Chapitre 45 Utiliser le chiffrement OpenPGP dans le bureau

Le standard Internet464 OpenPGP est un format de cryptographie qui permet notamment d’effectuer et de vérifier des signatures numériques ainsi que de chiffrer et de déchiffrer des messages ou des fichiers.

La plupart des outils de ce guide utilisent OpenPGP en utilisant autant que possible Thunderbird pour gérer les clés OpenPGP, car son interface est plus ergonomique et que c’est comme ça que ça fonctionne dans Tails. Cependant, certains usages d’OpenPGP qui ne sont pas possibles dans Thunderbird restent regroupés dans ce chapitre.

Thunderbird et le reste de notre environnement de bureau (que l’on utilise Debian ou Tails) utilisent deux trousseaux de clés OpenPGP différents. Les clés que l’on voudrait avoir dans les deux trousseaux doivent être manuellement exportées de l’un puis importées dans l’autre.

45.1 Importer une clé dans le trousseau du bureau

Durée : Quelques minutes.

L’objectif de cet outil est d’importer une clé OpenPGP dans le trousseau OpenPGP du bureau. Il est à noter que ce trousseau n’est pas le même que celui de Thunderbird.

Si l’on utilise une Debian chiffrée, il faut tout d’abord installer le logiciel Kleopatra, qui contient l’outil de gestion de clés que l’on va utiliser. Si l’on utilise Tails, ce paquet est déjà installé.

Au lancement de Kleopatra, il se peut que celui-ci affiche un message d’avertissement intitulé Résultats des tests automatiques de Kleopatra et dans lequel la Vérification de la configuration de scdaemon apparaît comme ayant échoué. Ce n’est pas grave, mais ça peut vite devenir perturbant. Afin que ce message ne s’affiche pas à chaque démarrage de Kleopatra, on peut décocher la case Lancer ces tests au démarrage puis cliquer sur Continuer. Une autre possibilité est d’installer le paquet scdaemon, quand bien même il ne nous sera pas utile.

45.1.1 Importer une clé secrète

Il peut être nécessaire d’importer sa clé secrète (appelée aussi clé privée) dans le trousseau du bureau, par exemple pour signer ou déchiffrer des fichiers, ou encore pour signer des clés publiques.

Si elle se trouve dans le trousseau de Thunderbird, commencer par sauvegarder sa clé secrète, sous la forme d’un fichier avec l’extension .asc.

Il faut ensuite l’importer dans le trousseau du bureau en double-cliquant dessus.

Une fenêtre Vous avez importé une clé privée apparaît. Le logiciel demande Est-ce bien votre propre clé ?. Répondre Oui.

Une nouvelle fenêtre Résultat de l’importation du certificat apparaît. Valider avec OK.

45.1.2 Importer une clé publique

Importer une clé publique dans le trousseau OpenPGP du bureau permet de vérifier des signatures numériques ou de chiffrer des fichiers.

Si on a reçu ou téléchargé un fichier contenant la clé (avec l’extension .asc ou .pub, généralement), il suffit de double-cliquer sur le fichier pour l’importer dans le trousseau du bureau.

Si on veut récupérer une clé qu’on a déjà dans le trousseau de Thunderbird, on aura besoin de l’exporter pour obtenir le fichier contenant la clé à importer. On pourra ensuite importer cette clé en double-cliquant sur le fichier.

Une boîte de dialogue Vous avez importé un nouveau certificat (clé publique) apparaît. Le logiciel propose de nous guider pour certifier son authenticité. C’est une bonne idée de choisir Oui si l’on dispose d’une clé secrète (car celle-ci est nécessaire afin de signer la clé que l’on vient d’importer).

45.2 Signer une clé

Durée : Quelques minutes.

L’objectif de cet outil est de signer une clé OpenPGP dans le trousseau OpenPGP du bureau. Il est à noter que ce trousseau n’est pas le même que celui de Thunderbird.

Si l’on utilise une Debian chiffrée, il faut tout d’abord installer le logiciel Kleopatra, qui contient l’outil de gestion de clés que l’on va utiliser. Si l’on utilise Tails, ce paquet est déjà installé.

Au lancement de Kleopatra, il se peut que celui-ci affiche un message d’avertissement intitulé Résultats des tests automatiques de Kleopatra et dans lequel la Vérification de la configuration de scdaemon apparaît comme ayant échoué. Ce n’est pas grave, mais ça peut vite devenir perturbant. Afin que ce message ne s’affiche pas à chaque démarrage de Kleopatra, on peut décocher la case Lancer ces tests au démarrage puis cliquer sur Continuer. Une autre possibilité est d’installer le paquet scdaemon, quand bien même il ne nous sera pas utile.

Mais pourquoi signer une clé ? Mettons que l’on ait au préalable vérifié l’authenticité de la clé d’Ana en suivant la recette décrite au chapitre précédent. Il est alors utile d’informer OpenPGP qu’il peut faire confiance à cette clé. Cette opération s’appelle signer la clé. Kleopatra parle aussi de certifier la clé. La procédure est la même sous Tails ou avec une Debian chiffrée.

Pour pouvoir signer une clé, il faut tout d’abord avoir importé notre clé secrète dans Kleopatra.

Ensuite :

  • Aller dans Kleopatra, en appuyant sur la touche ( sur un Mac) pour ouvrir la vue d’ensemble des activités, puis en tapant kleo et enfin en cliquant sur le logiciel correspondant.
  • Si la clé que l’on souhaite signer n’est pas présente, l’importer.
  • Une fois la clé d’Ana repérée dans la fenêtre principale, double-cliquer dessus pour afficher les détails de la clé. Vérifier que c’est la bonne clé, par exemple en vérifiant son empreinte (qui se trouve en bas de la fenêtre).
  • Cliquer ensuite sur Certifier.
  • Saisir la phrase de passe de notre clé secrète dans la boîte de dialogue qui s’affiche le cas échéant465.
  • Une fenêtre La certification a réussi doit s’afficher. Cliquer sur OK.

OpenPGP sait maintenant qu’on a confiance en la clé d’Ana.

45.3 Vérifier une signature numérique

Durée : Quelques minutes.

L’objectif de cet outil est de vérifier l’authenticité d’un fichier disposant d’une signature numérique OpenPGP.

Si l’on utilise une Debian chiffrée, il faut tout d’abord installer le logiciel Kleopatra, qui contient l’outil de gestion de clés que l’on va utiliser. Si l’on utilise Tails, ce paquet est déjà installé.

Au lancement de Kleopatra, il se peut que celui-ci affiche un message d’avertissement intitulé Résultats des tests automatiques de Kleopatra et dans lequel la Vérification de la configuration de scdaemon apparaît comme ayant échoué. Ce n’est pas grave, mais ça peut vite devenir perturbant. Afin que ce message ne s’affiche pas à chaque démarrage de Kleopatra, on peut décocher la case Lancer ces tests au démarrage puis cliquer sur Continuer. Une autre possibilité est d’installer le paquet scdaemon, quand bien même il ne nous sera pas utile.

Afin de pouvoir vérifier la signature numérique d’un fichier, il faut au préalable avoir trouvé la clé publique de la personne ou du groupe qui a produit cette signature, puis avoir importé cette clé dans le trousseau du bureau. En général, la clé publique nécessaire à la vérification de la signature est téléchargeable depuis le site web où l’on a récupéré le fichier et sa signature. Si la signature a été réalisée par une de nos correspondantes, c’est sa clé publique qu’il faudra utiliser pour vérifier la signature.

Cette signature se présente sous la forme d’un petit fichier, portant généralement le même nom que le fichier contenant les données signées, avec une extension .sign, .sig ou .asc en plus.

45.3.1 Effectuer la vérification de signature

  • Si le fichier de signature finit avec l’extension .sign, faire un clic-droit dessus et choisir Renommer…. Enlever le n de la fin pour qu’il finisse en .sig.
  • Aller dans Kleopatra, en appuyant sur la touche ( sur un Mac) pour ouvrir la vue d’ensemble des activités, puis en tapant kleo et enfin en cliquant sur le logiciel correspondant.
  • Dans la barre d’outils en haut de la fenêtre, cliquer sur Déchiffrer/vérifier….
  • Dans la fenêtre qui s’ouvre alors, choisir le fichier de signature.

Une fenêtre Vérifier les fichiers s’affiche. Elle contient la progression, puis le résultat de la vérification.

45.3.2 Interpréter le résultat de la vérification

  • Signature valable signifie que le fichier est bien signé par la clé précisée sous Avec le certificat.
  • Impossible de vérifier la donnée peut signifier deux choses :
    • Si la boîte de résultat indique Avec le certificat suivi du nom d’une clé de notre trousseau, cela signifie que le fichier est bien signé par la clé précisée, mais qu’on n’a pas confirmé l’authenticité de cette clé. Si on souhaite la vérifier, suivre l’outil correspondant, puis signer la clé.
    • Si la boîte de résultat indique Avec le certificat indisponible suivi de l’identifiant d’une clé, cela signifie que le fichier est bien signé mais que la clé publique nécessaire pour vérifier la signature n’est pas dans le trousseau OpenPGP du bureau. Dans ce cas, trouver la clé et l’importer dans le trousseau du bureau avec le bouton Importer.
  • Signature non valable signifie que le fichier vérifié ne correspond pas à celui qui a été signé. On peut avoir téléchargé le mauvais fichier, le mauvais fichier de signature, ou être victime d’une attaque. Dans tous les cas, on ne peut pas considérer le fichier téléchargé comme étant authentique.

45.4 Signer des données

Durée : Quelques minutes.

L’objectif de cet outil est de signer numériquement des données. Cela peut notamment permettre à d’autres personnes d’authentifier un message, un document, un logiciel, etc., comme provenant bien de nous. Cet outil nécessite d’avoir préalablement créé une paire de clés et d’en avoir importé la clé secrète dans le trousseau OpenPGP du bureau.

45.4.1 Signer du texte

Cette méthode ne fonctionne que pour signer du texte. Pour signer un autre type de fichier suivre la section suivante.

Pour signer du texte :

  • Aller dans Kleopatra, en appuyant sur la touche ( sur un Mac) pour ouvrir la vue d’ensemble des activités, puis en tapant kleo et enfin en cliquant sur le logiciel correspondant.
  • Dans la barre d’outils en haut de la fenêtre, cliquer sur Bloc-notes.
  • Dans l’onglet Bloc-notes, taper ou coller le texte à signer.
  • Aller dans l’onglet Destinataires.
  • Cocher Signer en tant que (en choisissant la bonne identité contextuelle si on en a plusieurs).
  • Décocher Chiffrer pour moi et Chiffrer pour d’autres.
  • Cliquer sur Bloc-notes Signer.
  • Saisir la phrase de passe de notre clé secrète dans la boîte de dialogue qui s’affiche le cas échéant466.

Le texte signé se trouve dans l’onglet Bloc-notes. On peut le copier-coller vers un fichier.

45.4.2 Signer un fichier

Pour pouvoir signer un ficher, il faut d’abord importer notre clé secrète dans le trousseau du bureau.

Pour signer le fichier :

  • Aller dans Kleopatra, en appuyant sur la touche ( sur un Mac) pour ouvrir la vue d’ensemble des activités, puis en tapant kleo et enfin en cliquant sur le logiciel correspondant.
  • Dans la barre d’outils en haut de la fenêtre, cliquer sur Signer/chiffrer….
  • Choisir le fichier à signer et cliquer sur Ouvrir.
  • Cocher Signer en tant que (en choisissant la bonne identité contextuelle si on en a plusieurs).
  • Décocher Chiffrer pour moi et Chiffrer pour d’autres.
  • Cliquer sur Signer.
  • Saisir la phrase de passe de notre clé secrète dans la boîte de dialogue qui s’affiche le cas échéant467.
  • Un message Succès de la signature doit s’afficher.

Le processus de signature peut prendre jusqu’à plusieurs minutes en fonction de la taille du fichier et de la puissance de l’ordinateur qu’on utilise. Une fois la signature terminée, elle se présente sous la forme d’un petit fichier ayant le même nom que le fichier original, mais se terminant par l’extension .sig, situé au même endroit que le fichier original. À chaque fois l’on transmettra le fichier original, il faudra lui joindre ce fichier de signature afin que les destinataires puissent en vérifier l’authenticité. De plus, afin que les destinataires puissent vérifier notre signature, elles auront besoin d’avoir importé au préalable notre clé publique.

45.5 Chiffrer des données

Durée : Quelques minutes.

L’objectif de cet outil est de chiffrer numériquement des données. Cela peut servir notamment à transmettre un ou plusieurs documents confidentiels sur un support non chiffré qui contient déjà des données, ou bien encore à mettre en ligne ces mêmes documents.

Si l’on utilise une Debian chiffrée, il faut tout d’abord installer le logiciel Kleopatra, qui contient l’outil de gestion de clés que l’on va utiliser. Si l’on utilise Tails, ce paquet est déjà installé.

Au lancement de Kleopatra, il se peut que celui-ci affiche un message d’avertissement intitulé Résultats des tests automatiques de Kleopatra et dans lequel la Vérification de la configuration de scdaemon apparaît comme ayant échoué. Ce n’est pas grave, mais ça peut vite devenir perturbant. Afin que ce message ne s’affiche pas à chaque démarrage de Kleopatra, on peut décocher la case Lancer ces tests au démarrage puis cliquer sur Continuer. Une autre possibilité est d’installer le paquet scdaemon, quand bien même il ne nous sera pas utile.

Pour commencer :

  • Aller dans Kleopatra, en appuyant sur la touche ( sur un Mac) pour ouvrir la vue d’ensemble des activités, puis en tapant kleo et enfin en cliquant sur le logiciel correspondant.
  • Dans la barre d’outils en haut de la fenêtre, cliquer sur Signer/chiffrer….
  • Choisir le fichier à chiffrer et cliquer sur Ouvrir.

On peut choisir de chiffrer le fichier pour une ou plusieurs clés publiques, ou d’utiliser une phrase de passe.

45.5.1 Chiffrer des données avec une phrase de passe

Si on utilise une phrase de passe, il faudra la partager avec les personnes qui devront déchiffrer les données.

  • Décocher Signer en tant que.
  • Décocher aussi Chiffrer pour moi et Chiffrer pour d’autres.
  • Cocher Chiffrer avec un mot de passe.
  • Cliquer sur Chiffrer.
  • Entrer la Phrase secrète deux fois puis cliquer sur OK.
  • Un message Succès du chiffrement doit s’afficher.

Le processus de chiffrement peut prendre jusqu’à plusieurs minutes en fonction de la taille du fichier et de la puissance de l’ordinateur qu’on utilise. Une fois l’opération de chiffrement terminée, le fichier chiffré apparaît à côté du fichier original non chiffré, avec l’extension .gpg à la fin de son nom.

45.5.2 Chiffrer des données avec une ou plusieurs clés publiques

Si l’on chiffre avec des clés publiques, il est nécessaire d’avoir dans son trousseau les clés publiques de toutes les personnes avec qui l’on souhaite partager le fichier. Si ce n’est pas déjà fait, il faudra les importer.

  • Décocher Signer en tant que, à moins que l’on ne souhaite aussi signer le fichier numériquement. Il faudra alors choisir la bonne identité contextuelle (si on en a plusieurs).
  • Si l’on souhaite aussi chiffrer le fichier pour notre propre clé cocher aussi Chiffrer pour moi.
  • Cocher Chiffrer pour d’autres et choisir les clés des personnes avec qui on souhaite partager le fichier.
  • Cliquer sur Chiffrer (ou Signer/chiffrer).
  • Un message Succès du chiffrement (ou Succès de la signature et du chiffrement) doit s’afficher.

Le processus de chiffrement peut prendre jusqu’à plusieurs minutes en fonction de la taille du fichier et de la puissance de l’ordinateur qu’on utilise. Une fois l’opération de chiffrement terminée, le fichier chiffré apparaît à côté du fichier original non chiffré, avec l’extension .gpg à la fin de son nom.

45.6 Déchiffrer des fichiers

Durée : Quelques minutes.

L’objectif de cet outil est de déchiffrer un fichier chiffré numériquement. Cela peut servir notamment à lire des documents confidentiels transmis de façon chiffrée.

Si l’on utilise une Debian chiffrée, il faut tout d’abord installer le logiciel Kleopatra. Si l’on utilise Tails, ce paquet est déjà installé.

Au lancement de Kleopatra, il se peut que celui-ci affiche un message d’avertissement intitulé Résultats des tests automatiques de Kleopatra et dans lequel la Vérification de la configuration de scdaemon apparaît comme ayant échoué. Ce n’est pas grave, mais ça peut vite devenir perturbant. Afin que ce message ne s’affiche pas à chaque démarrage de Kleopatra, on peut décocher la case Lancer ces tests au démarrage puis cliquer sur Continuer. Une autre possibilité est d’installer le paquet scdaemon, quand bien même il ne nous sera pas utile.

Attention : toujours déplacer le fichier à déchiffrer jusqu’à l’emplacement où l’on souhaite le stocker sous sa forme déchiffrée. Par exemple, si le fichier chiffré est stocké sur une clé USB non chiffrée, il sera très important de le déplacer avant de le déchiffrer, sinon le fichier déchiffré se retrouvera en clair sur la clé USB.

Pour déchiffrer le fichier :

  • Aller dans Kleopatra, en appuyant sur la touche ( sur un Mac) pour ouvrir la vue d’ensemble des activités, puis en tapant kleo et enfin en cliquant sur le logiciel correspondant.
  • Dans la barre d’outils en haut de la fenêtre, cliquer sur Déchiffrer/vérifier….
  • Choisir le fichier à déchiffrer et cliquer sur Ouvrir.
  • Saisir la phrase de passe partagée ou la phrase de passe de notre clé secrète dans la boîte de dialogue qui s’affiche le cas échéant468.
  • Si le fichier est non seulement chiffré mais aussi signé, le résultat de la vérification de la signature s’affiche de la même façon que lorsqu’on vérifie une simple signature. Sinon, un message indique le Succès du déchiffrement.
  • Cliquer sur Tout enregistrer pour enregistrer le fichier déchiffré.

  1. Wikipédia, 2014, Standard Internet.↩︎

  2. Si on a déjà tapé notre phrase de passe peu de temps avant, elle n’est pas redemandée. OpenPGP la garde en mémoire pendant dix à trente minutes.↩︎

  3. Si on a déjà tapé notre phrase de passe peu de temps avant, elle n’est pas redemandée. OpenPGP la garde en mémoire pendant dix à trente minutes.↩︎

  4. Si on a déjà tapé notre phrase de passe peu de temps avant, elle n’est pas redemandée. OpenPGP la garde en mémoire pendant dix à trente minutes.↩︎

  5. Si on a déjà tapé notre phrase de passe peu de temps avant, elle n’est pas redemandée. OpenPGP la garde en mémoire pendant dix à trente minutes.↩︎