Chiffrement

Afin de protéger et de coder la transmission de vos courriels, Evolution met à disposition deux méthodes de chiffrement :

  • Chiffrement GPG
  • Chiffrement S/MIME

Evolution vous aide à protéger votre vie privée en utilisant GPG (GNU Privacy Guard), une implémentation du solide chiffrement à clé publique.

Afin de chiffrer et de déchiffrer des courriels avec GPG, il est nécessaire d'utiliser deux sortes de clés de chiffrement : clé publique et clé privée. Les clés publiques servent à chiffrer les messages et les clés privées à les déchiffrer. Pour envoyer des courriels chiffrés, vous devez disposer de la clé publique du destinataire qui servira à chiffrer le message. Le destinataire utilise sa clé privée pour déchiffrer et lire le message chiffré.

Ceux qui souhaitent vous envoyer des messages chiffrés doivent posséder une copie de votre clé publique dans leur trousseau. À cet effet, les clés publiques peuvent être partagées avec les personnes qui souhaitent vous envoyer des messages chiffrés. Pour cela, vous pouvez par exemple placer votre clé publique sur un serveur de clés publiques. Les clés privées ne doivent jamais être partagées avec d'autres personnes.

Evolution ne prend pas en charge des versions plus anciennes de PGP, telles que OpenPGP ou Inline PGP.

Vous pouvez utiliser le chiffrement de deux manières différentes :

  • Vous pouvez chiffrer le message complet afin que personne ne puisse le lire à l'exception du destinataire.
  • Vous pouvez joindre une signature chiffrée à un message en texte simple afin que le destinataire puisse lire le message sans devoir le déchiffrer et qu'il n'ait besoin de déchiffrer que s'il souhaite vérifier l'identité de l'expéditeur.

Par exemple, supposons que Kevin souhaite envoyer un message chiffré à son amie Rachel. Il consulte sa clé publique sur un serveur de clés général, puis demande à Evolution de chiffrer le message. Le message est maintenant composé du texte « @#$23ui7yr87#@!48970fsd ». Lorsque Rachel reçoit cette information, elle la déchiffre avec sa clé privée et le message reprend sa forme lisible.

II.VI.I. Création d'une clé de chiffrement GPG

Avant de pouvoir recevoir ou envoyer des messages chiffrés, vous devez générer vos clés publique et privée avec GPG. Cette procédure correspond à la version 1.2.4 de GPG. Si votre version est différente, il se peut que cette procédure varie légèrement. Vous pouvez obtenir le numéro de version en tapant gpg --version.

  1. Ouvrez une fenêtre de terminal et saisissez gpg --gen-key.

  2. Choisissez un algorithme, puis appuyez sur Entrée.

    ou

    Pour accepter l'algorithme par défaut DSA et ElGamal, appuyez sur Entrée (recommandé).

  3. Choisissez une longueur de clé, puis appuyez sur Entrée. Pour accepter la valeur par défaut de 1024 bits, appuyez sur Entrée.

  4. Saisissez la durée de validité de votre clé.

    ou

    Pour accepter la valeur par défaut de non expiration, appuyez sur Entrée, puis appuyez sur Y lorsqu'on vous demande de vérifier ce choix.

  5. Saisissez votre nom réel, puis appuyez sur Entrée.

  6. Saisissez votre adresse électronique, puis appuyez sur Entrée.

  7. Saisissez un commentaire (facultatif), puis appuyez sur Entrée.

  8. Relisez l'identifiant utilisateur sélectionné. S'il est correct, appuyez sur O.

  9. Saisissez une phrase de passe, puis appuyez sur Entrée.

  10. Déplacez votre souris au hasard pour générer les clés.

Lorsque les clés ont été générées, vous pouvez consulter vos informations de clé en saisissant gpg --list-keys. Vous devriez voir apparaître quelque chose comme ceci : /home/vous/.gnupg/pubring.gpg ---------------------------- pub 1024D/32j38dk2 2001-06-20 vous <vous@exemple.com> sub 1024g/289sklj3 2001-06-20 [expires: 2002-11-14]

GPG crée une liste (ou trousseau de clés) pour vos clés publiques et une autre pour vos clés privées. Toutes les clés publiques que vous connaissez sont stockées dans le fichier ~/.gnupg/pubring.gpg. Si vous voulez donnez vos clés à d'autres personnes, envoyez-leur ce fichier.

Si vous le souhaitez, vous pouvez placer vos clés sur un serveur de clés.

  1. Vérifiez votre identifiant de clé publique avec gpg --list-keys. C'est la chaîne de caractères après « 1024D » dans la ligne qui commence par « pub ». Dans l'exemple ci-dessus, c'est « 32j38dk2 ».
  2. Saisissez la commande gpg --send-keys --keyserver wwwkeys.pgp.net 32j38dk2. Remplacez « 32j38dk2 » par votre identifiant de clé. Vous avez besoin de votre mot de passe pour effectuer cela.

Les serveurs de clés stockent vos clés publiques pour vous afin que vos connaissances puissent déchiffrer vos messages. Si vous préférez ne pas utiliser de serveur de clés, vous pouvez envoyer manuellement votre clé publique en l'incluant dans votre fichier de signature ou en la plaçant sur votre propre page Web. Cependant, il est plus simple de publier une clé une fois pour toutes, ce qui permet aux autres de la télécharger d'un endroit centralisé lorsqu'ils en ont besoin.

Si vous ne possédez pas la clé pour déverrouiller ou chiffrer un message, vous pouvez configurer votre outil de déchiffrement afin qu'il la recherche automatiquement. S'il ne peut trouver la clé, un message d'erreur apparaîtra.

II.VI.II. Recherche et utilisation de clés publiques GPG

Pour envoyer un message chiffré, vous devez utiliser la clé publique du destinataire en combinaison avec votre clé privée. Evolution s'occupe du chiffrement, mais vous devez obtenir la clé publique et l'ajouter à votre trousseau de clés.

Pour obtenir des clés publiques d'un serveur de clés, saisissez la commande gpg --recv-keys --keyserver wwwkeys.pgp.net id_clé, en remplaçant id_clé par l'identifiant de votre destinataire. Vous devez saisir votre mot de passe, puis l'identifiant est automatiquement ajouté à votre trousseau.

Le domaine « wwwkeys.pgp.net » est attribué à plusieurs hôtes dans différents réseaux. L'utilitaire gpg essaie de se connecter à l'un d'entre eux dans le réseau où il se trouve ; et si cet hôte est hors service, il échoue après un délai d'expiration.

Pour éviter cela, saisissez la commande $ host wwwkeys.pgp.net dans un terminal et notez les adresses IP des hôtes. Vous pouvez essayez de les atteindre par la commande « ping » pour savoir lesquels répondent effectivement. Ensuite, vous pouvez remplacer le nom wwwkeys.pgp.net dans la commande « gpg --recv-keys --keyserver wwwkeys.pgp.net keyid » par le numéro IP que vous avez identifié à l'étape précédente.

Si quelqu'un vous envoie directement une clé publique, enregistrez-la dans un fichier texte et saisissez la commande gpg --import pour l'ajouter à votre trousseau.

II.VI.III. Configuration du chiffrement GPG

  1. Choisissez Édition > Préférences, puis sélectionnez Comptes de messagerie.
  2. Sélectionnez le compte pour lequel vous voulez ajouter la sécurité, puis cliquez sur Édition.
  3. Cliquez sur l'onglet Sécurité.
  4. Indiquez votre identifiant de clé dans le champ « ID de la clé PGP/GPG ».
  5. Cliquez sur « Créer ».
  6. Cliquez sur Fermer.

Evolution exige que vous connaissiez votre identifiant de clé. Si vous ne vous en souvenez plus, vous pouvez le retrouver en tapant gpg --list-keys dans une fenêtre de terminal. Votre identifiant de clé est une chaîne de huit caractères composée de nombres et de lettres aléatoires.

II.VI.IV. Chiffrement des messages

Pour chiffrer un message unique :

  1. Ouvrez la fenêtre d'édition d'un message.

  2. Choisissez Sécurité > Chiffrer avec PGP.

  3. Écrivez votre message.

    Cliquez sur Envoyer.

Le sujet du message ne sera pas chiffré et ne devrait pas contenir d'information sensible.

Vous pouvez configurer Evolution pour qu'il signe tous vos courriels :

  1. Choisissez Édition > Préférences, puis sélectionnez Comptes de messagerie.
  2. Sélectionnez le compte pour lequel vous voulez ajouter la sécurité, puis cliquez sur Édition.
  3. Cliquez sur l'onglet Sécurité.
  4. Cochez l'option Toujours signer les messages sortants lors de l'utilisation de ce compte.
  5. Cliquez sur « Créer ».
  6. Cliquez sur Fermer.

II.VI.V. Déchiffrement d'un message reçu

Si vous recevez un message chiffré, vous devez le déchiffrer avant de pouvoir le lire. Rappelez-vous que l'expéditeur doit disposer de votre clé publique avant de pouvoir vous envoyer un message chiffré.

Lorsque vous affichez le message, Evolution vous demande votre mot de passe PGP. Saisissez-le et le message déchiffré apparaîtra.

II.VI.VI. Chiffrement S/MIME

Le chiffrement S/MIME utilise également une approche basée sur les clés, mais il présente certains avantages importants en terme de confort et de sécurité. S/MIME utilise des certificats qui sont comparables aux clés. La partie publique de chaque certificat est conservée par l'expéditeur d'un message et par l'une des autorités de certification qui sont payées pour garantir l'identité d'un expéditeur et la sécurité des messages. Evolution reconnaît déjà un grand nombre d'autorités de certification. Ainsi, lorsque vous recevez un message doté d'un certificat S/MIME, votre système reçoit automatiquement la partie publique du certificat et déchiffre ou vérifie le message.

Le plus souvent, S/MIME est utilisé dans un environnement professionnel. Dans ce cas, les administrateurs fournissent des certificats qu'ils ont acquis auprès d'autorités de certification. Dans certains cas, une organisation peut jouer le rôle d'autorité de certification, avec ou sans la garantie d'une autorité reconnue comme VeriSign* ou Thawte*. Dans tous les cas, c'est l'administrateur système qui vous fournit un fichier de certificat.

Si vous souhaitez utiliser S/MIME de façon indépendante, vous pouvez extraire un certificat d'identification de votre navigateur Web Mozilla* ou Netscape*. Consultez l'aide de Mozilla (en anglais) pour plus d'informations sur les certificats de sécurité.

Le fichier de certificat est un fichier protégé par mot de passe sur votre ordinateur.

II.VI.VI.I. Ajout d'un certificat de signature

  1. Choisissez Édition > Préférences.
  2. Cliquez sur Certificats.
  3. Cliquez sur Importer.
  4. Sélectionnez le fichier à importer, puis cliquez sur Ouvrir.
  5. Cliquez sur Fermer.

De la même manière, vous pouvez ajouter des certificats que vous avez reçu indépendamment de toute autorité en cliquant sur l'onglet Certificats des contacts et en utilisant le même outil d'importation. Sur le même principe, vous pouvez aussi ajouter de nouvelles autorités de certification disposant de leurs propres fichiers de certificat.

II.VI.VI.II. Signature et chiffrement de tous les messages

Après avoir ajouté votre certificat, vous pouvez signer ou chiffrer un message en choisissant Sécurité > Signer avec S/MIME ou Chiffre avec S/MIME dans l'éditeur de messages.

Pour que tous les messages soient signés ou chiffrés :

  1. Choisissez Édition > Préférences, puis sélectionnez Comptes de messagerie.

  2. Sélectionnez le compte dans lequel vous souhaitez chiffrer les messages.

  3. Cliquez sur Édition, puis sur Sécurité.

  4. Cliquez sur Sélectionner en regard de Certificat de signature et indiquez le chemin d'accès vers votre certificat de signature.

    ou

    Cliquez sur Sélectionner en regard de Certificat de chiffrement et indiquez le chemin d'accès vers votre certificat de chiffrement.

  5. Cochez les options adéquates.

  6. Cliquez sur « Créer ».

  7. Cliquez sur Fermer.