas grave pour moi mais indispensable pour expliquer à des correspondants fans du webmail comment décripter un message reçu.

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.10) Gecko/2009042316 Firefox/3.0.10