11Aug
Avec tant de préoccupations concernant la surveillance gouvernementale, l'espionnage industriel et le vol d'identité quotidien, il peut sembler surprenant que si peu de gens utilisent des courriels cryptés. Essayez d'utiliser un courriel crypté et vous trouverez qu'il est difficile et compliqué à utiliser.
Les courriels cryptés sont difficiles à gérer. Vous pouvez peut-être gérer la complexité, mais les personnes avec lesquelles vous voulez communiquer doivent également gérer cette situation.
Cryptage de vos propres courriels par rapport aux services de courriel cryptés
Nous faisons ici une distinction entre deux types de cryptage des courriels. Certains services prétendent offrir un courriel crypté facile. Ils vont gérer le chiffrement pour vous de leur côté, prenant tout le désagrément de la gestion des clés de chiffrement hors de vos mains. Si vous envoyez des e-mails cryptés entre deux comptes utilisant le même service, les e-mails cryptés resteront sécurisés dans le service lui-même.
Cela semble tentant, mais cela ouvre une grande faiblesse. Vous faites confiance au service pour gérer votre cryptage, et des services comme Lavabit ont été forcés par les gouvernements à autoriser l'accès aux messages cryptés de leurs clients. Le gouvernement américain a même exigé les clés privées de Lavabit, leur permettant d'accéder aux courriels cryptés de tous les clients.
Si vous voulez vraiment communiquer en privé et en toute sécurité, vous devrez gérer vous-même le cryptage des e-mails. Cela signifie générer vos propres clés de chiffrement et les protéger au lieu de les stocker avec un service de messagerie chiffré.
Fonctionnement du cryptage des courriers électroniques
Nous pensons généralement au cryptage PGP lorsque nous pensons aux courriels cryptés, mais il existe d'autres normes comme la fonction de cryptage S / MIME intégrée à Microsoft Outlook. Lorsque vous utilisez PGP, vous disposez d'une clé publique et d'une clé privée. Vous donnez la clé publique aux personnes qui souhaitent vous envoyer un e-mail. Ils utilisent la clé publique pour chiffrer leur courrier électronique, et vous pouvez uniquement déchiffrer leur courrier électronique avec votre clé privée. Ainsi, pour utiliser PGP, vous devez générer une paire de clés publique / privée, sécuriser votre clé privée et donner votre clé publique à toute personne souhaitant vous envoyer un e-mail. La personne avec laquelle vous communiquez devra également comprendre comment crypter, envoyer, recevoir et décrypter les e-mails cryptés et aura besoin de sa propre paire de clés.
Le contenu de l'e-mail apparaît comme un charabia aléatoire, tout comme le contenu d'un fichier crypté apparaît comme une donnée absurde et sans signification jusqu'à ce que le fichier soit déchiffré.
Notez qu'une grande partie d'un email n'est pas sécurisé même si vous utilisez un email chiffré.Les champs Objet, To et From sont généralement envoyés en clair, de sorte que les agences de surveillance surveillant le trafic Internet peuvent surveiller qui communique avec qui et même voir le sujet de chaque e-mail. Le cryptage des e-mails est un correctif situé au-dessus d'un système non crypté, cryptant uniquement le corps du message.
Comment vous utiliseriez réellement le courrier électronique crypté
Peu importe la théorie. Voici comment vous utiliseriez les courriels cryptés.
La plupart des gens ont tendance à utiliser des services de messagerie Web tels que Gmail, Outlook.com et Yahoo! Courrier. Ces services n'ont pas cette fonctionnalité intégrée( bien que Google est censé travailler sur l'intégration de chiffrement PGP dans Gmail).Vous devrez utiliser une extension de navigateur pour le faire. Mailvelope semble fonctionner, offrant un support PGP qui fonctionne sur des sites de messagerie Web comme Gmail. Vous en aurez besoin installé dans votre navigateur Web pour utiliser le cryptage des e-mails.
Cette fonctionnalité n'est pas non plus intégrée dans les applications mobiles associées. Bien sûr, vous pouvez accéder à cet e-mail crypté dans votre navigateur Web avec une extension, mais comment le lisez-vous sur votre smartphone? Vous aurez besoin d'une application dédiée pour le faire - vous ne pouvez pas utiliser simplement l'application Gmail ou l'application Mail standard fournie avec votre téléphone. K-9 Mail offre la prise en charge de PGP sur Android si vous avez également installé APG, par exemple.
Les choses sont compliquées même quand il s'agit de clients de messagerie de bureau qui devraient pouvoir mieux l'intégrer. Par exemple, Microsoft Outlook dispose d'une fonction intégrée pour signer numériquement et crypter les e-mails, mais il utilise S / MIME et n'est pas compatible avec PGP.
L'utilitaire le plus populaire pour crypter les e-mails avec est l'extension Enigmail pour Mozilla Thunderbird. Mozilla a arrêté de développer Thunderbird et peut l'arrêter un jour, ce n'est donc pas une solution idéale. L'extension Enigmail intègre OpenPGP dans le client de messagerie de bureau Thunderbird, vous offrant les options de génération de clé, de cryptage et de décryptage dont vous avez besoin. Vous devrez installer le logiciel GNU Privacy Guard( GnuPG) séparément.
Vous ne pourrez utiliser que des e-mails cryptés dans un client prenant en charge PGP.Même lorsque vous utilisez Thunderbird, vous devez tenir compte de ce que vous ferez si vous avez besoin d'accéder à ces courriels dans un navigateur Web, sur votre smartphone, sur votre tablette ou sur n'importe quel système sans votre clé privée.
Problèmes avec le courriel crypté
Voici un bref résumé de ce que vous expérimenterez en utilisant un courriel crypté:
- Vous devez comprendre le fonctionnement du cryptage à clé publique-privée, générer une paire de clés et fournir votre clé publique à la personne que vous utilisez.vouloir communiquer avec.
- Les autres personnes avec qui vous voulez communiquer doivent également comprendre et faire toutes ces choses.
- Les deux personnes doivent garder leurs clés privées en sécurité afin qu'elles ne soient pas compromises ou perdues - auquel cas vous perdriez l'accès aux courriels. Vous devez également conserver votre certificat de révocation car il peut invalider votre clé publique si vous perdez votre clé privée.
- Vos clés privées doivent être cryptées avec un mot de passe sécurisé dont vous devez vous souvenir, qui est distinct du mot de passe de votre compte de messagerie.
- Vous devez vous assurer que vous utilisez tous les deux la même norme de chiffrement d'e-mail, que ce soit PGP ou S / MIME ou une autre norme.
- Vous devez utiliser une solution tierce - soit une extension de navigateur, une application pour smartphone ou un plugin client de messagerie. Si vous optez pour l'option la mieux prise en charge, vous devez installer un client de messagerie, une extension et un logiciel de chiffrement séparément.
- Vous avez besoin d'un mélange de différentes applications de smartphones et de solutions de bureau si vous souhaitez accéder à vos e-mails sur tous vos appareils.
- Même si vous faites toutes ces choses, les gens pourront toujours voir avec qui vous communiquez et quels sont les sujets de vos messages.
Avec toute cette complexité - et tant d'informations qui sortent même si vous utilisez correctement PGP - il n'est pas étonnant que le courrier électronique crypté soit si peu utilisé.Il n'est également pas surprenant que les gens choisissent d'utiliser des services comme Lavabit qui semblent être un moyen pratique de rendre le chiffrement facile à utiliser, mais qui sont en réalité beaucoup moins fiables que le chiffrement de vos propres courriels.