Vous êtes sur la page 1sur 11

Solution Open Source de cryptographie asymtrique Infrastructure clefs publiques

TUTORIAL DE CONFIGURATION
NIVEAU DEBUTANT 40MIN A 1H30

+ADD ON

Mai 2013 version 1

Anthony Le Goff @Ideo_logiq

SOMMAIRE
1.La thorie des systmes de cryptographie 2.Mthode de configuration avec un client mail : Thunderbird 3.Installation des composants logiciels 4.Configuration de GnuPG 5.Configuration de Thunderbird et l'Add-on Enigmail 6.Gnrer sa paire de clef prive et publique 7.Signature et authentification Ressources

3
1.La thorie des systmes de cryptographie
Mais qu'es ce que la cryptographie asymtrique ? C'est une mthode de chiffrement des donnes. Il y a deux classes de cryptographie possible soit le systme est symtrique ou asymtrique Symtrique quand on utilise la mme clef pour chiffrer et dchiffrer avec les mthodes DES, 3-DES, AES pour les plus connues. On retrouve des mthodes plus aboutis tels que Serpent ou Twofish. Un bon cryptage peut galement additionner les mthodes tel qu'un Twofish-Serpent (256-bit-key). A cela il faut rajouter un algorithme de hashage, comme un SHA. Il existe d'autres mthodes (voir le Whirlpool). On retrouve cette scurit par exemple pour les protections des sites de banques ou quand une identification scurise est ncessaire. C'est galement la mthode utilis pour du chiffrement de disque dur ou l'utilisation de container sur TrueCrypt pour chiffrer un dossier. Asymtrique quand les clefs sont diffrentes avec une paire de clef dite publique et prive. La cl Prive servant dchiffrer et la cl Publique au chiffrement. L'asymtrique tant utilis particulirement pour la scurit des communications mails.

Illustration du fonctionnement du chiffrement asymtrique :

1re tape : Alice gnre deux cls. La cl publique (verte) qu'elle envoie Bob et la cl prive (rouge) qu'elle conserve prcieusement sans la divulguer quiconque.

2e et 3e tapes : Bob chiffre le message avec la cl publique d'Alice et envoie le texte chiffr. Alice dchiffre le message grce sa cl prive.

4
C'est bien utile tout cela, mais comment l'utiliser en l'intgrant par exemple avec mes e-mails ? Sans tre un hacker, gnie de l'informatique ou un cryptanalyste ? Un projet Open Source du nom de GnuPG permet de gnrer un chiffrement asymtrique et de mettre en place par exemple pour des projets ou entreprises une infrastructure cls publiques pour les utilisateurs. La cryptographie est galement tendue la vie prive et autorise par le droit franais. NOTA L'avantage de l'Open Source : Le code du programme est ouvert, c'est dire que la communaut internationale de dveloppeur informatique peu modifier le code,l'amliorer. Il est galement prouv que l'Open Source est plus ractif en cas de faille de scurit qu'un logiciel propritaire (effet rseaux des dveloppeurs)

2. Mthode de Configuration avec un client Mail : Thunderbird

Couche software

Client de messagerie: Thunderbird

Middleware

Interface d'utilisation: Enigmail

GPA

Code Source Etape de configuration : 1

Programme de chiffrement: GnuPG

Installation de GnuPG

Destinataire Authentification +Envoi sa cl Publique

Installation de Thunderbird

Gnration de sa Cl Prive en RSA 4096bits

Envoie de la cl Publique au Destinataire

test Valide ?

Installation de L'Add-on Enigmail

Gnration du Certificat de rvocation

Scuriser

5
3. Installation des composants logiciels
Sur Linux (Ubuntu) d'origine Windows : Tlcharger Gpg4win 2.1.0 Lien de la page de tlchargement Sous Mac voir la page du projet GnuPG : http://www.gnupg.org/download/index.en.html Mozilla Thunderbird 17 : https://www.mozilla.org/fr/thunderbird/

Enigmail 1.5.1 Via Thunderbird dans Module complmentaire OU Lien de la page de tlchargement

4. Configuration de GnuPG
Sous Windows, dmarrer le programme et l'assistance d'installation. Le programme vous demandera quel composant installer, choisissez d'inclure GPA en supplment pour la cration de cl sans pass par Thunderbird pour d'autre client mail par exemple comme Outlook. Terminer l'installation du programme en suivant les indications.

Ajout de GPA client graphique

6
5. Configuration de Thunderbird et l'Add-On Enigmail
Pourquoi Thunderbird ? Celui-ci est Open Source et est rpandu. Il permet d'utiliser plusieurs compte mail la fois et autorise la scurisation par mot de passe principal des comptes sur le client de messagerie. L'inconvnient est qu'il stocke les mails sur votre disque dur comme tout client de messagerie, do l'importance de coupl avec un chiffrement du disque dur . Aprs l'installation de Thunderbird, il vous est possible soit de configurer un compte mail existant ou d'acheter une adresse mail. Qu'elle intrt d'achet un mail perso ? Vous choisissez votre hbergeur qui stocke vos donnes Vous avez un chiffrement gr par l'hbergeur en couche supplmentaire de votre propre chiffrement asymtrique. Vous avez votre nom de domaine vous Prix pay ? Environ 3 4 euros par mois chez Gandi ou OVH sur serveur francophone et compt 5 euros pour l'achat de nom de domaine l'anne. Il existe galement de petit hbergeur locaux, pour cela il faut fouiller un peu plus dans le web. Es-ce si chre pour contrler ses mails et sa vie prive? Dans le cas contraire et de webmail gratuit privilgier des fournisseurs franais pour votre compte de vie prive tel que laposte.net, wanadoo, votre FAI etc.. Des listes sont disponibles sur le web. De cette manire vous n'tes pas soumis au Patriot Act et la Loi Amricaine. Gmail, Hotmail & Co tant hberg sur serveur US et sont des entreprises amricaines. N'oubliez pas que si le service est gratuit c'est que vous tes le produit. Une fois vos mails rcuprs sur le client de messagerie et votre compte configur il est ncessaire d'installer l'Add-On pour Thunderbird : Enigmail L'installation d'Enigmail : En utilisant L'onglet dans >Paramtres / Modules Complmentaires et rechercher l'Add-On en haut droite. Puis cliquer sur Installer. Enfin redmarrer Thunderbird. En cas de problme rinstaller manuellement si ncessaire. (ex : Erreur PATH de OpenPGP)

installation via Thunderbird d'Enigmail


>Tous les composants ncessaire sont install<

7
6. Gnrer sa paire de cl prive et publique
A partir de maintenant on passe aux choses srieuses : Le Chiffrement de la cl prive. Cette cl est secrte et doit rester sur votre ordinateur protge par un mot de passe fort. Son chiffrement doit tre optimal pour survivre dans la jungle des brute force et attaque par dictionnaire . Une bonne cl c'est quoi ? 1. Un mot de passe >20 caractres la protgeant [caractre spciaux+ chiffres+ maj+ chaine de caractre ne formant pas un mot] Difficile retenir premire vue ? Et bien pas vraiment, des moyens mnmotechniques existe en dehors de la mmoire d'un lphant : Section 8.2 : http://doc.ubuntu-fr.org/securite A contrario un bloc note et une partie sure de votre ordinateur peu suffire galement. 2. Un chiffrement robuste. Le standard actuel est de pass le chiffrement en 2048 bits. Ce qui est dj exploitable, sans oubli l'arrive des ordinateurs quantiques qui permettront de casser bien plus facilement un algorithme de chiffrement : Solution = RSA-4096bits Aprs la thorie la pratique !

Une fois de retour sur Thunderbird retourn dans la barre de menu ou paramtre et rechercher l'onglet : >OpenGPG / Gestion des clefs Une nouvelle fentre apparat dans la barre de menu rechercher l'onglet : >Gnrer / Nouvelle paire de Clefs Dans la fentre de gnration des clefs : 1. 2. 3. 4. 5. 6. Choisir le compte mail dont vous voulez gnrer une paire de clefs Remplir avec un mot de passe fort Laisser l'expiration de clefs sur 5 ans Changer la valeur de la taille de clef en 4096 Gnrer les cls Enregistrer le certificat de rvocation

NOTA Le certificat de rvocation permet d'annuler la clef en cas de faille de scurit, Interception et donc de prvenir le destinataire que la clef a t invalid par vos soins. Le format est en .asc, pour le convertir en .txt il suffit de le renommer avec un bloc note.

2 3 4

Fentre de gnration de cls


Et voil vous avez votre paire de clefs pour chiffrer vos mails ! C'tait bien plus simple que prvu. On attaque l'envoie de la cl publique votre destinataire, en esprant que celui-ci gnrer une paire de clef galement. Dans le cas contraire une petite remise niveau s'impose. Envoi de la cl publique au destinataire : Et bien crivons un petit peu pour prvenir notre destinataire que nous lui envoyons une clef publique pour chiffrer et signer vos mails. C'est quoi encore cette diffrence ! La signature de la clef permet d'authentifier le destinataire Le chiffrement protge le contenu du mail

Mais envoyons cette clef publique d'abord par l'onglet >OpenPGP / Attacher ma clef publique dans rdaction d'un nouveau message.

>Envoie du mail ! Fait!<

9
7. Signature et authentification Cette tape est importante et n'est pas ngliger. Car qui vous dit qu'un pirate n'a pas rcupr votre cl publique et modifi la cl en l'envoyant au destinataire? Ce qu'on appel une attaque de type Man in the Middle Voila pourquoi il va falloir l'authentifier une bonne fois pour toute ! Le meilleur moyen est la communication orale entre l'envoyeur et le destinataire pour tre certain que la clef soit valide. Par tlphone ou voIP tel que Skype fait largement l'affaire.

Envoyeur : H, Salut ! Tu as bien reu ma clef publique ? Destinataire ? Oui j'ai bien reu ta clef, parfait on va pouvoir parler de tout et n'importe quoi ! J'importe cela dans mon gestionnaire de clef. Envoyeur : Parfait alors, plus tard !
ET BAS NON ! Elle n'est pas sign ! Rajoutons quelques lignes :

Destinataire : Peux tu me donner l'empreinte de la clef pour vrifier qu'elle correspond? Quelques chiffres et lettres suffises Envoyeur : Ok je te dis a. Pour l'envoyeur ou trouver l'empreinte de clef :
Dans le gestionnaire de clefs cocher Afficher toutes les clefs par dfaut Votre clef prive attache au mail doit apparatre > Clique droit sur la clef / Proprit de la clef

10
Pour le destinataire signer la clef :
Aprs avoir import le fichier de la clef publique via > Fichier / Importer Clef dans le gestionnaire de clef d'OpenPGP, faite un clic droit sur la clef signer la clef et cocher la rponse approprie. Bien sur vous avez galement ouvert Proprit de la clef pour vrifier l'empreinte

<PROTEGER>
Et la suite aprs la configuration? Dans l'onglet OpenPGP en envoyant un mail vous avez la possibilit de : Signer le Mail Chiffrer le Mail Un indicateur permet de savoir l'tat en bas droite

11
Pour aller plus loin avec Thunderbird , il est important de configurer un mot de passe principal dans les options de Thunderbird protgeant ainsi l'accs vos mails sur le logiciel. Il est galement possible de faire la mme chose sur Firefox pour protger l'ensemble des mots de passe enregistrs (Non disponible sur chrome). Enfin Le chiffrement du disque dur permet en cas de vol de votre PC, ou d'inspection la douane d'un Aroport par exemple de protger vos donnes. L'inconvnient du chiffrement du disque complet implique une sauvegarde externe ou/et distante car n'oubliez pas que vous avez chiffr vos donnes, en cas de plantage du systme d'exploitation vous perdez galement tout son contenu.

Ressources :

Comment utiliser Enigmail avec GnuPG dans Thunderbird


https://securityinabox.org/fr/thunderbird_utiliserenigmail

Prserver la confidentialit de vos communications sur Internet https://securityinabox.org/fr/chapter-7 CNIL : Scurit de vos donnes personnelles un guide pour agir et un test pour s'valuer
http://www.cnil.fr/linstitution/actualite/article/article/securite-des-donnees-personnelles-unguide-pour-agir-et-un-test-pour-sevaluer/

Scurit par l'obscurit


https://fr.wikipedia.org/wiki/S%C3%A9curit%C3%A9_par_l%27obscurit%C3%A9

Internet Libre et anonymat, site de Korben, Chiffrer son disque dur avec TrueCrypt http://korben.info/chiffrer-un-disque-systeme-windows-avec-truecrypt.html Site de l'ANSSI ( Agence Nationale de la Scurit des Systmes d'Information) www.ssi.gouv.fr Donne sensible et Cloud http://www.solutions-logiciels.com/magazine_articles.php?titre=Les-%93pures-players%94-ducloud-et-les-integrateurs-SSII&id_article=487 Informatique quantique et cryptographie, une rvolution en marche http://blog.derouineau.fr/2011/07/informatique-quantique-et-cryptographie/ Add On Firefox pour connatre dans quel pays vous naviguez https://addons.mozilla.org/fr/firefox/addon/flagfox/