Chapitre 44 Utiliser le chiffrement OpenPGP dans Thunderbird

Le standard Internet⁴⁵⁹ OpenPGP est un format de cryptographie qui permet notamment d’effectuer et de vérifier des signatures numériques ainsi que de chiffrer et de déchiffrer des messages ou des fichiers.

Nous allons ici détailler l’usage d’OpenPGP dans Thunderbird pour gérer des clés et chiffrer ou signer des messages. Cependant, certains usages d’OpenPGP qui ne sont pas possibles dans Thunderbird sont traités dans le chapitre suivant.

44.1 Créer une paire de clés

Durée : Quinze minutes à une heure.

Cet outil détaille la création et une partie de la gestion d’une paire de clés de chiffrement. Il est bon de rappeler quelques notions de base à toujours avoir à l’esprit :

Les clés de chiffrement n’utilisent pas toutes le même algorithme. Nous avons parlé du chiffrement RSA mais il en existe plusieurs autres.
L’algorithme ne définit pas strictement la taille de la clé, on peut choisir de faire varier cette dernière afin de jouer sur les niveaux de sécurité.
Certaines clés ont des dates d’expiration à laquelle elles périment, d’autres n’en ont pas.

44.1.1 Générer la paire de clés

Tout d’abord, avant de générer une paire de clés OpenPGP, il faut avoir défini un mot de passe principal, comme détaillé dans le chapitre précédent. Cette phrase de passe est demandée à chaque ouverture de Thunderbird. Elle sert à restreindre l’accès aux mots de passe enregistrés, mais aussi à la clé privée qu’on va créer.

Afin de créer notre nouvelle paire de clés, dans Thunderbird, cliquer sur → Outils → Gestionnaire de clés OpenPGP. Choisir Génération → Nouvelle paire de clés. Une fenêtre Ajouter une clé OpenPGP personnelle pour […] s’ouvre. Vérifier que l’Identité sélectionnée correspond à l’identité contextuelle utilisée, ainsi que l’adresse électronique qui lui est associée.

Il est conseillé de choisir une date d’Expiration de la clé. Si c’est la première fois que l’on crée une paire de clés, on choisira une date d’expiration comprise entre un an et deux ans par exemple. Afin de ne pas oublier de renouveler sa clé à temps, il peut être de bon goût de noter quelque part cette date d’expiration.

Dans les Paramètres avancés, le Type de clé par défaut est RSA. Il est conseillé de sélectionner ECC (courbe elliptique) à cet endroit, car les algorithmes cryptographiques correspondants offrent une sécurité équivalente aux clés de type RSA tout en étant plus efficaces. Néanmoins, il reste tout à fait possible d’utiliser une clé de type RSA.

Si l’on choisit l’option RSA comme Type de clé, la Taille de la clé proposée par défaut, 3072 bits, est considérée comme sûre jusqu’au-delà de 2030⁴⁶⁰ ; mais si l’on souhaite protéger ses communications plus fortement ou plus longtemps, il est conseillé de choisir la taille de clé la plus élevée disponible, à savoir 4096 bits. Dans le cas d’une clé de type ECC, par contre, il n’est pour l’instant pas possible de choisir la taille de la clé.

Une fois les paramètres de la clé sélectionnés, cliquer sur Générer la clé puis sur Confirmer.

Cela peut être presque instantané ou prendre plusieurs minutes. C’est le moment de faire bouger sa souris, d’utiliser son clavier ou encore d’utiliser le disque dur si cela est possible, afin d’aider son ordinateur à générer des données aléatoires. Celles-ci sont nécessaires au processus de génération de la clé⁴⁶¹.

Une fois cette opération terminée, notre clé apparaîtra en gras dans le Gestionnaire de clés OpenPGP. Il peut arriver que la clé ne soit pas visible. Dans ce cas, monter ou descendre dans la liste de clés.

44.1.2 Sauvegarder sa clé privée

Cette étape de création de clés effectuée, il est bon de penser à la manière de sauvegarder notre paire de clés, et en particulier notre clé privée : celle-ci étant secrète, il s’agit de ne pas la laisser traîner n’importe où. La clé privée doit être uniquement accessible à la personne supposée y avoir accès. Le mieux est de conserver cette paire de clés sur un volume chiffré, que celui-ci soit une clé USB, un disque dur interne ou externe, ou la persistance de Tails.

Si la sauvergarde se fait sur la persitance de Tails, c’est bien de prévoir une sauvegarde de son système live :

Depuis le Gestionnaire de clés OpenPGP, sélectionner la clé et choisir Fichier → Sauvegarder une ou des clés secrètes dans un fichier.
Choisir où placer le fichier et son nom, puis cliquer sur Enregistrer.
Choisir alors une phrase de passe pour protéger la sauvegarde de la clé secrète. Ça peut être la même phrase de passe que celle choisie précédemment comme mot de passe principal de Thunderbird, car c’est pratiquement la même information qu’on protège : notre clé secrète. Cliquer alors sur OK.
Une boîte de dialogue doit confirmer que Les clés ont été correctement enregistrées. On peut la Fermer.
Vérifier alors que la sauvegarde est bien placée en lieu sûr.

44.1.3 Conserver un certificat de révocation à l’abri

Si des adversaires mettent la main sur notre clé privée, ou simplement si on la perd, il est nécessaire de la révoquer, afin que nos correspondantes soient au courant qu’il ne faut plus utiliser la clé publique correspondante. On utilise pour cela un certificat de révocation.

Le certificat de révocation se présente sous la forme d’un fichier ou de quelques lignes de texte, qu’il nous faudra stocker dans un endroit sûr, par exemple sur une clé USB chiffrée, chez une personne de confiance ou sur un papier bien caché. En effet, toute personne qui a accès à ce fichier peut révoquer notre clé publique, et donc nous empêcher de communiquer de manière chiffrée.

Lorsque l’on crée une paire de clés OpenPGP, Thunderbird crée automatiquement un certificat de révocation, mais il le cache dans son dossier de configuration. Pour le trouver :

lancer le logiciel Fichiers : appuyer sur la touche (⌘ sur un Mac), taper fich puis cliquer sur Fichiers ;
dans le panneau de gauche, aller dans Dossier personnel ;
cliquer sur puis Afficher les fichiers cachés ;
ouvrir le dossier .thunderbird ;
trouver le dossier au nom bizarre qui finit par .default (par exemple 7u6xu6tq.default-default ou profile.default) et l’ouvrir ;
le certificat de révocation de notre clé privée se trouve dans un fichier dont le nom commence par l’identifiant⁴⁶² de la clé et finit par _rev.asc (par exemple 0xC7BF166A096820DA_rev.asc) ;
double-cliquer sur ce fichier pour l’ouvrir.

Selon notre choix, on pourra ensuite :

le sauvegarder en cliquant sur puis Enregistrer sous… et choisir un nom de fichier clair. Par exemple Certificat de révocation pour la clé 0xC7BF166A096820DA.asc ;
l’imprimer en cliquant sur l’icône d’imprimante, à partir du menu .

Si notre clé privée venait à être compromise, on utiliserait ce certificat pour révoquer la clé publique associée.

44.1.4 Configurer le chiffrement pour un compte de messagerie

La cryptographie asymétrique permet de chiffrer des emails ou de les signer, ou les deux. Il faut donc configurer le compte de messagerie que l’on veut utiliser avec la paire de clés que l’on vient de générer.

Pour cela :

cliquer sur pour afficher le menu de Thunderbird puis ouvrir Paramètres des comptes ;
sélectionner d’un clic la section Chiffrement de bout en bout du compte mail à éditer ;
choisir la clé correspondant à notre identité contextuelle à la place de Aucune. Ne pas utiliser OpenPGP pour cette identité.

Plus bas, dans les Paramètres par défaut pour l’envoi de messages, il est possible de choisir différentes options.

Par défaut, les emails ne sont pas chiffrés et il faut activer manuellement le chiffrement pour chaque email. On peut Activer le chiffrement pour les nouveaux messages ; il faudra alors désactiver le chiffrement pour écrire à une personne qui n’utilise pas OpenPGP.

On peut aussi cocher la case Signer les messages non chiffrés afin de signer tous les emails que nous enverrons depuis ce compte (les messages chiffrés étant toujours signés par défaut). Cela permet aux destinataires d’authentifier tous les emails, y compris ceux qui ne sont pas chiffrés. Cela leur montre aussi qu’on utilise OpenPGP. Attention cependant, car cela prouve cryptographiquement que l’email a été envoyé par une personne détentrice de la clé secrète correspondante, ce qui n’est pas toujours souhaitable.

44.2 Exporter et partager notre clé publique

Durée : Quelques minutes.

Pour nous envoyer des emails chiffrés et pour vérifier la signature de nos emails, nos correspondantes doivent disposer de notre clé publique. Mais avant de l’utiliser, il leur faudra avoir aussi vérifié l’empreinte de cette clé.

44.2.1 Envoyer notre clé publique par email

Il est possible de transmettre notre clé publique par email. Dans la fenêtre de rédaction d’un message, cliquer sur le bouton juste à droite du bouton Joindre puis cocher Ma clé publique OpenPGP. Notre clé sera alors automatiquement ajoutée en pièce jointe au moment de l’envoi de l’email.

44.2.2 Publier sa clé publique sur les serveurs de clés

Si l’existence de l’identité contextuelle à laquelle correspond la clé n’est pas elle-même confidentielle, on pourra publier notre clé publique sur un serveur de clés, afin que quiconque désirant nous envoyer des emails chiffrés puisse la télécharger à cette fin.

Commencer par exporter sa clé publique dans un fichier, qui pourra ensuite tout autant être partagé sur un serveur ou via une clé USB chiffrée. La procédure est la même sous Tails ou avec une Debian chiffrée :

Dans Thunderbird, cliquer sur → Outils → Gestionnaire de clés OpenPGP.
Sélectionner la clé OpenPGP que l’on souhaite exporter ; dans le menu, cliquer sur Fichier → Exporter une ou des clés publiques vers un fichier ; choisir un emplacement d’exportation et un nom de fichier, puis cliquer sur Enregistrer.

Publier ensuite la clé sur un serveur de clés :

Ouvrir le Navigateur Tor et saisir l’adresse https://keys.openpgp.org/.
Cliquer sur upload (téléverser en français).
Cliquer sur Browse… (Parcourir… en français) et choisir le fichier dans lequel on a exporté sa clé publique.
Cliquer sur Upload. Une page confirme la bonne réception de la clé.
Visiter le lien reçu dans l’email de confirmation (en le copiant-collant dans la barre d’adresse du Navigateur Tor) pour confirmer que c’est bien nous qui sommes derrière l’adresse mail associée à la clé publiée.

44.2.3 Obtenir l’empreinte d’une clé

Si l’on transmet notre clé publique par un moyen non authentifié, il est nécessaire de faire parvenir à notre correspondante l’empreinte de notre clé par un moyen authentifié, afin qu’elle s’assure qu’il sagit bien de la bonne clé appartenant à la bonne personne.

Pour obtenir l’empreinte de notre clé :

Dans Thunderbird, cliquer sur → Outils → Gestionnaire de clés OpenPGP.
Double-cliquer sur notre clé OpenPGP pour afficher les Propriétés de la clé.
Noter ou copier l’empreinte de la clé pour la partager de manière sécurisée.

Des méthodes pour partager l’empreinte par un canal sûr et vérifier l’authenticité de la clé sont expliquées plus loin.

44.3 Importer, vérifier et exporter des clés publiques

Durée : De quelques minutes à une demi-heure.

Les clés publiques d’autres personnes nous servent à chiffrer les emails que nous leur envoyons et à vérifier l’authenticité des messages qu’elles ont signés.

Pour obtenir ces clés publiques, il faut les importer. Avant de les utiliser, il faut vérifier leur authenticité afin de s’assurer que nous avons la bonne clé publique de la bonne personne. Il est aussi parfois utile d’exporter ces clés dans un fichier pour les utiliser dans d’autres logiciels.

44.3.1 Importer une clé publique

Le but de ce chapitre est d’importer une clé OpenPGP, que nous utiliserons pour vérifier des signatures numériques ou pour chiffrer des messages. La procédure est la même sous Tails ou avec une Debian chiffrée.

Importer une clé ne signifie pas avoir vérifié qu’elle appartient bien à la propriétaire supposée. Nous verrons dans la section suivante qu’il faut pour cela effectuer d’autres opérations, comme étudier ses signatures ou son empreinte numérique.

Dans Thunderbird, l’import de clé passe par le Gestionnaire de clés OpenPGP. Pour y accéder, cliquer sur → Outils → Gestionnaire de clés OpenPGP.

44.3.1.1 Si l’on dispose de la clé dans un fichier

Dans le Gestionnaire de clés OpenPGP, cliquer sur Fichier → Importer une ou des clés publiques depuis un fichier. Dans la fenêtre qui s’ouvre, sélectionner le fichier contenant la clé, puis cliquer sur Ouvrir.

On peut alors passer à l’étape de confirmation de l’import.

44.3.1.2 Si l’on veut chercher la clé en ligne

Toujours dans le Gestionnaire de clés OpenPGP, cliquer sur Serveur de clés → Rechercher des clés en ligne.

Dans la fenêtre qui s’ouvre alors, taper l’adresse mail ou l’identifiant correspondant à la clé recherchée, par exemple guide@boum.org, 0x326F9F67250B0939⁴⁶³ ou encore D4874FA4F6B688DC0913C9FD326F9F67250B0939, et choisir OK. Il faudra bien vérifier l’empreinte par la suite, comme on verra un peu plus tard.

Il est à noter que si l’on a précédemment configuré Thunderbird pour utiliser le routage en oignon, il faut aussi que le Navigateur Tor soit lancé pour que la recherche de clés en ligne puisse fonctionner.

44.3.1.3 Confirmation de l’import

Une fois que Thunderbird a trouvé la clé (dans le fichier indiqué ou bien en ligne, selon la procédure utilisée juste avant), une fenêtre de résultats s’ouvre, qui affiche l’identifiant complet de la clé et les adresses mail associées. Si c’est bien la clé qu’on souhaite importer, choisir Acceptée (non vérifiée) et cliquer sur OK.

Si l’importation se passe bien, une fenêtre Clés correctement importées s’ouvre, avec un résumé des information sur la clé. La fermer avec OK.

La clé importée devrait maintenant être visible dans le Gestionnaire de clés OpenPGP. Il reste nécessaire de vérifier son authenticité.

44.3.2 Vérifier l’authenticité d’une clé publique

Lors de l’utilisation de la cryptographie asymétrique, il est crucial de s’assurer que l’on dispose de la véritable clé publique de notre correspondante. Sinon, on s’expose à une attaque du monstre du milieu.

On devra tout d’abord choisir une méthode pour s’assurer que l’on dispose de la bonne clé publique. On indiquera ensuite à Thunderbird notre confiance en cette clé.

En fonction des exigences de notre modèle de menace et de nos possibilités, on pourra choisir différentes façons pour vérifier l’authenticité d’une clé publique. Admettons qu’on doive vérifier l’authenticité de la clé publique d’Ana.

44.3.2.1 Se transmettre la clé par un canal sûr…

Lorsque c’est possible, le plus simple est de se passer en main propre, à l’aide d’une clé USB par exemple, le fichier contenant la clé publique. Ana exporte alors sa clé publique vers un fichier, qu’elle stocke sur une clé USB éventuellement chiffrée qu’elle nous donne ensuite. On importera ensuite directement la clé publique d’Ana à partir de ce fichier.

44.3.2.2 …ou se transmettre l’empreinte par un canal sûr.

L’un des inconvénients de la méthode précédente est qu’elle nécessite de se passer un fichier informatique par un moyen sûr. Cela n’est pas toujours possible. Heureusement, ce n’est en fait pas nécessaire : il suffit d’obtenir, par un moyen sûr, une somme de contrôle de la clé publique, qu’on appelle « empreinte » (ou « fingerprint » en anglais).

Ana peut ainsi publier sa clé publique sur Internet, par exemple sur son blog ou sur un serveur de clés. De notre côté, nous téléchargeons cette clé de façon non authentifiée, puis on vérifie que l’empreinte de la clé correspond à celle qu’Ana nous a fait parvenir de façon authentifiée. Pour voir l’empreinte de la clé d’Ana obtenue depuis Internet, il faudra l’importer dans le Gestionnaire de clés OpenPGP, puis double-cliquer sur sa clé.

Que gagnons-nous à utiliser cette méthode ? Au lieu de devoir se faire passer un fichier, il est suffisant de se transmettre une ligne de caractères comme celle-ci :

A490 D0F4 D311 A415 3E2B B7CA DBB8 02B2 58AC D84F

Par exemple, Ana, qui est une personne bien organisée, peut avoir en permanence sur elle un exemplaire de l’empreinte de sa clé publique écrite sur un bout de papier. Il nous suffit alors de la croiser pour qu’elle nous la passe : pas besoin d’ordinateur ni de clé USB.

Si l’on ne peut pas rencontrer Ana, elle pourra aussi nous envoyer cette empreinte par courrier postal, et on pourra l’appeler pour qu’elle nous la lise par téléphone. La vérification sera moins bonne qu’en se voyant directement, mais il reste plus difficile pour des adversaires de nous envoyer un courrier postal avec sa clé et de répondre au numéro de téléphone d’Ana en nous lisant son empreinte, tout en imitant sa voix.

Ça se complique encore si on ne connaît pas Ana. Dans ce cas, il nous faudra faire confiance à des personnes qui prétendent la connaître. Encore une fois, il n’y a pas de recette magique, mais combiner différents moyens de vérification permet de compliquer la tâche de possibles adversaires souhaitant monter une « attaque du monstre du milieu » : il nous est possible de demander à plusieurs personnes qui prétendent connaître Ana plutôt qu’à une seule, d’utiliser plusieurs moyens de communication différents, etc.

44.3.2.3 Enregistrer la confiance dans une clé

Une fois qu’on a établi une confiance en la clé d’Ana, il est utile d’informer Thunderbird qu’il peut faire confiance à cette clé.

Pour cela, ouvrir le Gestionnaire de clés OpenPGP de Thunderbird en cliquant sur → Outils → Gestionnaire de clés OpenPGP.

Une fois la clé d’Ana repérée dans la fenêtre principale, double-cliquer dessus pour afficher les détails de la clé. Vérifier que c’est la bonne clé, par exemple en vérifiant son empreinte. Dans l’onglet Votre acceptation, choisir alors Oui, j’ai vérifié en personne que l’empreinte de cette clé est correcte, puis valider en cliquant sur OK.

Thunderbird sait maintenant qu’on a confiance en la clé d’Ana.

Dans Thunderbird, quand on fait confiance à une clé, notre choix reste sur notre ordinateur seulement. Pour faire fonctionner la toile de confiance, le protocole OpenPGP permet de signer une clé et de rendre cette signature publique, ce qui permet à n’importe quelle utilisatrice de la toile de confiance de profiter des vérifications qu’on a faites.

Pour l’instant, il n’est pas possible de faire de signature publique avec l’interface de Thunderbird. C’est possible uniquement dans le trousseau OpenPGP du système, auquel on peut accéder avec l’application Kleopatra par exemple.

44.3.3 Exporter une clé publique dans un fichier

Le but de cet outil est d’exporter une clé OpenPGP, par exemple pour pouvoir l’utiliser avec un autre logiciel.

Le fichier créé lors de cette opération contiendra la clé publique nécessaire pour chiffrer des messages destinés à l’identité correspondante ou vérifier des signatures faites par cette identité.

Pour cela :

Dans Thunderbird, cliquer sur → Outils → Gestionnaire de clés OpenPGP.
Sélectionner la clé OpenPGP que l’on souhaite exporter ; dans le menu, cliquer sur Fichier → Exporter une ou des clés publiques vers un fichier ; choisir un emplacement d’exportation et un nom de fichier, puis cliquer sur Enregistrer.

44.4 Gestion de sa paire de clé : la prolonger, en changer, la révoquer

Lors de la création de notre paire de clés, nous avons pu choisir une date d’expiration. Avant que la paire de clés expire, il est possible de modifier la date d’expiration afin de prolonger sa validité. Cependant, les technologies évoluent et on peut vouloir changer de paire de clés et transitionner vers une nouvelle paire. Enfin, il arrive parfois qu’une clé privée soit compromise et que l’on doive donc la révoquer.

44.4.1 Prolonger sa paire de clés

Durée : Quelques minutes.

Dans le cas où notre paire de clés va expirer mais qu’il n’y a pas de raison de transitionner vers une nouvelle paire, on peut prolonger sa validité.

Pour cela :

dans Thunderbird, cliquer sur → Outils → Gestionnaire de clés OpenPGP ;
double-cliquer sur notre paire de clés ;
cliquer sur Modifier la date d’expiration ;
sélectionner La clé expirera dans et choisir un nombre de mois, par exemple douze ou vingt-quatre mois (un ou deux ans) ;
cliquer sur OK pour valider.

Nous voilà reparties pour une autre saison en compagnie de notre paire de clés !

44.4.2 Effectuer la transition vers une nouvelle paire de clés

Durée : Quinze minutes à une heure.

Avant que notre paire de clés expire, ou lorsque des avancées dans le domaine de la cryptographie nous obligent à utiliser des clés plus sûres, il nous faudra créer une nouvelle paire de clés.

On suivra pour cela l’outil créer une paire de clés.

On exportera alors notre nouvelle clé publique et on la fera parvenir aux personnes avec lesquelles on communique.

Quelque temps plus tard, on pourra révoquer notre ancienne clé.

Cependant, nous conserverons bien notre ancienne clé privée, afin de pouvoir déchiffrer les messages reçus précédemment, chiffrés avec l’ancienne clé publique.

44.4.3 Révoquer une paire de clés

Durée : Quinze à trente minutes.

Dans le cas où notre propre paire de clés est compromise, par exemple si on a perdu notre système ou qu’on soupçonne qu’il a été piraté, l’enjeu est d’arriver à le faire savoir à nos correspondantes. Ainsi elles seront au courant que la clé n’est plus de confiance et pourront arrêter de l’utiliser.

Pour cela, nous utiliserons le certificat de révocation créé précédemment avec notre paire de clé.

Attention : les instructions qui suivent révoqueront de manière irréversible notre clé. À utiliser seulement en cas de besoin !

44.4.3.1 Préparer le certificat de révocation

Il faut tout d’abord retrouver le certificat de révocation sauvegardé lors de la création de notre paire de clés. On l’avait alors stocké dans un endroit sûr, par exemple sur une clé USB chiffrée, chez une personne de confiance ou sur un papier bien caché.

Si il était sur un bout de papier, il faut créer un fichier contenant les informations du certificat de révocation :

lancer l’Éditeur de texte : appuyer sur la touche (⌘ sur un Mac), taper gedi puis cliquer sur Éditeur de texte ;
dans le document, taper précisément la partie qui commence par -----BEGIN PGP PUBLIC KEY BLOCK----- et finit par -----END PGP PUBLIC KEY BLOCK----- ;
Enregistrer le fichier au format .asc, par exemple revocation.asc.

Sinon, si on avait sauvegardé le fichier contenant le certificat de révocation sur un autre support (clé USB chiffrée ou autre), il faut tout d’abord :

ouvrir ce fichier en faisant un clic droit dessus, puis Ouvrir avec une autre application ;
dans Choisir une application, choisir Éditeur de texte et cliquer sur Sélectionner ;
enlever le caractère : qui se situe au tout début de la ligne -----BEGIN PGP PUBLIC KEY BLOCK----- ;
cliquer sur Enregistrer et fermer l’éditeur de texte.

Le certificat de révocation est maintenant prêt. Nous pouvons alors l’utiliser pour révoquer notre clé.

44.4.3.2 Révoquer notre clé OpenPGP

Pour pouvoir révoquer une clé OpenPGP, il faut avoir la clé publique correspondante. Si notre clé privée a été compromise, il est possible qu’on n’ait plus accès au système sur lequel elle était. Par conséquent, si l’on ne dispose pas de la clé publique que l’on veut révoquer, on va commencer par l’importer.

Il faut ensuite importer le certificat de révocation.

Dans Thunderbird, ouvrir le Gestionnaire de clés OpenPGP en cliquant sur → Outils → Gestionnaire de clés OpenPGP. Puis :

choisir Fichier → Importer une ou des révocations depuis un fichier ;
séléctionner le fichier contenant le certificat de révocation, puis cliquer sur Ouvrir ;
la clé révoquée apparaît alors grisée.

Si l’on avait publié notre clé publique sur un serveur de clés, il faut maintenant y publier la clé révoquée, en suivant la recette ci-dessous.

44.4.3.3 Publier la clé publique révoquée

Si notre clé publique avait au préalable été publiée sur un serveur de clés, le mieux est de publier à nouveau notre clé révoquée, pour que notre clé publique y soit désormais également révoquée, permettant ainsi à toutes nos correspondantes d’en être averties en la mettant à jour depuis le serveur de clés.

Pour cela, que ce soit sous Tails ou dans une Debian, suivre la recette pour publier sa clé publique sur les serveurs de clés.

Une fois cette synchronisation effectuée, il reste à le faire savoir à nos correspondantes.

44.4.3.4 Prévenir nos correspondantes de la révocation de notre clé

L’étape la plus importante de la révocation de notre clé est de prévenir nos correspondantes afin qu’elles n’utilisent plus cette clé.

Pour cela, on peut, au choix :

leur envoyer par email le certificat de révocation, qu’elles pourront alors importer afin de révoquer notre clé publique dans leur trousseau de clés ;
exporter notre clé publique révoquée puis la leur envoyer par email, afin qu’elles puissent l’importer à nouveau ;
leur demander de mettre à jour notre clé révoquée depuis le serveur de clés sur lequel on l’aura publiée ; pas de recette toute faite pour ça, entre leur envoyer un email chiffré, le leur faire savoir de vive voix, etc.

44.4.4 Révoquer la clé publique d’une correspondante

Si l’une de nos correspondantes nous a fait savoir que sa paire de clés était compromise et qu’elle l’a révoquée, il nous faut mettre à jour sa clé sur notre ordinateur afin que Thunderbird prenne en compte cette révocation.

Pour cela :

si notre correspondante nous a envoyé le certificat de révocation de sa clé, suivre la recette ci-dessus afin d’importer ce certificat ;
si elle nous a envoyé sa clé publique révoquée, il faut alors l’importer à nouveau ;
si elle a publié sa clé publique révoquée sur un serveur de clés, il nous faut alors mettre à jour notre copie de la clé en l’important à nouveau depuis le serveur de clés.

44.5 Chiffrer et/ou signer ses emails dans Thunderbird

Durée : Quelques minutes.

Une fois Thunderbird démarré et configuré :

cliquer sur le bouton Écrire afin de débuter la rédaction d’un nouveau message ;
une fenêtre Rédaction s’ouvre, dans laquelle on va rédiger notre email ;
si l’on souhaite chiffrer l’email, cliquer sur le bouton Chiffrer, s’il n’est pas déjà sélectionné (le cadenas est barré lorsque le chiffrement est désactivé) ; on peut aussi activer le chiffrement de l’email en cliquant dans le menu Sécurité → Chiffrer ;
si l’on souhaite signer numériquement l’email, cliquer sur OpenPGP → Signer numériquement ou dans le menu Sécurité → Signer numériquement ;
si notre correspondante ne dispose pas déjà de notre clé publique, il est possible de la joindre à l’email automatiquement en cliquant sur le bouton juste à droite du bouton Joindre puis en cochant Ma clé publique OpenPGP ;
une fois notre email terminé, cliquer sur Envoyer.

Si la personne qui reçoit l’email utilise aussi Thunderbird, elle verra dans la barre d’en-tête de l’email un bouton OpenPGP avec :

un cadenas fermé si l’email est chiffré ;
un cachet si l’email est signé.

En cliquant sur ce bouton, des détails sur le chiffrement et la signature s’affichent.

Si la personne ne possède pas la clé privée pour laquelle le message a été chiffré, un message La clé secrète nécessaire pour déchiffrer ce message n’est pas disponible apparaîtra en lieu et place du corps de l’email.

Wikipédia, 2014, Standard Internet.↩︎
Agence nationale de la sécurité des systèmes d’information, 2020, Mécanismes cryptographiques – Règles et recommandations concernant le choix et le dimensionnement des mécanismes cryptographiques, p. 20.↩︎
Zvi Gutterman, Benny Pinkas, Tzachy Reinman, 2006, Analysis of the Linux Random Number Generator (en anglais).↩︎
En cas de doute, on peut retrouver l’identifiant de notre clé (sans le 0x initial) dans le Gestionnaire de clés OpenPGP de Thunderbird, en face de l’identité contextuelle correspondante.↩︎
Il s’agit de l’identifiant court d’une clé, qui n’est pas suffisant pour sélectionner de manière unique une clé. Riseup, 2017, Bonnes pratiques pour l’utilisation d’OpenPGP.↩︎