====== Enigmail : Chiffrement GPG avec Icedove ======
* Objet : Prise en main de l'extension Enigmail pour Icedove/Thunderbird
* Niveau requis : {{tag>débutant avisé}}
* Commentaires : //Avec [[doc:reseau:icedove | icedove]], créer une paire de clefs pour échanger confidentiellement des mails.//
* Version logiciel: Icedove 31.3.0 ; Enigmail 1.7.2
* Débutant, à savoir : [[:doc:systeme:commandes:le_debianiste_qui_papillonne|Utiliser GNU/Linux en ligne de commande, tout commence là !.]] :-)
* Suivi : {{tag>obsolète}}
* Création par [[user>smolski]] 20/02/2013
* Testé par <...> le <...>
* Commentaires sur le forum : [[http://debian-facile.org/viewtopic.php?id=8037 | ici]]((N'hésitez pas à y faire part de vos remarques, succès, améliorations ou échecs !))
===== Introduction =====
Le couple **Enigmail /[[doc:systeme:gnupg | GnuPG]]** permet de chiffrer, signer nos courriels et leurs pièces jointes. \\
C'est une protection supplémentaire pour garantir notre vie privée.
Enigmail permet d'assurer la confidentialité, l'intégrité, l'authentification d'un message.
==== Enigmail ====
Comme //GnuPG// est un programme qui n'a pas d'interface graphique((il ne s'utilise qu'en ligne de commande)), c'est le rôle d'//Enigmail// de créer l'//interface graphique// qu'on utilisera, interface qui sera elle-même adaptée à [[doc:environnements:environnements | l'environnement graphique]] où nous l'installons. \\
Quoiqu'il en soit des //environnements graphiques//, les fonctions de GnuPG __restent identiques__ car elles sont attachées directement au programme //GnuPG//.
La lecture de la documentation officielle Enigmail est fortement recommandée. La mauvaise utilisation d'Enigmail pourrait compromettre le niveau de sécurité recherché.
==== Notions essentielles ====
* **Cryptographie asymétrique**: méthode de chiffrement basée sur une paire de clé. La clé publique permet uniquement de chiffrer le message alors que la clé privée permet uniquement de déchiffrer le message.
* **Chiffrement**: le chiffrement d'un message se fait avec la clé publique du destinataire.
* **Déchiffrement**: le déchiffrement d'un message se fait avec la clé privée du destinataire.
* **Signature**: la signature permet de vérifier que le message est bien envoyé par l'expéditeur.
* **Certificat de revocation**: permet de désactiver la clé si elle est compromise ou perdue.
La **clé privée** et le **certificat de révocation** doivent rester confidentiels. Il convient de les sotcker dans un endroit en sécurité et à l'abri des regards indiscrets.
===== Pré-requis=====
- Messagerie Icedove installée et configurée.
- Un compte de messagerie fonctionnel.
Pour plus d'informations, voir sur le wiki [[doc:reseau:icedove|Icedove: Client de courriel]]
L'utilisation de KeePassX est recommandé pour enregistrer vos clés, certificat et passphrase de manière centralisé et sécurisé. Voir le wiki [[doc:systeme:keepassx|KeePassX]]
===== Installation =====
Installation du paquet directement depuis les dépots Debian
apt-get update && apt-get install enigmail
Par précaution et pour ne pas modifier la/les messagerie(s) que vous utilisée(s), il est possible de créer un nouveau profil dédié à la messagerie sécurisée:
icedove -ProfileManager
pour lancer le profil:
icedove -P
===== Assistant de configuration =====
L'assistant permet de configurer Enigmail étape par étape et facilite l'utilisation pour les débutants.
==== Qu'est ce qu'on va faire : ====
* Choisir un compte de messagerie qui utilisera Enigmail
* Paramétrer Enigmail
* Générer une paire de clé
* Générer un certificat de révocation
* Vérifier la configuration d'Enigmail
==== On commence : ====
On lance l'**Assistant de configuration** depuis le menu: ''%%Enigmail > Assistant de configuration%%''
{{/file-Rd7c0f59d356260b5a118f41bec3f0a66.png}}
On se laisse guider dans la configuration d'Enigmail:
{{/file-Rf51c4a91b41d6f02d800fab1ca58e6e3.png}}
On choisit de configurer Enigmail pour tous les comptes ou seulement certains comptes.
Pour les débutants il est recommandé de configurer toutes les identités pour éviter toute confusion.
{{/file-Ra0e2abc302d754eac6e496d9fb144f37.png}}
On utilise le mode **Chiffrement automatique pratique**.
L'utilisation généralisée est recommandée uniquement si tous vos correspondants utilisent le chiffrement et sont capables de lire vos courriels.
{{/file-R6ca7c31c0854258a6926a733bf1336ec.png}}
On choisit de signer automatiquement tous les courriels sortants. Il sera toujours possible de désactiver la signature lors de la rédaction des courriels.
{{/file-Recfa86f4bb98ed1ad9b729f027087ff1.png}}
L'assistant demande la permission de modifier certains paramètres pour une utilisation transparente. Les modifications sont d'ordre technique hormis l'utilisation du texte brut à la place de HTML. L'utilisation d'HTML peut poser problème lors de la signature ou chiffrement.
Il est très fortement recommandé d'effectuer les modifications.
{{/file-R3255cc997436e6ee717c6808b68d212e.png}}
Si vous avez précédemment utilisé Enigmail et créé une clé, vous pouvez la sélectionner pour cette identité. Sinon, on va générer une nouvelle paire de clé.
{{/file-R3fefb0567276f5b66e2fab8b18f9e49e.png}}
On crée une paire de clé pour un compte. L'utilisation d'une Phrase secrète permet d'ajouter un niveau de sécurité supplémentaire. La signature et le chiffrement avec cette clé ne pourra se faire qu'en tapant cette phrase secrète.
{{/file-R24a0b9e2dfd587ebb22398fb40d1c10b.png}}
La dernière fenêtre affiche un récapitulatif des modifications qui seront effectuées.
{{/file-Rd03a7b8649ce7cfa95171a4d96fd95c3.png}}
On patiente le temps de générer une nouvelle clé (l'utilisation intensive de l'ordinateur permet d'accélérer le processus).
{{/file-R15fb5bf666339f7a1a8d57d77dcbc368.png}}
On choisit de générer le certificat **immédiatement**.
{{/file-Rfcfe668aa748ad6f72602437e1be8b34.png}}
On enregistre le certificat dans un dossier en sécurité.
{{/file-R214eac082a20571b55b4e3134302f86f.png}}
L'assistant a terminé la configuration.
Il nous reste à sauvegarder la paire de clé. Dans le menu Icedove: ''%%Enigmail > Gestion de clé%%''
{{/file-R74b8ebd757ca97dae851fb6ee6ea994a.png}}
Sélectionner la clé à exporter (une des clés avec le texte en gras) puis ouvrir le menu avec un clic-droit:
{{/file-R10e46d7b2bb2a1a38e92d1e91fc56d18.png}}
Dans le menu ''%%Exporter des clés vers un fichier%%'', exporter la clé privée puis réitérer l'opération pour exporter la clé publique.
{{/file-Rf6b5d84e86cda4dfa8da85c005640887.png}}
On sauvegarde dans un endroit sécurisé le certificat (rev.asc), la clé publique/privée (pub-priv.asc) et la clé privée (pub.asc).
Les certificats et la clé publique/privée ne doivent jamais être publiés. Sinon, il convient de révoquer cette clé le plus rapidement possible.
On s'assure que le compte est correctement paramétré et prêt à être utilisé par Enigmail. On vérifie dans le menu ''%%Paramètres des comptes%% > Sécurité OpenPGP''et pour chacun des comptes que la case **Activer le support OpenPGP pour cette identité** est coché.
{{/file-Re57862724b9584edca4a0a38987033dc.png}}
La configuration d'Enigmail est terminée et prête à être utilisé.
===== Utilisation =====
Pour tester le bon fonctionnement d'Enigmail, on va envoyer un message à Adele (The friendly OpenPGP email robot).
==== Publier sa clé publique ====
On va commencer par envoyer notre clé publique.
On écrit un message à Adele et on attache la clé publique depuis le menu: ''%%Enigmail > Attacher ma clé publique%%''.
Adele: adele-en@gnupp.de
{{/file-Rcf2bb5f49fbabd87d235aac2d73481b8.png}}
==== Déchiffrer un courriel ====
Adele répond en chiffrant son message en utilisant notre clé publique. Adele ajoute à son message sa propre clé publique.
On peut lire: //Enigmail message déchiffré//.
Il est possible de vérifier si le message est bien chiffré en affichant le code source du message (C-u)
{{/file-Rffb0d0a95eff18ab51ca5dec88f8e966.png}}
==== Importer une clé publique ====
On profite du message d'Adele pour importer la clé publique. Dans le menu Icedove: ''%%Enigmail > Clef de l'expéditeur > Importer la clé publique%%''.
{{/file-Rd00370d6157dd0a90749d318c4c12d80.png}}
==== Chiffrer et signer un courriel ====
Une fois la clé importée, on va répondre à Adele en chiffrant le message. Puisqu'on dispose de la clé publique d'Adele, le chiffrement et la signature pour ce destinataire se fera automatiquement.
En bas à droite, la clé et le stylo doivent changer de couleur. On peut vérifier dans le menu Enigmail, on doit lire **Le message sera chiffré** et **Le message sera signé**.
{{/file-R2e75d0c15732dc7e95ce26ba5522b20a.png}}
Adele répond au message. Le message est chiffré et contient le message d'origine. Le chiffrement de message vers le correspondant Adele est donc opérationnel.
{{/file-R6574143b621b3458020749ee7a260e69.png}}
Vous savez maintenant utiliser Enigmail. Il ne reste plus qu'à partager votre clé publique.
===== Utilisation avancée =====
==== Partager sa clé publique ====
Pour recevoir des courriels chiffrés, il est nécessaire de partager sa clé publique.
Il existe différents moyen de partager sa clé publique:
- copier sur une clé USB
- stocker sur votre site web personnel
- envoyer en pièce jointe
- publier sur un serveur de clé
La clé publique correspond au fichier ''%%Firstname Lastname you@domain.com (0x89ABCDEF) pub.asc%%''.
=== Publier sa clé publique sur un serveur ===
La publication de la clé sur un serveur publique présente un risque de spam.
Il faut s'assurer qu'un serveur de clé est défini. Depuis le menu: ''%%Enigmail > Préférences%%''. \\
Dans les préférences Enigmail, spécifier le serveur de clé:
{{/file-Rab0083571442fe2c62087266ab8e0d4f.png}}
Adresse de serveur de clé:
* pool.sks-keyservers.net
Depuis le **Gestionnaire de clés**, sélectionner la clé à publier puis ouvrir le menu avec ''%%clic-droit > Envoyer les clefs publiques vers un serveur de clefs%%''.
{{/file-R82e03b3ccab656a2b7f57e1405496df8.png}}
Sélectionner le serveur de clé sur lequel on veut publier.
{{/file-Ra0c49859e9aa0ec6a4269d9595951078.png}}
==== Révoquer sa clé ====
Si la clé est compromise, il convient de la révoquer immédiatement.
Il suffit d'utiliser le certificat de révocation.
Dans le gestionnaire de clés, dans le menu: Fichier > Importer des clefs depuis un fichier. Puis sélectionner le fichier correspondant ''%%Firstname Lastname you@domain.com (0x89ABCDEF) pub.asc%%''. Un message d'avertissement permet de vérifier que la clé est bien révoquée.
{{/file-Rf5e00f61083e735746e7fa4b5d6c5dbf.png}}
Si la clé est disponible sur un serveur de clé, penser à l'actualiser depuis le menu: ''%%Serveur de clefs > Rafraichir les clefs publiques sélectionnées%%''.
==== Importer une clé ====
L'import de clé s'effectue dans le **Gestionnaire de clés Enigmail**: ''%%Menu > Enigmail > Gestion de clefs%%''.
Depuis le menu du gestionnaire de clés : ''%%Menu > Fichier > Importer des clefs depuis un fichier%%'', puis on sélectionne le fichier [ex: //Debian Facile spam@bla.fr (0x2G88AB5C) pub-priv.asc//].
{{/file-R1455d945470d0c3d50c0a0ee94b9a54f.png}}
===== Configuration avancée =====
==== Générer une paire de clé ====
A partir du **Gestionnaire de clés**, générer les clés depuis le menu: ''%%Générer > Nouvelle paire de clefs%%''.
- Choisir le compte à utiliser
- Définir la phrase secrète
- (Ajouter un commentaire)
- Définir le délai d'expiration
- (Définir la taille et le type de clé dans l'onglet Avancé)
- Générer la clé
{{/file-R2a96155e63468d1a5debf06ca1bf7b93.png}}
Pour bien faire, on génère tout de suite le certificat de révocation.
{{/file-Rfcfe668aa748ad6f72602437e1be8b34.png}}
==== Gestionnaire de clé ====
Le gestionnaire de clé affiche toutes les clés (les clés de vos correspondants et les vôtres).
Il est disponible depuis le menu Icedove: ''%%Enigmail > Gestion de clefs%%''.
* **Les paires de clé sont affichées en gras**
* //Les paires de clé invalides / révoquées sont affichées en italique//
Le gestionnaire permet de générer, importer, exporter des clés. Générer des certificats et révoquer des clés. Il permet également de publier les clés publiques sur un serveur de clés.
===== Problèmes connus =====
===== Liens =====
* Documentation officielle Enigmail (en anglais) [[https://enigmail.net|Site officiel Enigmail]]
* Tutoriel [[https://securityinabox.org/fr/thunderbird_utiliserenigmail|Tutoriel Security in-a-box]]
* Le [[https://emailselfdefense.fsf.org/fr/|guide autodéfense courriel de la FSF]] qui explique pas-à-pas l'installation et l'utilisation d'Enigmail.