Mail qui signe crypte : vive la cryptographie

SirDeck

Membre expert
Club iGen
15 Mars 2000
2 937
2 921
Châtenay-Malabry
Salut,

Je l'ai découvert par hasard hier en bidouillant mes mails sur le serveur Exchange. J'en avais gardé des chiffrés et des signés pour voir comment ils se présentaient sur les Clients que j'utilise. Et là Mail m'indique qu'ils sont chiffrés et ou signés*!!

Du coup je lance une recherche et toc*! Cette version permet la cryptographie. En plus c'est d'une simplicité... Tout ce que je recommandais lorsque j'ai bossé dans le domaine...

Pour que les commandes apparaissent, il faut avoir des certificats dans le trousseau. Un personnel pour pouvoir signer, et celui du correspondant pour pouvoir crypter les messages qui lui sont destinés.
Certif.jpg


Une fois le certificat personnel installé, un petit bouton-poussoir (comportement radio) apparaît dans Mail. Il est justifié à droite sous le champ objet après la liste déroulante de Compte et de Signature*:
Signer.gif

Par défaut, il est activé.

Lorsque l'on saisit une adresse qui est contenue dans un certificat, un autre bouton apparaît à proximité pour crypter ou non.
Chiffrer.gif


À la réception, c'est très discret si tout va bien.
Chiffre.gif


Par défaut, il ne demande pas le mot de passe pour déverrouiller la clef privée, ni à la signature, ni pour déchiffrer. Tout est transparent.

C'est juste lorsqu'il n'arrive pas à authentifier une signature ou à déchiffrer un message qu'il met en avant la cryptographie.
Sig_False.jpg


Crypt_false.jpg


J'utilise un certificat gratuit de chez Thawte. Je fais passer Safari pour Netscape et ça passe très bien. J'ai pris du 1024 bits. Je crois que c'est autorisé pour la signature. Du coup je chiffre avec aussi. Là normalement c'est 128 en France...

:up:
 
Si j'ai bien compris il suffit d'importer des certificats dans le trousseau et les commandes de signature/chiffrement apparaissent? C'est cool ça :). Et ça marche avec Mail sur Panther Client? Mais comment je fais pour importer mon certificat dans le trousseau d'accès?

SirDeck a dit:
Par défaut, il ne demande pas le mot de passe pour déverrouiller la clef privée, ni à la signature, ni pour déchiffrer. Tout est transparent.
Ca par contre je ne trouve pas ça très cool. Qui va garantir le destinataire du message signé que c'est bien moi qui ai signé le message si je ne confirme pas l'utilisation de ma clé privée par la saisie d'un mot de passe? Je pourrais très bien avoir imprudemment laissé ma session ouverte le temps d'aller me chercher un café et un utilisateur malveillant (au hasard Alice ;)) pourrais envoyer un message en mon nom (vu qu'il est signé avec ma clé privée). Je te l'accorde, j'avais qu'à ne pas me barrer en laissant ma session ouverte, mais bon, nobody's perfect, hein... Sur ce coup-là, pgp est mieux fait.
 
Leehalt a dit:
Ca par contre je ne trouve pas ça très cool. Qui va garantir le destinataire du message signé que c'est bien moi qui ai signé le message si je ne confirme pas l'utilisation de ma clé privée par la saisie d'un mot de passe? Je pourrais très bien avoir imprudemment laissé ma session ouverte le temps d'aller me chercher un café et un utilisateur malveillant (au hasard Alice ;)) pourrais envoyer un message en mon nom (vu qu'il est signé avec ma clé privée). Je te l'accorde, j'avais qu'à ne pas me barrer en laissant ma session ouverte, mais bon, nobody's perfect, hein... Sur ce coup-là, pgp est mieux fait.

Par défaut il ne te demande rien. Il suffit que le trousseau soit déverrouillé. Bien sûr tu peux paramétrer de sorte que ton mot de passe soit demandé à chaque utilisation.
La solution transparente me plaît. Je travaille en R&D et pourtant je n'ai pas besoin d'un niveau de sécurité militaire*;) Je n'utilise même pas filvault (remarque j'ai bien essayé mais il semble que je n'aivais pas assez de place sur le disque) Ce qui m'intéresse surtout ici c'est de ne pas faire circuler des messages (et leurs pièces jointes) en claire sur le net. Dans ce cas, la transparence est géniale. une fois coché la fonction crypter, il crypte tout ce qu'il peut (dès que l'adresse correspond à un certificat). Dans l'autre sens, il décrypte à la volée. Tu as donc un conduit de communication Crypté de manière totalement transparente. cool !
:zen:
 
Bilbo a dit:
Plus de détails sur cette méthode ici. Pour ma part, je préfère de loin PGP.

À+

L'intérêt ici c'est que tu peux envoyer un mail signé à un gars qui utilise un mac pour lui demander de t'envoyer du contenu chiffré. Il n'a rien à installer, rien à faire si ce n'est appuyer sur un bouton une fois. Tous les messages qu'il t'envoie sont alors chiffrés. Très simple, très intelligent, très Mac :D
 
J'avais toujours rejeté cette méthode parce que je pensais qu'il était impossible de créer soi-même sa clef secrète. En fait, il n'en est rien. Ça fait un moment que je traque l'info et je suis enfin tombé sur cette page. :up:

Le blême, c'est que le site de Thawte est dans les choux ce soir. :( Je vous tiens au courant.

À+
 
Ça a été dur. :sleep: Mais j'ai mis ma page sur le cryptage à jour et il y un nouveau chapitre qui explique comment créer son certificat sans communiquer sa clef privée via Internet. C'est un gage de sécurité supplémentaire. Pour le reste, il ne me reste plus qu'à tester avec mes correspondants. Mais je suis optimiste.

SirDeck, maintenant que ce qui était à mes yeux intolérable est contourné, tu as sans doute fait un converti. ;)

À+
 
  • J’aime
Réactions: Leehalt
Bilbo a dit:
Ça a été dur. :sleep: Mais j'ai mis ma page sur le cryptage à jour et il y un nouveau chapitre qui explique comment créer son certificat sans communiquer sa clef privée via Internet. C'est un gage de sécurité supplémentaire. Pour le reste, il ne me reste plus qu'à tester avec mes correspondants. Mais je suis optimiste.

SirDeck, maintenant que ce qui était à mes yeux intolérable est contourné, tu as sans doute fait un converti. ;)

À+

Oui, très intéressant... :siffle: ;) Je vais de ce pas créer ma clé... ;) :D
 
Bilbo a dit:
Ça a été dur. :sleep: Mais j'ai mis ma page sur le cryptage à jour et il y un nouveau chapitre qui explique comment créer son certificat sans communiquer sa clef privée via Internet.
Encore une mise à jour. Désormais, j'expose trois méthodes pour faire sa clef. Il y en a pour tous les goûts avec les détails. Normalement, le cryptage devrait devenir simple pour tout le monde.

À+
 
Bien, je l'utilise maintenant depuis un certain temps. Tous mes messages avec mes prestataires sont chiffrés. C'est presque totalement transparent : les messages chiffrés qui contiennent une pièce jointe un peu lourde mettent un peu de temps à s'afficher (temps de déchiffrement sans doute).

Vraiment cool !

Du coup, j'ai activé Filevault : RAS...
 
Bilbo a dit:
Encore une mise à jour. Désormais, j'expose trois méthodes pour faire sa clef. Il y en a pour tous les goûts avec les détails. Normalement, le cryptage devrait devenir simple pour tout le monde.
J'ai voulu me lancer dans la génération d'un certif sur Thawte, mais des questions me sont venues.
Peut-on associer plusieurs adresses mél à un certif. ?
Mail peut-il gérer plusieurs certif ?

:zen:
 
JediMac a dit:
Peut-on associer plusieurs adresses mél à un certif. ?
Non. Dans le concept, une identité n'est pas communautaire. :p

JediMac a dit:
Mail peut-il gérer plusieurs certif ?
Je ne sais pas, je n'ai pas testé. Mais je suis sûr que Thunderbird et Entourage le font puisqu'on associe un certificat à une adresse.

À+
 
JediMac a dit:
J'ai voulu me lancer dans la génération d'un certif sur Thawte, mais des questions me sont venues.
Peut-on associer plusieurs adresses mél à un certif. ?
Mail peut-il gérer plusieurs certif ?

:zen:

Théoriquement, on peut mettre ce que l'on veut dans un certificat. Je crois bien que la norme permet même une photo (ce qui est bien pratique). En pratique, ça dépend. Thawte permet plusieurs adresses (mon certif en à deux adresses). Mais c'est surtout au niveau des logiciels utilisateurs que ça bloque. Côté Mail, je peux utiliser les deux adresses de mon certificat pour signer. Mais j'ai lu quelque part que Outlook Express ne supporte pas les certificats contenant plusieurs adresses. Je n'ai pas essayer d'envoyer un mail signer sur ce client. Sur Outlook (le client Exchange) ça marche. :zen:
 
SirDeck a dit:
Théoriquement, on peut mettre ce que l'on veut dans un certificat. Je crois bien que la norme permet même une photo (ce qui est bien pratique). En pratique, ça dépend. Thawte permet plusieurs adresses (mon certif en à deux adresses). Mais c'est surtout au niveau des logiciels utilisateurs que ça bloque. Côté Mail, je peux utiliser les deux adresses de mon certificat pour signer...
Oui, mais Mail peut-il gérer 2 certif ? Exemple, ma compagne et moi avons chacun notre adresse mél, mais je n'ai qu'un utilisateur et nous utilisons Mail les deux. Alors Mail peut-il signer avec le certif. de ma compagne quand elle envoie un mél et avec le mien quand c'est mon compte qui sert ?
 
En ce qui concerne la transparence, la solution s/mime fourni par Mail est intéressante, mais j'ai encore trouvé mieux à ce niveau là : Ciphire. C'est une solution gratuite (qui va devenir Open Source dans le courant de cette année) et que j'utilise depuis 1,5 - 2 mois . Il n'y a pas besoin de créer de certificats soi-même.
Voici le principe : ils partent du principe, que si on peut, il faudrait toujours pouvoir signer et crypter nos mails, mais le problème, c'est que si on le fait avec PGP ou s/mime, une fois le mail arrivé de l'autre côté, la personne est bien embêtée pour le lire, si elle n'a pas PGP ou le certif de l'autre personne. Il nous faut donc un moyen de faire tout cela de manière transparente : une passerelle entre les deux qui permet de contrôler si la personne peut lire des mails chiffer ou non; si c'est le cas, on crypte, si ce n'est pas le cas, on ne fait que signer le mail. Et quand un autre utilisateur m'envoie un mail avec Cipher, il sera crypté et signé, mais arrivé chez moi, tout le processus de décryptage est fait de manière transparente (il y a juste un petit [c] qui est rajouté à la fin du sujet du mail pour me dire que l'utilisateur utilise aussi Cipher et que le mail était crypté). Donc pour le fonctionnement, je ne pense pas que l'on pourra trouver plus transparent ;) . Et cela fonctionne un peu sur le principe de la communauté : si tous tes amis utilisent Cipher (solution qui fonctionne sur Linux, Mac ou Windows), alors tous les mails que tu leur enverra seront cryptés :D .

A tester !

++
 
JediMac a dit:
Oui, mais Mail peut-il gérer 2 certif ? Exemple, ma compagne et moi avons chacun notre adresse mél, mais je n'ai qu'un utilisateur et nous utilisons Mail les deux. Alors Mail peut-il signer avec le certif. de ma compagne quand elle envoie un mél et avec le mien quand c'est mon compte qui sert ?

A priori, je dirais : oui :) .