Keybase & Enigmail

Voilà!
Vous venez de rejoindre Keybase, vous avez authentifié vos sites et comptes web, vous suivez même des amis qui vous suivent eux aussi. Super! Mais pourquoi restreindre ses clés PGP créées avec Keybase, à Keybase?

Keybase est vraiment très pratique, mais tout l'intérêt du système est de permettre à tout à chacun de s'assurer de l'identité numérique (la votre) se cachant derrière une clé PGP publique. Alors pourquoi ne pas utiliser ses clés PGP localement, pouvoir envoyer des mails chiffrés par exemple? Nous allons voir comment importer vos clés PGP pour les utiliser localement, le plus simplement du monde, et comment les ajouter à Thunderbird et Enigmail en utilisant vos clés PGP créées sur Keybase.

Exporter ses clés PGP

Avant de pouvoir envoyer des emails chiffrés depuis Thunderbird, vous devez exporter depuis Keybase vos clés privée et publique.

  • 1 - Vous allez devoir sauvegarder votre clé publique dans un fichier que vous nommerez par exemple keybase-public.key. Rendez-vous sur votre profil et cliquez sur votre Key Fingerprint, une fenêtre s'ouvrira contenant votre clé publique; copiez-la:

  • 2 - Maintenant, vous allez devoir sauvegarder votre clé privée dans un fichier que vous nommerez par commodité keybase-private.key. Toujours sur votre profil, cliquez sur le bouton edit à côté de votre Fingerprint et sélectionnez Export my private key from Keybase:

  • 3 - Importez maintenant les clés dans votre logiciel compatible OpenPGP, localement. GnuPG est installé par défaut sur tous les systèmes GNU/Linux, c'est celui que j'utiliserai.
    Pour OSX installez GPGTools, pour Windows GPGP4Win.
    Avec GPG donc exécutez les commandes suivants en indiquant l'emplacement des fichiers .key fraîchement exportés:
gpg --allow-secret-key-import --import keybase-private.key
gpg --import keybase-public.key

Voilà, vous avez importé vos clés PGP dans votre installation locale. Vous pourrez mettre à jour les clés PGP de vos contacts facilement depuis Keybase avec keybase pgp pull, ça vous sera utile avec Enigmail.

Pour OSX il vous suffira de glisser déposer sur la fenêtre GPGTools vos fichiers clés (vous pouvez les enregistrer au format .asc. De même pour Windows, l'interface de GPG4Wins vous permettra d'importer une clé directement.

  • 4 - Optionnellement, vous pouvez faire des clés générées sur Keybase, vos clés PGP par défaut. Vérifier le KeyID de la la clé Keybase avec la commande gpg --list-secret-keys puis éditez le fichier ~/.gnupg/gpg.conf et ajoutez la ligne suivante:
default-key <Keybase KeyID>

Enregistrez et c'est tout bon.

Je vais vous parler de Thunderbird et de l'envoi de mail chiffré, mais bien évidemment maintenant que vos clés PGP sont importées sur votre ordinateur et dans GnuPG, s'offrent à vous toutes les fonctionnalités du dit logiciel et de son standard (OpenPGP donc), je vous laisse vous faire la main dessus. En ce qui concerne Thunderbird, il m’apparaît qu'il s'agit du moyen le plus user-friendly et parlant en ce qui concerne l'usage de PGP.

Thunderbird & Enigmail

Vous connaissez très probablement Mozilla Thunderbird, le client messagerie développé par la fondation Mozilla, ces messieurs qui ont créés le navigateur Firefox. Vous connaissez aussi peut-être Enigmail qui est un (Addon) pour Thunderbird compatible avec le standard OpenPGP et qui vous permettra donc d'envoyer des emails chiffrés à vos contacts, depuis votre client messagerie sans plus de difficultés.

Configuration

Pour simplifier le chiffrement de vos emails, je vous propose d'utiliser le client Thunderbird et de lui adjoindre l'add-on Enigmail... Voilà, c'est fait? Vous les avez installé et configuré votre compte mail? Parfait.

Voyons maintenant comment le configurer:

  • 1 - Lancez Thunderbird, vous remarquerez que maintenant que vous avez installé l'add-on Enigmail, est apparu un onglet baptisé Enigmail. Cliquez dessus et sélectionnez Assistant de configuration.

  • 2 - Dans la fenêtre qui vient de s'ouvrir, sélectionnez Je préfère la configuration avancée et cliquez sur suivant

  • 3 - Sélectionnez ensuite le ou les comptes pour lesquels vous souhaitez configurer les clés PGP, à vous de choisir. Personnellement ayant des clés PGP pour plusieurs comptes, je ne choisis ici qu'un seul compte avec ses propres clés.

  • 4 - Sur la page suivante, sélectionnez la paire de clés PGP importées précédemment. Vous ne devriez en avoir qu'une seule de disponible.

Voilà, vous avez configuré Enigmail.

Utilisation

C'est tout bon! Il ne vous reste plus qu'à envoyer des emails à vos contacts. Pour l'exemple, je vais me fendre d'un petit mail à l'attention de mon coupin Pymous qui est lui aussi sur Keybase

  • 1 - Le plus simplement du monde, je lui écris un petit mot comme je le ferai pour n'importe quel mail, chiffré ou non.

  • 2 - Bien que nous nous suivions mutuellement sur Keybase et que depuis Enigmail il lui sera certifié qu'il s'agisse bien de moi, je prends soin d'attacher ma clé publique (au format .asc) au mail mais surtout de chiffrer et signer mon mail, en cliquant sur les boutons adéquats:

  • 3 - C'est coché? Il ne reste plus qu'à envoyer l'email, Pymous recevra ma clé publique et il ne lui restera plus qu'à déchiffrer l'email avec sa clé et sa passphrase.

  • 4 - En retour, lorsque Pymous m'a répondu, il m'a suffit de taper ma passphrase pour que le message soit déchiffré (par défaut, enigmail mémorise pendant 10min votre passphrase sans vous la redemander).

En cliquant sur l'enveloppe cachetée en haut à droite, vous aurez les détails du chiffrement et en cliquant sur Détails dans l'encart vert, vous pourrez gérer votre contact, définir le niveau de confiance en sa clé publique, etc.
Très pratique !

Gestion des clés de vos contacts

Parfait! Mais comment sont gérés mes contacts? Eh bien tout se passe dans votre client Keybase qui met à jour régulièrement la liste de vos contacts dans PGP, en incluant leur clé publique. Lorsque vous suivez un utilisateur de Keybase, vous authentifiez par là même son identité numérique et la clé publique rattachée à celle-ci.

Avant d'envoyer un email à l'un de vos nouveaux contacts Keybase, vous pouvez mettre à jour la liste de vos contacts avec la commande keybase pgp pull.

Relancez Thunderbird et vous verrez alors dans Enigmail, à l'onglet Enigmail > Gestion de clefs la liste de vos contacts fraîchement mise à jour.

Vous apercevrez leur identité numérique avec leur email (privé ou un alias keybase sous la forme user@keybase.io) ainsi que le fingerprint de leur clé publique sous l'attribue Identifiant de clef.

Chiffrement de vos emails durant leur transfert

Un peu mot et argument en ce qui concerne le chiffrement de vos emails avec PGP, le transfert de vos mails grâce à vos fournisseurs de boîte mail. Qu'en est-il?

Durant leur acheminement les mails sont aujourd'hui le plus souvent chiffrés en TLS (Transport Layer Security) ou le protocole prédécesseur SSL, si tant est que votre fournisseur le permette ainsi que celui de vos correspondants. Souvent ce n'est pas le cas... Google par exemple, peut-être dans un souci de promotion, maintien une liste indiquant quels sont les fournisseurs qui chiffrent complètement le transfert des mails dont ils ont la charge, en TLS (tableau ci-dessous), seulement chiffrer le transfert des emails ne signifie pas chiffrement des emails.

Lorsque vous envoyez un email non-chiffré, celui-ci est chiffré durant son transfert, d'un serveur à un autre, jusqu'à l’ordinateur de votre destinataire, seulement sur ces dits serveurs, votre ordinateur ainsi que celui de votre correspondant, l'email lui apparaît en clair, n'importe qui peut le consulter...d'où l'intérêt de chiffrer les mails que vous envoyez à vos destinataires.


Sur le tableau ci-dessus vous pouvez voir les fournisseurs qui chiffrent le transfert des mails dont ils ont la charge.
Google transparencyreport

Voilà, vous savez tout sur l'utilisation de PGP et l'envoi de mail chiffrés à vos contacts, en utilisant vos clés PGP générées sur Keybase. Un premier pas et pas des moindres !

Liens