Share
Ce que vous allez créerCeci est le prochain tutoriel d'une série consacrée au cryptage de votre courrier électronique. Dans le premier tutoriel, nous avons présenté les concepts généraux du cryptage et comment les utiliser pour sécuriser et authentifier nos emails. Dans le deuxième tutoriel, je vous ai expliqué comment installer un logiciel de chiffrement sur votre ordinateur et commencer à envoyer vos premiers messages. nous avons utilisé GPGTools pour Mac OS X, une intégration de GnuPG open source. Dans le troisième épisode, je vous ai présenté Keybase, un service conçu pour renforcer le Web of Trust..
Dans ce didacticiel, je vais vous guider dans l'utilisation d'un plug-in basé sur un navigateur pour chiffrer et déchiffrer des courriers électroniques pour des courriers Web basés sur un navigateur tels que Gmail. Je couvrirai également certaines des vulnérabilités inhérentes aux solutions PGP basées sur un navigateur..
En plus de lire les épisodes précédents, vous voudrez peut-être consulter le guide d'autodéfense de surveillance de Electronic Frontier Foundation.
Dans les prochains épisodes, nous explorerons les solutions PGP pour smartphones et le cryptage de vos activités Internet à l'aide d'un VPN. Enfin, dans le cadre de la série sur la gestion de vos actifs numériques après votre décès, nous utiliserons ce que nous avons appris pour créer un cache sécurisé d'informations importantes pour vos descendants en cas d'urgence..
Juste un rappel, je participe régulièrement aux discussions ci-dessous. Si vous avez une question ou une suggestion de sujet, veuillez poster un commentaire ci-dessous. Vous pouvez également me suivre sur Twitter @reifman ou m'envoyer un email directement.
Maintenant que nous avons commencé à utiliser la messagerie cryptée, il est logique de demander si nous pouvons l’utiliser à partir de la messagerie Web basée sur un navigateur, telle que Gmail. La réponse courte est oui, mais pas avec le même niveau de sécurité que les solutions basées sur des applications..
Mailvelope est une extension de navigateur de ce type disponible pour Chrome et Firefox. Son moteur PGP est basé sur OpenPGP.js en source ouverte. Il offre une compatibilité intégrée pour Gmail, Yahoo Mail, Outlook.com et GMX..
Cependant, en tant que solution basée sur un navigateur, Mailvelope est vulnérable de différentes manières. La principale préoccupation est l'hébergement de votre clé privée dans le navigateur. Mailvelope crypte votre clé avec une phrase secrète. Ainsi, le paquet crypté est sujet au vol en ligne, comme toute autre donnée basée sur un navigateur. Mailvelope recommande un mot de passe fort comme celui suggéré dans cet article d'Intercept:
Compte tenu du scénario selon lequel un attaquant est capable de voler la clé privée, la résilience face aux attaques brutales sur la clé privée cryptée dépend de la qualité du mot de passe..
Mailvelope indique également que "si l’un des ordinateurs des deux côtés de la communication est compromis (par exemple avec un enregistreur de clé), le cryptage n’aide en rien."
L'été dernier, Google a annoncé sa propre extension PGP pour Chrome appelée End to End, mais elle n'est pas prête pour le prime time, probablement pour les mêmes raisons. Il est actuellement en version alpha car ils cherchent à améliorer ses capacités de sécurité. Vous pouvez obtenir le code sur GitHub. Je présume que Google ajoutera certaines fonctionnalités à Google Chrome pour stocker la clé privée de manière plus sécurisée, de manière à ce que des développeurs tiers, tels que Mailvelope, puissent également en tirer parti..
Pour commencer avec Mailvelope, nous devons ajouter l'extension à Chrome ou à Firefox. Lorsque vous cliquez sur le lien de l'extension Chrome, vous verrez quelque chose comme ceci:
L'installation a été rapide, pas besoin de redémarrer. L'icône en haut à droite de la fenêtre du navigateur indique la navigation et l'état de l'extension:
La page principale de Mailvelope devrait aussi apparaître tout de suite:
Pour continuer, nous devons importer nos clés publique et privée.
Si vous avez suivi nos didacticiels précédents, vous utilisez déjà une paire de clés. Si vous avez besoin de générer une nouvelle paire de clés, Mailvelope le fera pour vous..
Dans mon cas, je veux importer ma paire de clés existante. Pour ce faire, cliquez sur le bouton Importer des clés bouton et collez votre clé publique et soumettez-la:
Répétez le processus avec votre clé privée.
Vous devriez voir quelque chose comme ça sous Touches d'affichage:
Si vous cliquez sur la clé, vous pouvez voir plus d'informations et gérer les détails à ce sujet:
Envoyer des messages avec Mailvelope est facile, mais vous devez importer des clés publiques pour tous les destinataires. Procurez-vous simplement les clés publiques de confiance de votre destinataire, comme la mienne chez Keybase, et suivez les étapes ci-dessus pour les importer dans votre trousseau de clés Mailvelope..
Ensuite, dans Gmail, composez un nouveau message. Remarquez le petit popup en bas à droite.
En cliquant sur la fenêtre contextuelle, le formulaire de message chiffré Mailvelope s'affiche:
Tapez votre message secret et cliquez Crypter. Mailvelope vous demandera de spécifier la clé publique à utiliser pour le cryptage. J'envoie ceci à mon ami Phillip, un collègue qui a une excellente rédaction sur le cryptage PGP pour les journalistes et m'a encouragée à écrire sur ces sujets. Choisissez le destinataire et cliquez sur Ajouter:
Mailvelope va chiffrer le message. Cliquez Transfert, qui colle le message PGP dans la fenêtre de composition de Gmail.
Il est agréable de pouvoir facilement combiner des messages en texte brut et des messages cryptés secrets dans un message Gmail..
Lorsque vous recevez un message chiffré, Mailvelope affiche une superposition semi-transparente sur le message..
Cliquez sur la superposition et il vous sera demandé votre phrase secrète pour déverrouiller votre clé privée. Assurez-vous que personne ne regarde par-dessus votre épaule - pensez à Citizenfour, recouvert d'une couverture de Snowden.
Cliquez sur D'accord et votre message secret apparaîtra. Bien sûr, je l'ai noirci parce que je ne veux pas embarrasser Phillip pour me plaindre de ne pas lui accorder assez de crédit pour avoir suggéré des sujets d'article (Mailvelope n'était pas son idée, soit dit en passant, mais quelques-uns dans cette série étaient-mais je m'égare).
J'espère que vous êtes impressionné par Mailvelope. Je l'ai trouvé assez simple et utile. Vous pouvez en apprendre plus à ce sujet dans la documentation et les pages de FAQ. Si vous essayez, veillez à utiliser une phrase secrète très sécurisée (est-ce que quelqu'un a encore des dés, sérieusement?).
N'hésitez pas à poster vos questions et commentaires ci-dessous. Vous pouvez également me suivre sur Twitter @reifman ou m'envoyer un email directement. Parcourez ma page d'instructeurs Tuts + si vous souhaitez voir les autres tutoriels que j'ai écrits.
Accentsconagua