Comment fonctionne Pretty Good Privacy et comment vous pouvez l'utiliser pour une communication sécurisée

Envoyer des informations sensibles via Internet est toujours angoissant. Que faire si quelqu'un d'autre voit les informations bancaires que j'envoie? Ou même ces mèmes superbes dont on ne devrait pas parler?

Heureusement, il existe une assez bonne solution à ce problème: Pretty Good Privacy (PGP) .

Un ingénieur logiciel du nom de Phil Zimmermann a créé PGP en 1991. Il était un activiste anti-nucléaire et voulait un moyen de transférer des informations en toute sécurité sur Internet.

Zimmermann a eu des ennuis avec le gouvernement américain en 1993 parce que PGP a parcouru les eaux internationales et atteint un grand nombre de pays à travers le monde, violant les restrictions américaines à l'exportation de logiciels cryptographiques.

Aujourd'hui, PGP «appartient» à Symantec, mais OpenPGP , une norme de cryptage des e-mails, est implémentée par plusieurs logiciels.

Vous pourriez également entendre beaucoup parler de GPG . C'est un autre outil logiciel qui implémente le standard OpenPGP.

Comment fonctionne PGP?

PGP est très facile à comprendre, en surface. Imaginez que vous vouliez envoyer les informations de votre carte de crédit à un ami et que vous l'écrivez sur une feuille de papier. Vous mettez ensuite le papier dans une boîte et l'envoyez par courrier.

Un voleur peut facilement voler la boîte et regarder le papier contenant les informations de votre carte de crédit. Que pourriez-vous faire à la place?

Vous décidez de mettre un verrou à clé sur la boîte, mais vous réalisez que vous devez envoyer la clé avec la boîte. Ce n'est pas bon.

Et si vous rencontriez votre ami en personne pour partager la clé au préalable? Cela pourrait fonctionner, non? Cela pourrait, mais vous avez tous les deux une clé qui permet de déverrouiller la boîte. En tant qu'expéditeur, vous n'aurez plus jamais besoin d'ouvrir la boîte après l'avoir fermée. En conservant une copie d'une clé permettant de déverrouiller la boîte, vous créez une vulnérabilité.

Enfin, vous avez trouvé la bonne solution: vous aurez deux clés. La première clé ne pourra que verrouiller la boîte. La deuxième clé ne pourra ouvrir que la boîte. De cette façon, seule la personne qui a besoin d'obtenir le contenu de la boîte a la clé qui lui permet de la déverrouiller.

C'est ainsi que fonctionne PGP. Vous disposez d'une clé publique (pour verrouiller / crypter le message) et d'une clé privée (pour déverrouiller / décrypter le message). Vous enverriez la clé publique à tous vos amis afin qu'ils puissent crypter les messages sensibles qu'ils souhaitent vous envoyer. Une fois que vous recevez un message chiffré, vous utilisez votre clé privée pour le déchiffrer.

Un bref exemple

Il existe de nombreux outils logiciels qui implémentent le standard OpenPGP. Ils ont tous des méthodes différentes pour configurer le cryptage PGP. Un outil particulier qui fonctionne très bien est Apple Mail .

Si vous utilisez un ordinateur Mac, vous pouvez télécharger GPGTools. Cette application va générer et gérer vos clés publiques et privées. Il s'intègre également automatiquement avec Apple Mail.

Une fois les clés générées, vous verrez une icône de cadenas dans la ligne d'objet, lors de la rédaction d'un nouveau message dans Apple Mail. Cela signifie que le message sera chiffré avec la clé publique que vous avez générée.

Après avoir envoyé l'e-mail à quelqu'un, cela ressemblera à ceci. Ils ne pourront pas voir le contenu de l'e-mail tant qu'ils ne le décrypteront pas à l'aide de la clé privée.

Notez que le cryptage PGP ne crypte pas la ligne d'objet d'un e-mail . Ne mettez jamais d'informations sensibles dans la ligne d'objet.

Si vous utilisez un logiciel qui déchiffre automatiquement le message à l'aide de votre clé privée, comme Apple Mail, cela ressemblera à ceci:

En résumé…

  • Pretty Good Privacy (PGP) vous permet d'envoyer des fichiers et des messages en toute sécurité sur Internet
  • PGP génère une clé publique (pour crypter les messages) et une clé privée (pour décrypter les messages)
  • OpenPGP est une norme de cryptage des e-mails
  • GPG est une implémentation open-source d'OpenPGP
  • Vous pouvez trouver une brève liste des logiciels qui ont la capacité PGP ici

Références

  • //philzimmermann.com/FR/background/index.html
  • //gnupg.org/index.html
  • //gpgtools.org
  • //openpgp.org
  • Diagramme de flux de travail PGP

Pour plus de mises à jour, suivez-moi sur Twitter.