Blog

Qu’est-ce que le cryptage PGP et comment fonctionne-t-il ?

PGP ( P. joli g bon P. rivacy) le cryptage est devenu un pilier de la confidentialité et de la sécurité sur Internet pour une raison principale :il permet d'envoyer un message codé à quelqu'un sans avoir à partager le code au préalable. Il y a bien plus à faire, mais c’est l’aspect fondamental qui le rend si utile.

Disons que vous deviez envoyer un message sensible à un ami sans que personne d'autre ne découvre son contenu. Une des meilleures solutions serait de le modifier avec un code secret que seuls vous et votre ami connaissez, de sorte que si quelqu'un intercepte le message, il ne puisse pas en lire le contenu.

Des systèmes comme celui-ci fonctionnent bien avec de nombreux types de cryptage différents, mais il existe un défaut majeur :Comment pouvez-vous envoyer un message codé à quelqu’un si vous n’avez pas déjà eu l’occasion de partager le code avec lui ?

Si vous n’avez pas partagé le code au préalable et que vous ne l’utilisez pas pour crypter votre message, votre ami n’aura aucun moyen de déchiffrer le message codé lorsqu’il le recevra. Si vous envoyez le code avec le message codé, toute personne interceptant le message peut accéder au contenu aussi facilement que le destinataire.

C’est une énigme que PGP a réussi à résoudre avec quelque chose appelé chiffrement à clé publique (ne vous inquiétez pas, nous verrons de quoi il s’agit plus tard), qui permet à ses utilisateurs d’envoyer des messages sécurisés et cryptés à des personnes même si elles ne se sont jamais rencontrées auparavant, et encore moins si elles ont eu la possibilité de pré-organiser un code.

Contenu [ cacher ]

L'histoire de PGP
Comment fonctionne le cryptage PGP ?
Le chiffrement PGP en action
Dans quelle mesure le cryptage PGP est-il sécurisé ?
Quelles sont les limites du chiffrement PGP ?
Le cryptage PGP fait partie intégrante des communications de haute sécurité

À quoi sert le cryptage PGP ?

La fonction principale de PGP est de permettre à ses utilisateurs d’envoyer des messages sécurisés sans avoir besoin d’une introduction préalable, mais ce n’est pas tout. Il permet également aux destinataires de vérifier si un message est authentique ou s'il a été falsifié. Pour ce faire, il utilise quelque chose appelé signatures numériques , que nous aborderons plus loin dans l’article.

De plus, PGP peut être utilisé pour chiffrer d’autres éléments que le courrier électronique. Vous pouvez l'utiliser pour chiffrer votre disque dur, vos messages instantanés, vos fichiers et bien plus encore. Bien qu’il s’agisse de fonctionnalités importantes, cet article se concentrera principalement sur l’utilisation du cryptage PGP pour le courrier électronique, l’utilisation la plus répandue de PGP.

Pourquoi PGP est-il important ?

Vous ne le savez peut-être pas, mais le courrier électronique n'est pas un moyen de communication très sécurisé . Lorsque votre e-mail quitte votre compte et est envoyé sur Internet, il transite par des réseaux indépendants de votre volonté. Il peut être intercepté et falsifié, le tout à votre insu ou à votre insu.

Si vous devez envoyer quelque chose de précieux ou de sensible, le courrier électronique normal ne convient tout simplement pas. Vos messages personnels peuvent être récupérés par des pirates informatiques qui pourraient les utiliser pour commettre une fraude d'identité, tandis que des messages gouvernementaux importants peuvent tomber entre les mains d'espions. Le harceleur d’une personne peut même lire tout ce qui passe dans sa boîte de réception.

Ces dangers expliquent en partie pourquoi PGP a été inventé : pour apporter un semblant de confidentialité et de sécurité au Far West qu’est la communication par courrier électronique. Ça signifieassez bonne intimité, ce qui n’inspire peut-être pas beaucoup de confiance pour quelque chose sur lequel les gens comptent pour assurer la sécurité de leurs communications.

Malgré son nom, inspiré d'un magasin fictif d'une émission de radio appelé Ralph's Pretty Good Grocery, PGP est une forme de cryptage qui ne dispose d'aucun moyen connu du public pour être brisé. Cela signifie que tant qu'il est utilisé correctement, vous pouvez avoir confiance dans la sécurité, la confidentialité et l'intégrité de vos messages et fichiers.

L'histoire de PGP

PGP est un programme de chiffrement qui a étécréé par Phil Zimmermanà l'époque sombre d'Internet en 1991. Zimmerman, qui était un fervent militant antinucléaire, a initialement créé le programme afin que des personnes partageant les mêmes idées puissent communiquer et stocker des fichiers de manière plus sécurisée. Le premier algorithme de cryptage s'appelait « BassOmatic », du nom de Zimmerman d'après unSaturday Night Liveesquisser.

Zimmerman a publié PGP gratuitement via FTP, ce qui en fait la première forme de cryptographie à clé publique largement disponible. Il s'est répandu rapidement sur Usenet, en particulier parmi les militants pacifistes et autres militants politiques. À partir de ces racines, son utilisation s’est étendue à ceux qui souhaitaient plus de confidentialité et de sécurité pour leurs communications.

Après la propagation du chiffrement PGP en dehors des États-Unis, le service des douanes des États-Unis (USCS)a ouvert une enquête sur Zimmerman, car PGP était alors classé comme cryptographie à haute résistance. À l’époque, ce type de cryptographie était considéré comme une forme de munition et nécessitait une licence pour être exporté.

Une fois que PGP a fait son chemin à l'étranger, l'USCS s'est préoccupée de son créateur pour lancer sa distribution internationale. Heureusement pour Zimmerman, après plusieurs années d'enquête et quelques manœuvres juridiques imaginatives , aucune accusation n’a finalement été portée.

Au cours des années,de nouvelles versions de PGP sont continuellement publiées pour améliorer sa sécurité et sa convivialité. Certains de ces changements comprenaient la restructuration du système de certificats, la mise en œuvre de nouveaux algorithmes symétriques et asymétriques et le développement d'une nouvelle architecture basée sur un proxy.

En cours de route, il y a eu un certain nombre d'acquisitions qui ont abouti à l'achat par Symantec Corporation de PGP Corporation et de la plupart de ses actifs d'origine pour 300 millions de dollars (229,7 millions de livres sterling). Ils possèdent désormais la marque PGP et l'utilisent dans leurs produits, tels que Ligne de commande Symantec et Chiffrement des e-mails Symantec Desktop .

Voir également:
Codes et chiffres célèbres à travers l'histoire
Ressources de chiffrement : une grande liste d'outils et de guides

OpenPGP

Les débuts de PGP ont été marqués par des désaccords en matière de brevets basés sur l'utilisation du Algorithme de chiffrement RSA . Afin que le développement de PGP puisse se poursuivre sans ces problèmes de licence, l’équipe à l’origine de ce projet a entrepris de créer un standard non propriétaire qui pourrait être utilisé ouvertement et librement.

En 1997, ils ont contacté l'Internet Engineering Task Force (IETF) avec une proposition visant à développer la norme et à la nommer OpenPGP . La proposition a été acceptée etOpenPGP est devenu un standard Internet. Cela a permis à n'importe qui d'implémenter OpenPGP dans son logiciel.

OpenPGP est activement développé sous le RFC4880 spécification. Cette norme définit les algorithmes de chiffrement, les formats, la composition et d'autres fonctionnalités que les programmes doivent utiliser pour être conformes à OpenPGP.

Quels programmes utilisent OpenPGP ?

Le chiffrement PGP est utilisé dans un certain nombre de programmes propriétaires, tels que les produits Symantec mentionnés ci-dessus. Grâce au développement du standard OpenPGP, il est également disponible dans un certain nombre d’implémentations gratuites.

Le plus important d’entre eux est Gpg4win , qui est une suite gratuite d'outils de chiffrement pour Windows. Le cryptage PGP peut être utilisé sur Mac OS avec un programme tel que Suite GPG , Android avec Courrier K-9 et iOS avec Courrier des Canaries . D'autres options compatibles OpenPGP sont disponibles sur le Site Web OpenPGP .

Comment fonctionne le cryptage PGP ?

Tout d’abord, abordons les concepts clés, puis nous passerons à un exemple pour vous donner une compréhension plus concrète. Le chiffrement PGP repose sur plusieurs éléments majeurs qu’il vous faudra comprendre pour comprendre son fonctionnement. Les plus importants sont cryptographie à clé symétrique, cryptographie à clé publique , signatures numériques et le réseau de confiance .

Cryptographie à clé symétrique

La cryptographie à clé symétrique consiste à utiliser la même clé pour chiffrer et déchiffrer les données. Dans PGP, une clé unique et aléatoire est générée, connue sous le nom de clé de session . Le la clé de session chiffre le message , qui représente la majeure partie des données à envoyer.

Ce type de cryptage est relativement efficace, mais il présente un problème. Comment partager la clé de session avec votre destinataire ? Si vous l'envoyez avec votre e-mail, toute personne interceptant le message pourra accéder au contenu aussi facilement que votre destinataire. Sans la clé, votre destinataire ne verra que le texte chiffré.

Cryptographie à clé publique

PGP résout ce problème avec cryptographie à clé publique , également connue sous le nom de cryptographie asymétrique. Dans ce type de cryptage, il existe deux clés : une Clé publique et un privé .

Chaque utilisateur en possède un de chaque. La clé publique de votre correspondant potentiel peut être trouvée en recherchant dans serveurs de clés ou en interrogeant directement la personne. Clés publiques sont utilisés par l’expéditeur pour chiffrer les données, mais il ne peut pas les déchiffrer.

Une fois les données chiffrées avec la clé publique du destinataire, elles ne peuvent être déchiffrées que par son Clé privée . C’est pourquoi les clés publiques sont distribuées gratuitement, mais les clés privées doivent être soigneusement gardées. Si votre clé privée est compromise par un attaquant, elle lui permet d'accéder à tous vos e-mails cryptés PGP.

Dans PGP, le chiffrement à clé publique n'est pas utilisé pour chiffrer le message, mais uniquement de manière ponctuelle. clé de session qui a été généré pour le chiffrer. Pourquoi? Parce que le chiffrement à clé publique est tout simplement trop inefficace. Cela prendrait trop de temps et utiliserait une plus grande quantité de ressources informatiques.

Étant donné que le corps du message contient généralement la majeure partie des données, PGP utilise pour cela le cryptage à clé symétrique, plus économique. Il réserve le lourd cryptage à clé publique pour la clé de session, ce qui rend l'ensemble du processus plus efficace.

De cette manière, le message est chiffré par des moyens plus pratiques, tandis que le chiffrement à clé publique est utilisé pour transmettre en toute sécurité la clé de session à votre destinataire.Étant donné que seule leur clé privée peut déchiffrer la clé de session et que la clé de session est nécessaire pour déchiffrer le message, le contenu est protégé contre les attaquants..

Signatures numériques

Nos signatures écrites sont fréquemment utilisées pour vérifier que nous sommes bien celui que nous prétendons être. Ils sont loin d’être infaillibles, mais ils restent un moyen utile de prévenir la fraude. Signatures numériques sont similaires, utilisant la cryptographie à clé publique pour authentifier que les données proviennent de la source qu'elles prétendent et qu'elles n'ont pas été falsifiées.

Le processus rend les signatures numériques pratiquement impossibles à falsifier à moins que la clé privée n'ait été compromise.Les signatures numériques peuvent être utilisées parallèlement au cryptage des messages de PGP ou séparément. Tout dépend de ce que vous envoyez et pourquoi.

Si le message est sensible et ne doit être lu que par le destinataire, vous devez utiliser le cryptage. Si le message doit être transmis intact et sans altération, une signature numérique devra alors être utilisée. Si les deux sont importants, vous devez les utiliser ensemble.

Les signatures numériques fonctionnent en utilisant un algorithme pour combiner la clé privée de l’expéditeur avec les données qu’il authentifie. Le texte brut de votre message est alimenté via un fonction de hachage , qui est un algorithme qui transforme les entrées en un bloc de données de taille fixe, appelé résumé du message .

Le résumé du message est ensuite chiffré avec la clé privée de l’expéditeur. Ce résumé de message crypté est ce qu'on appelle le signature numérique . Dans le cryptage PGP, la signature numérique est envoyée avec le corps du message (qui peut être crypté ou en texte brut).

Vérification des signatures numériques

Quand quelqu'un reçoit un e-mail signé numériquement,ils peuvent vérifier son authenticité et son intégrité en utilisant la clé publique de l'expéditeur. L’ensemble du processus est généralement effectué par le logiciel PGP du destinataire, mais nous présenterons les étapes approximatives pour vous donner une idée de ce qui se passe réellement.

Tout d’abord, une fonction de hachage est utilisée sur le message reçu. Cela donne le résumé du message de l’e-mail dans sa forme actuelle.

L'étape suivante consiste à calculer le résumé du message original à partir de la signature numérique envoyée. Lela clé publique de l’expéditeur consiste à déchiffrer la signature numérique. Cela donne le résumé du message exactement tel qu’il était lorsqu’il a été signé par l’expéditeur.

Pour déterminer si le message est authentique et n’a pas été falsifié, tout ce que le programme du destinataire a à faire est de comparer le résumé du message de l’e-mail qu’il a reçu avec le résumé du message qu’il a dérivé de la signature numérique.

Si le message a été modifié ne serait-ce que par un caractère ou un signe de ponctuation, alors les résumés du message seront complètement différents.. Si les résumés du message ne s’alignent pas, le destinataire saura qu’il y a un problème avec le message.

Si les deux résumés de message ne sont pas identiques, il y a trois coupables probables :

Lela clé publique utilisée pour déchiffrer la signature numérique n'était pas liée à la clé privée utilisée pour la chiffrer. Cela signifie que l’expéditeur n’est peut-être pas celui qu’il prétend être.
Lela signature numérique peut être fausse.
Lele message a été modifié depuis sa signature.

Si vous recevez un message signé numériquement et que les résumés ne s’alignent pas, vous devriez être sceptique. Il peut s'agir d'une erreur innocente car une mauvaise clé publique a été utilisée accidentellement, mais il peut également s'agir d'un message frauduleux ou falsifié.

Le réseau de confiance

Comment savoir qu’une clé publique appartient réellement à la personne qui le prétend ? Quelqu'un ne pourrait-il pas simplement publier sa propre clé publique et prétendre qu'il est le Pape pour tenter d'accéder à tous ses e-mails entrants cryptés avec PGP (en supposant qu'il soit suffisamment averti en technologie pour utiliser PGP) ?

Heureusement, tout cela a été pensé à l’avance et des solutions ont été mises en place. Autrement, quelque chose d’aussi simple saperait complètement l’ensemble du système. Pour empêcher ce genre d'activité, le réseau de confiance était développé.

Le réseau de confiance s'est développé comme un moyen de vérifier que chaque clé publique et chaque identifiant utilisateur PGP sont réellement connectés à la personne ou à l'organisation qu'ils sont censés représenter. Le réseau d’une fiducie connecte l’entité réelle à la clé publique en utilisant un tiers pour signer le nom de l’utilisateur. Certificat numérique PGP . La meilleure partie? Tout cela se fait sans une autorité centrale susceptible de s’effondrer ou d’être corrompue.

Un certificat numérique contient les informations d’identification de l’utilisateur, sa clé publique et une ou plusieurs signatures numériques. Si vous connaissez personnellement un utilisateur PGP, vous pouvez confirmer que sa clé publique est liée à sa véritable identité. Vous pouvez leur faire confiance et signer numériquement leur certificat, qui montre qu'au moins une personne se porte garant de son identité. Ils peuvent également faire la même chose pour vous.

Si vous rencontrez tous les deux un nouvel utilisateur PGP et signez numériquement leurs certificats pour vérifier leur identité, vous commencez à construire un petit réseau, où vous pouvez tous les quatre faire confiance aux liens entre les clés publiques et les identités, sur la base de la confiance de chaque personne. a chez les autres avec lesquels ils sont liés.

Au fil du temps,cela crée un réseau de confiance interconnecté, avec de nombreuses personnes se portant garantes les unes des autres avec des signatures numériques qui vérifient leur propriété d'une clé publique.

Il peut parfois être difficile pour les nouveaux utilisateurs de trouver quelqu'un pour signer leurs certificats et vérifier la relation entre eux et leur clé publique. Cela peut être particulièrement difficile s’ils ne connaissent pas d’autres utilisateurs de PGP dans la vraie vie.

Ce problème a été partiellement résolu par parties signataires de clés , qui sont des rencontres réelles où les utilisateurs peuvent évaluer si les clés appartiennent à la personne qui le déclare. Si tout correspond à leur pièce d’identité, ils signent numériquement le certificat de la personne à son retour à la maison.

Il y adifférents niveaux de confiance, y compris totale et partielle. Ceux qui ont de nombreuses signatures numériques sur leurs certificats qui représentent une confiance totale sont considérés comme beaucoup plus fiables que ceux qui n'ont que quelques signatures de confiance partielle.

Le réseau de confiance permet aux utilisateurs d'évaluer eux-mêmes s'ils font confiance au certificat numérique d'un correspondant potentiel. Si le message qu’ils souhaitent envoyer est extrêmement sensible, ils pourraient décider que le risque est trop grand pour l’envoyer à quelqu’un qui n’a qu’une confiance partielle.

Autorités de certification

Les certificats numériques PGP ne constituent pas le seul moyen de lier les identités à leurs clés publiques. Certificats X.509 peut également être utilisé. Il s’agit d’une norme de certificat commune qui est également utilisée à d’autres fins. La principale différence entre les certificats PGP et les certificats X.509 est que les certificats PGP peuvent être signés par n'importe qui, alors qu'un certificat X.509 doit être signé par ce que l'on appelle un autorité de certification .

Les certificats PGP peuvent également être signés par les autorités de certification, mais les certificats X.509 ne peuvent être signés que par les autorités de certification ou leurs représentants. Les certificats X.509 contiennent également une série d’informations d’identification du propriétaire ainsi que la clé publique, mais ils ont également une date de début et une date d’expiration.

Contrairement aux certificats PGP, qu'un utilisateur peut créer lui-même,Les certificats X.509 ne sont disponibles qu'en postulant auprès d'une autorité de certification. Ces certificats n'ont également qu'une seule signature numérique de l'émetteur, contrairement aux nombreuses signatures qu'un certificat PGP peut avoir d'autres utilisateurs.

Chiffrement des pièces jointes

PGP peut également être utilisé pour chiffrer vos pièces jointes. Il existe plusieurs façons de procéder, mais cela dépendra de votre mise en œuvre. En général, la meilleure méthode consiste à utiliser PGP/MIME , qui chiffrera ensemble les pièces jointes et le corps du message. Cela évite la fuite de métadonnées qui se produit si chaque segment est chiffré séparément.

Le chiffrement PGP en action

Rassemblons tout cela dans un exemple pour montrer comment ces éléments fonctionnent les uns par rapport aux autres. Pour rendre les choses plus intéressantes, disons que vous êtes un lanceur d’alerte venant d’un pays totalitaire et que vous avez découvert un cas extrême de corruption.

Vous souhaitez faire passer le message aux journalistes, mais vous avez peur pour votre propre sécurité. Que se passe-t-il si le gouvernement découvre que c’est vous qui avez divulgué l’information et qu’il envoie des gens après vous ?

Vous décidez finalement que divulguer l’information au public est la bonne chose à faire, mais vous voulez le faire de manière à vous protéger autant que possible. Vous effectuez une recherche en ligne et trouvez un journaliste réputé pour ce genre de travail et qui protège toujours ses sources.

Vous ne voulez pas simplement les appeler ou leur envoyer un e-mail normalement, c’est trop risqué. Vous avez déjà entendu parler de PGP et décidez d’essayer de l’utiliser pour protéger votre message. Vous téléchargez un programme comme Gpg4win et configurez-le avec un e-mail compatible OpenPGP.

Une fois que tout est en ordre, vous partez à la recherche du journaliste. Clé publique . Vous le trouvez sur leur site Web ou en recherchant un serveur de clés. Leur clé publique possède de nombreux signatures de confiance totale sur le certificat numérique, vous savez donc qu’il est légitime.

Vous importez la clé publique du journaliste, puis utilisez votre messagerie compatible OpenPGP pour commencer. Vous tapez le message :

Chère Susan Peterson,

J'ai des informations sur un énorme scandale de corruption aux États-Unis du Mozambique. Faites-moi savoir si vous êtes intéressé et je vous enverrai plus de détails.

Ajout de votre signature numérique

Si vous craignez que l'e-mail soit falsifié, vous pouvez ajouter votre signature numérique . UN fonction de hachage transforme le texte brut en un résumé du message , qui est crypté avec votre clé privée. La signature numérique sera envoyée au journaliste avec le message.

Chiffrer le message

Une fois cette opération terminée, PGP compresse le texte brut. Non seulement cela rend le processus plus efficace, mais cela contribue également à le rendre plus résistant à la cryptanalyse.

Une fois le fichier compressé, PGP crée le fichier unique clé de session . Cette clé de session est utilisée pour chiffrer efficacement le texte brut avec cryptographie à clé symétrique , transformant le corps du message en texte chiffré. La clé de session est ensuite cryptée grâce à la clé publique du journaliste. Ce chiffrement à clé publique est plus gourmand en ressources, mais il permet d'envoyer en toute sécurité la clé de session au journaliste.

Le texte chiffré, la clé de session cryptée et la signature numérique sont ensuite envoyés au journaliste. Lorsque le journaliste recevra le message, il ressemblera à ceci :

|_+_|

Décrypter le message

Le journaliste utilise sa clé privée pour décrypter la clé de session. La clé de session déchiffre ensuite le corps du message, le ramenant à sa forme originale :

Chère Susan Peterson,

J'ai des informations sur un énorme scandale de corruption aux États-Unis du Mozambique. Faites-moi savoir si vous êtes intéressé et je vous enverrai plus de détails.

Vérification de la signature numérique

Si le journaliste est sceptique quant à l’intégrité du message ou estime que ce n’est peut-être pas vous qui l’avez envoyé, il peut vérifier la signature numérique. Ils diffusent le message qu'ils ont reçu via un fonction de hachage , ce qui leur donne le résumé du message du courriel qu'ils ont reçu.

Le journaliste utilise alors votre Clé publique et ton signature numérique pour leur donner le résumé du message comme c'était le cas lorsque vous avez envoyé le message. Si les deux résumés de message sont identiques, alors ils savent que le message est authentique. À partir de ce moment, vous et le journaliste pourrez communiquer avec PGP pour discuter des détails du scandale de corruption.

Dans quelle mesure le cryptage PGP est-il sécurisé ?

En ce qui concerne sa sécurité,les versions actuelles de PGP sont essentiellement hermétiques, à condition qu'elles soient utilisées correctement. Il existe certaines vulnérabilités théoriques dans les anciennes versions, mais les versions actuelles ne sont pas connues publiquement pour être en rupture avec la technologie contemporaine et les dernières techniques de cryptanalyse. La probabilité que quiconque ait un moyen secret de pirater PGP est également négligeable. Il est donc assez sûr d’utiliser PGP en toute confiance, à condition que vous l’utilisiez correctement.

Au fur et à mesure du développement de PGP, davantage d'algorithmes de cryptage ont été ajoutés pour renforcer sa sécurité. Chaque fois que de légères vulnérabilités ont été découvertes, elles ont été rapidement corrigées par les développeurs. La plus grande préoccupation n’est pas que le cryptage PGP lui-même soit brisé, car il serait très difficile pour un criminel ou un État-nation de le faire.

Plutôt,il est beaucoup plus probable qu'un attaquant utilise d'autres moyens pour découvrir vos communications. Cela peut inclure l'utilisation d'un enregistreur de frappe pour déterminer votre clé privée ou la fouille de votre maison pour voir si votre clé privée a été écrite quelque part.

Malgré cela, il existe certaines vulnérabilités dans diverses implémentations d'OpenPGP. Début 2018, un une faiblesse a été trouvée qui pourrait être utilisé pour afficher le texte brut des e-mails qui ont été cryptés. Baptisé EFAIL, il implique que les attaquants interceptent d’abord le courrier électronique chiffré d’une cible et le modifient pour que le client de messagerie du destinataire final envoie le message à l’attaquant une fois qu’il a été déchiffré.

L’attaquant ne déchiffre pas lui-même l’e-mail etcette technique n'implique pas de briser le cryptage PGP. Malgré cela, les utilisateurs de PGP doivent en être conscients et prendre les mesures appropriées pour atténuer les risques.

Toute personne utilisant PGP doit modifier les paramètres de son client de messagerie pour empêcher le chargement automatique d'images externes et d'autres contenus. Ils devraient également désactiver JavaScript et HTML lors de la visualisation d'e-mails cryptés. Avec ces mesures en place, le cryptage PGP reste sûr à utiliser.

Quelles sont les limites du chiffrement PGP ?

Bien que le chiffrement PGP soit un outil important dans l’arsenal de sécurité, comme pour toute autre défense, il est loin d’être parfait.

Convivialité

L’un de ses principaux inconvénients est qu’il pas vraiment convivial , surtout par rapport à la plupart des applications sur lesquelles nous passons notre vie quotidienne.

Cela présente des défis pour ceux qui souhaitent protéger leurs e-mails, mais qui manquent d’un haut degré de connaissances techniques. C’est peut-être l’une de ces choses qu’ils doivent simplement apprendre pour assurer la sécurité de leurs communications. Sinon, les applications de messagerie cryptées comme Signal pourrait être mieux adapté à leurs besoins.

Il existe également de nombreuses versions différentes de PGP au fil des ans, chacune avec de nouveaux algorithmes et fonctionnalités. À cause de ça, les anciennes versions de PGP ne pourront pas ouvrir les messages chiffrés par des systèmes plus récents. Même avec la bonne clé, cela ne fonctionnera toujours pas, car ils utilisent des algorithmes différents.

Cela signifie qu'il est important de s'assurer que l'expéditeur et le destinataire connaissent la version et les paramètres utilisés, afin qu'ils puissent choisir un système qui fonctionne mutuellement pour eux.

PGP n'est pas anonyme par défaut

Les utilisateurs de PGP doivent être conscients queil ne crypte pas tous les aspects de leurs e-mails. Il crypte le corps du texte, mais toute personne interceptant les e-mails PGP pourra toujours voir la ligne d'objet et les détails du message, ainsi que les informations sur l'expéditeur et le destinataire.

Même si le message lui-même peut être privé,l'interaction n'est pas anonyme. Les utilisateurs doivent en tenir compte lorsqu’ils évaluent s’il s’agit du bon outil pour le travail. Pour commencer, ils doivent éviter de mettre quoi que ce soit de trop spécifique dans la ligne d'objet.

Si l’on considère notre exemple ci-dessus, le lanceur d’alerte devrait toujours prendre en compte les risques associés à PGP. Si le scandale de corruption a provoqué une immense indignation au sein du gouvernement, il n’est pas irréaliste d’imaginer des agents du gouvernement pirater les emails du journaliste.

S’ils ne trouvaient qu’une seule interaction avec un citoyen des États-Unis du Mozambique, il ne leur faudrait pas de compétences à la Sherlock pour en déduire que cette personne est probablement le lanceur d’alerte. Les agents n’ont pas besoin de pouvoir accéder au contenu du message pour avoir un degré de confiance élevé, ou du moins suffisamment pour interroger cette personne.

Le cryptage PGP fait partie intégrante des communications de haute sécurité

Les détails du chiffrement PGP sont un peu compliqués, mais il s’agit d’un aspect important de la messagerie sécurisée. Ceux qui l’utilisent doivent comprendre son fonctionnement, au moins dans un sens large. Sinon ilspeuvent faire des présomptions erronées ou l'utiliser de manière inappropriée, mettant ainsi en danger le contenu de leur message et peut-être même leur vie.

Pour récapituler rapidement, le cryptage PGP exploite une gamme de techniques pour fournir des communications par courrier électronique sécurisées et privées. Ceux-ci incluscompression, chiffrement à clé publique, chiffrement symétrique, signatures numériques et réseau de confiance.

Ensemble, ceux-ci permettent à ses utilisateurs d'envoyer des messages cryptés de manière efficace. Cela leur permet également de vérifier si un message est authentique et n’a pas été modifié. La norme OpenPGP a été créée pour que tout le monde puisse l'utiliser gratuitement, contribuant ainsi à en faire la forme de cryptage de courrier électronique la plus répandue. Alors queLe cryptage PGP n'est pas parfait, à condition d'en connaître les limites,c'est l'un des moyens les plus sûrs de communiquer en ligne.

Maintenant, vous vous demandez peut-être comment utiliser PGP ? Nous avons ce qu'il vous faut dans notre tutoriel sur comment chiffrer le courrier électronique .

Clavier rétro-éclairé par Colin sous licence CC0

3D-Online

Informations, Outils, Avis Et Comparaisons, Pour Aider Les Lecteurs À Améliorer Leur Cybersécurité Et Leur Confidentialité Sur Internet.