Share
Crédits image: Email Self Defense - la fondation du logiciel libre.
Après les révélations de Snowden en 2013, j'ai commencé à chercher à améliorer la confidentialité de mes communications par courrier électronique. Au départ, j'ai exploré l'installation de mon propre serveur de messagerie privé (Tuts +). Finalement, j'ai appris qu'il est difficile de sécuriser votre serveur de messagerie et qu'il est essentiel, pour l'instant, de se concentrer sur le cryptage par message..
Ceci est le premier tutoriel d'une série dans laquelle je vais me concentrer sur le cryptage de votre courrier électronique. Dans ce tutoriel, je présenterai les concepts généraux du cryptage et leur utilisation pour sécuriser et vérifier nos emails. Dans le deuxième tutoriel, je vous guiderai à travers l’installation du logiciel de cryptage sur votre ordinateur et l’envoi de vos premiers messages..
Nous explorerons également le chiffrement de la messagerie électronique sur navigateur et le renforcement du "réseau de confiance", puis nous changerons de sujet pour chiffrer vos activités Internet à l'aide d'un VPN. Enfin, dans le cadre de la série sur la gestion de vos actifs numériques après votre décès, nous utiliserons ce que nous avons appris pour créer un cache sécurisé d'informations importantes pour vos descendants en cas d'urgence..
Dans cette série, je ferai référence à plusieurs reprises à une excellente ressource mise au point par Electronic Frontier Foundation (EFF), appelée Le Guide d'autodéfense pour la surveillance. Vous voudrez peut-être aussi lire l’un de leurs explicateurs, Introduction à la cryptographie à clé publique et PGP, que ce tutoriel met en parallèle. J'ai essayé de rendre ce tutoriel un peu plus simple à lire.
Franchement, l'architecture de notre système de messagerie mondial n'est pas conçue pour la confidentialité ou l'authentification. En fait, je dirais que c'est fondamentalement une rupture que nous devons refondre à l'ère des communications numériques modernes. Jusque-là, le meilleur moyen de protéger notre vie privée et d’authentifier nos communications est Pretty Good Privacy, également connu sous le nom de PGP..
Phil Zimmerman, activiste et expert en technologie, a inventé PGP en 1991. Le gouvernement américain l'a persécuté pour son travail. Cela vaut la peine d'être lu sur son travail et sur son histoire..
Dans ce tutoriel, je vais expliquer les bases de PGP et comment vous pouvez vous en servir pour garantir la confidentialité de vos communications dans une société de surveillance, ainsi que pour authentifier l'identité des personnes avec lesquelles vous communiquez..
N'oubliez pas que je participe aux discussions ci-dessous. Si vous avez une question ou une suggestion de sujet, veuillez poster un commentaire ci-dessous. Vous pouvez également me suivre sur Twitter @reifman ou m'envoyer un email directement.
PGP est un système de cryptage qui fonctionne avec une paire de clés qui fonctionnent de manière symétrique. Une paire de clés est appelée clé privée et clé publique. Les personnes doivent garder leur clé privée en sécurité à tout moment et ne pas la partager avec personne. Cependant, ils peuvent partager leur clé publique sur des échanges de clé publique réputés et en personne..
En règle générale, les utilisateurs de PGP installent un logiciel de chiffrement commercial ou open source compatible avec le standard OpenPGP. GnuPG est une implémentation commune d'OpenPGP. Certaines des images que j'utilise dans ce tutoriel proviennent de l'infographie Email Self Defense GnuPG Email de la Free Software Foundation..
Vous pouvez utiliser votre logiciel PGP pour envoyer des messages cryptés. Votre logiciel chiffrera le message sortant avec la clé publique de votre destinataire..
Le message lui-même va rebondir sur Internet sous forme de charabia, indéchiffrable pour quiconque ne possédant pas la clé privée du destinataire..
Toute autorité de surveillance interceptant le message sera incapable de déchiffrer son contenu..
Lorsque votre destinataire reçoit le charabia de message, il utilisera son logiciel PGP avec sa clé privée et sa clé publique pour déchiffrer le message..
Si vous laissez votre clé privée tomber entre de mauvaises mains, d'autres personnes pourront vous imiter en envoyant des messages cryptés en votre nom. Ils pourront également lire les messages confidentiels qui vous sont envoyés avec cryptage..
Votre clé privée peut être volée sans que vous vous en rendiez compte. Par exemple, si des logiciels malveillants sont installés sur votre ordinateur, des criminels ou des espions du gouvernement peuvent les obtenir de manière illicite. Tu ne saurais jamais.
Il est très important de protéger votre clé privée avec un mot de passe incroyablement fort. Lorsque Edward Snowden saisit son mot de passe sous une couverture dans Citizenfour, il protège son mot de passe de clé privée de toute surveillance vidéo..
Si votre clé privée, peut-être stockée sur un ordinateur portable ou une clé USB, est volée, votre mot de passe empêchera les auteurs d'accéder à celle-ci. Mais finalement, ils pourront y accéder.
Si vous découvrez que votre clé privée a été compromise, vous pouvez en informer les autres utilisateurs afin de préserver le site Web de confiance, nous en discuterons plus loin..
PGP ne chiffrera pas la ligne d'objet ou la ligne d'adresse: des messages chiffrés, parfois appelée enveloppe de message. Par conséquent, PGP ne dissimulera pas qui vous connaissez, à moins que vous ne disposiez d'un moyen d'échanger des clés publiques anonymes avec des personnes utilisant des adresses électroniques anonymes et accédant uniquement à leur messagerie en utilisant Tor pour dissimuler leur adresse IP..
Les signatures numériques peuvent authentifier qu'un message a été envoyé par la personne détenant la clé privée de l'expéditeur et vérifier que le message n'a pas été falsifié.
Cela se fait généralement en générant un hachage cryptographique du message d'origine, puis en chiffrant le hachage avec la clé privée de l'expéditeur (l'inverse de ce qui est fait pour chiffrer le corps du message). Cela s'appelle signer le message. L'image ci-dessous est de Wikipédia.
Même des changements infimes du message modifient radicalement le hachage.
Lorsque le destinataire reçoit le message, il déchiffre le hachage avec la clé publique de l'expéditeur et vérifie le résultat. Si le hachage est correct, cela prouve que la personne qui détient la clé privée de l'expéditeur a envoyé le message. Si le hachage est incorrect, le message a été falsifié ou n'a pas été envoyé par l'expéditeur présumé..
Votre capacité à faire confiance à PGP repose sur la fiabilité de la clé publique que vous avez reçue de l'expéditeur. Par exemple, si je vous envoyais un courrier électronique avec ma clé publique, et que la NSA interceptait le message et le remplaçait par sa clé publique, elle pourrait commencer à vous envoyer des messages cryptés que vous croiriez venir de moi. Ou, si vous avez échangé des messages cryptés avec vos amis et que leur clé privée a été compromise, d'autres personnes pourraient lire vos messages privés..
Cela pourrait être très important si vous êtes un espion ou un activiste.
La fiabilité des clés s'appelle le Web of Trust.
Si vous lisez à propos de PGP, vous verrez les "fêtes" mythologiques mentionnées (probablement organisées par Jake Applebaum). Vous ne serez probablement jamais invité à un. (J'ai rencontré Jake à quelques reprises mais je ne suis pas assez cool pour être invité à ses soirées clés.)
La plupart d'entre nous, petites personnes, utilisons des serveurs de clés pour échanger nos clés. Les utilisateurs en qui nous avons confiance peuvent signer numériquement les clés publiques des autres personnes à qui nous souhaitons envoyer un message, ce qui nous permet d’avoir une certitude quant à la validité de clés publiques spécifiques..
En fin de compte, le seul moyen de s'assurer que vous avez la clé publique réelle de quelqu'un est de l'échanger avec lui en personne.
Cependant, il y a quelques nouveaux services intéressants qui tentent d'améliorer le réseau de confiance, que je passerai en revue dans les prochains épisodes..
J'espère que vous vous sentez inspiré pour sécuriser votre courrier électronique. Dans le prochain didacticiel, je vais vous guider dans l’installation du logiciel de chiffrement sur votre ordinateur, la création de votre première paire de clés et l’envoi de vos premiers messages sécurisés..
N'hésitez pas à poster vos questions et commentaires ci-dessous. Vous pouvez également me joindre sur Twitter @reifman ou m'envoyer un courriel directement. Vous pouvez trouver mes autres tutoriels en parcourant la page de mon professeur Tuts +.
Accentsconagua