En 1991, Phil Zimmermann a créé Pretty Good Privacy (PGP), un programme cryptographique qui, pour la première fois, donnait à un individu moyen un cryptage de niveau quasi militaire. Au fil des ans, le code source de PGP a été publié et un standard ouvert, OpenPGP, est finalement né. Cela a ouvert la voie à une myriade de produits open source qui continuent à offrir une des meilleures cryptographies disponibles.
Qui devrait utiliser OpenPGP?
Tout au long de l'histoire de PGP, et du cryptage en général, de nombreux critiques ont défendu la théorie voulant que seuls ceux qui ont quelque chose de néfaste à cacher ont des raisons d'utiliser un cryptage aussi puissant. En fait, peu de temps après son développement initial, Zimmermann a été la cible d’une enquête du gouvernement américain lorsque PGP s’est retrouvé à l’extérieur des États-Unis, enfreignant les lois interdisant l’exportation d’un cryptage aussi puissant.
En fait, il existe de nombreuses raisons pour lesquelles une personne doit utiliser le cryptage, en particulier dans le contexte de la communication numérique. Alors que beaucoup de gens pensent que le courrier électronique est quelque chose de relativement privé et sécurisé, à quelques exceptions près, rien n’est plus éloigné de la vérité.
Le courrier électronique s'apparente davantage à une carte postale qu'à une lettre privée scellée. Tout comme une carte postale fait son chemin dans de multiples dépôts, bureaux de poste, camions de courrier et autres messages - son message est clair à voir - un courrier électronique transite par une multitude de serveurs individuels en route de l'expéditeur au destinataire final.
En cours de route, un opérateur de serveur peu scrupuleux pourrait consulter le contenu de ces courriels, sans que l’émetteur ou le destinataire puisse savoir que leur vie privée avait été compromise.
Même si cela ne vous inquiète pas lorsque vous partagez une jolie vidéo d'animal ou votre nouvelle recette préférée, les enjeux sont encore plus grands lorsque les membres de la famille discutent de problèmes financiers ou de problèmes de santé, qu'un responsable discute d'une politique interne, qu'un programmeur partage le code source avec un autre. développeur, ou un certain nombre de situations légitimes où il est important de pouvoir communiquer et partager des informations, voire des fichiers, de manière sécurisée et privée.
C'est justement ce genre de situation qui fait d'OpenPGP un outil important pour toute personne concernée par la confidentialité et la sécurité.
Comment ça marche
OpenPGP est essentiellement un système de cryptographie à clé publique. Ce type de cryptographie utilise une paire de clés publique / privée pour chiffrer et déchiffrer les données. Avec la cryptographie à clé publique, une fois que les données sont chiffrées avec une clé publique, seule la clé privée correspondante peut les déchiffrer.
Lorsque vous installez un client OpenPGP pour la première fois, vous êtes invité à créer un ensemble de paires de clés et à télécharger votre clé publique sur des serveurs de clés, ce qui permet aux utilisateurs de le rechercher à l'aide de votre nom ou de l'adresse électronique associée.
OpenPGP aide également les utilisateurs à vérifier l’authenticité et l’intégrité d’un message ou d’un fichier crypté grâce à la signature numérique incluse. De nombreux éditeurs de logiciels incluent une signature numérique PGP et le programme d'installation de leur logiciel que les clients peuvent vérifier pour vérifier l'intégrité d'un téléchargement et s'assurer que celui-ci n'a pas été falsifié ni compromis pour inclure un code malveillant.
Comment l'utiliser
En dépit de la valeur d'OpenPGP, la facilité d'utilisation est l'un des obstacles à son adoption généralisée. À l'instar de nombreuses applications puissantes, sa barrière à l'entrée peut parfois être supérieure à celle souhaitée par de nombreux utilisateurs.
Bien qu'il existe une myriade de clients OpenPGP - bien plus que ce que peut couvrir cet article - les étapes ci-dessous devraient fournir un guide général sur l'installation et l'utilisation d'OpenPGP.
Télécharger un client
Lors du téléchargement d'un client OpenPGP, le premier choix est de décider s'il convient de télécharger le PGP commercial de Symantec ou d'utiliser l'un des clients open source gratuits disponibles.
En règle générale, l'application commerciale offre l'expérience la plus rationalisée et la plus raffinée, avec des options pour Mac, Windows et iOS, tandis que les clients open source prennent en charge Linux et Android, sans oublier d'être gratuits.
Créer les clés
L'étape suivante consiste à créer vos clés publique / privée. On vous demandera votre nom et votre adresse électronique, ainsi que le mot de passe que vous saisirez pour chiffrer et déchiffrer les données.
Bien qu'il existe plusieurs choix d'algorithmes à utiliser pour créer les clés, pour la plupart des utilisateurs, le choix de l'algorithme RSA par défaut pour la signature et le cryptage est la meilleure option. Plus la clé est grande, plus le cryptage est fort. Au moment de la publication, les clés 2048 bits avaient été factorisées ou piratées, bien que les ressources nécessaires dépassaient de beaucoup les applications pratiques, rendant une clé 2048 bits toujours viable pour des besoins de sécurité modérés.
Dans la mesure où une clé de 4096 bits a une force presque exponentielle supérieure à 2 048 bits, une clé de 4096 bits est considérée comme indéchiffrable dans un avenir prévisible.
Télécharger la clé
Une fois vos clés créées, l'étape suivante consiste à télécharger votre clé publique afin que d'autres personnes puissent la trouver. Une fois votre clé chargée, toute personne disposant d'un client OpenPGP pourra la rechercher en fonction de votre adresse e-mail et l'utiliser pour chiffrer des courriers électroniques et des fichiers que vous seul pouvez ouvrir.
Vous pouvez également envoyer votre clé publique directement aux personnes avec lesquelles vous communiquez régulièrement afin qu'elles puissent l'utiliser pour chiffrer des fichiers et des courriers électroniques qui vous sont destinés.
Intégrer avec votre application de messagerie
Le cryptage des e-mails étant l’une des utilisations fondamentales du cryptage OpenPGP, l’intégration avec le programme de messagerie de votre choix est la prochaine étape. De nombreux packages, tels que GPG Suite de GPGTools, installeront automatiquement un plug-in pour les clients de messagerie courants, notamment Apple Mail, Microsoft Outlook ou Mozilla Thunderbird.
Lorsque vous envoyez un courrier électronique à une personne dont vous possédez la clé PGP, votre logiciel OpenPGP devrait vous donner la possibilité de chiffrer et / ou de signer le courrier électronique.De même, lors de la réception d'un e-mail crypté à l'aide de votre clé publique, le logiciel vous invitera à décrypter le message.
Le cryptage OpenPGP est sans aucun doute un outil puissant pour les particuliers et les professionnels. Bien que la courbe d'apprentissage puisse être un peu plus abrupte que celle à laquelle beaucoup de gens sont habitués, les avantages en valent la peine.
Que ce soit un journaliste travaillant dans un environnement dangereux, un homme d’affaires discutant de politique interne sensible, des développeurs partageant du code ou des membres de leur famille s’écrivant mutuellement par courrier électronique, OpenPGP offre à ses utilisateurs la tranquillité d’esprit offerte par un cryptage quasi militaire.