Gpg4win 3.0 : comment chiffrer vos emails dans Outlook, utiliser Kleopatra, GPA ou GpgEX
Let's encrypt
Le 02 octobre 2017 à 15h07
12 min
Logiciel
Logiciel
Gpg4win 3.0 est disponible depuis quelques jours. Une mise à jour d'importance qui a demandé de nombreux mois de travail à l'équipe en charge du projet. L'occasion de faire le point sur cet ensemble d'outils pensés pour faciliter le chiffrement via GnuPG sous Windows.
Ces dernières semaines, l'écosystème de GnuPG a été assez largement mis à jour. Si nous sommes déjà revenus sur les nouveautés de la branche 2.2, notamment pour la distribution des clés, il est temps de faire le point sur Gpg4win.
Faciliter l'utilisation de GnuPG sous Windows
Pour rappel, il s'agit d'un ensemble d'outils visant à faciliter le (dé)chiffrement sous Windows comme il en existe sous macOS par exemple avec GPG Suite. Dans sa version 3.0, mise en ligne il y a quelques jours, ce package intègre GnuPG 2.2.1, GPA 0.9.10, GpgOL 2.0.1, GpgEX 1.0.5 et Kleopatra 3.0.0.
Gpg4win est distribué gratuitement, mais l'équipe se finance à travers un système de dons mis en avant lors du téléchargement du logiciel. Il est open source (GPL), son code étant disponible par ici. Vous pouvez participer au projet de différentes manières et suivre son développement ou son avancement à travers ses listes de diffusion. Un wiki est disponible en ligne, en complément de la documentation (Compendium).
Avant de commencer, nous partirons du principe que vous disposez d'Outlook dans le cas de l'utilisation de GpgOL et que vous disposez des bases en matière de chiffrement. Si ce n'est pas le cas, vous pouvez commencer par lire notre dossier consacré au sujet, publié plus tôt dans l'année.
Installation de Gpg4win
Une fois Gpg4win téléchargé, commencez par vérifier l'intégrité du fichier. Pour cela, l'équipe diffuse les sommes de contrôle SHA256 que vous pouvez calculer avec une simple commande PowerShell, qui est accessible depuis un clic droit sur le menu démarrer : Get-FileHash -Algorithm SHA256 <nom du fichier>
.
Il est aussi possible d'utiliser des outils prévus à cet effet comme QuickHash GUI ou encore notre application maison, CheckHash. Si les valeurs relevées correspondent, c'est que le fichier récupéré n'a pas été modifié et qu'il peut être utilisé en toute confiance. On peut alors lancer le programme d'installation.
Celui-ci est assez basique et propose seulement de choisir parmi les éléments du package. Par défaut, tous sont sélectionnés à l'exception de GPA, un gestionnaire de clés (tout comme Kleopatra) qui a ses avantages mais n'est plus mis à jour. Vous pouvez donc opter pour celui qui a votre préférence, ou alterner entre les deux au quotidien.
Dans le cadre de notre test du jour, nous installerons et détaillerons toutes les applications proposées.
Kleopatra : le gestionnaire de clés à tout faire
Kleopatra est l'outil principal de Gpg4win, permettant de gérer les clés privées et publiques au sein d'une interface graphique. Il sert également de base à GpgEX et GpgOL, ce qui explique qu'il se sélectionne automatiquement lorsque l'on décide de les installer.
Développé pour l'environnement de bureau KDE, il est à la fois accessible sous différentes distributions Linux et sous Windows, via le portage de Gpg4win. Pour la version 3.0, les développeurs ont dirigé leurs efforts sur la simplicité d'utilisation et une ergonomie plus accessible au néophyte.
C'est notamment le cas à travers son nouvel écran de démarrage :
Par défaut, vous êtes désormais invités à importer une paire de clés existantes ou à en créer une nouvelle. On note au passage que la traduction française est encore loin d'être parfaite ou complète.
- Création d'une paire de clés
En cliquant sur New Key Pair, on trouve une procédure de création classique. Un nom et un email (facultatifs) sont demandés pour constituer une identité principale. Par défaut, c'est une paire de clés RSA sur 2048 bits qui est créée, sans date d'expiration. Via la page de configuration avancée, il est possible de modifier ces paramètres.
On peut alors opter pour un maximum de 4096 bits et, GnuPG 2.2 oblige, choisir un algorithme exploitant les courbes elliptiques (ECDSA + ECDH). Une phrase de passe doit ensuite être tapée, celle-ci permettant de protéger la clé privée contre utilisation frauduleuse en cas de fuite.
Une fois la phase de création terminée, on peut exporter la paire de clés, mais aussi partager la clé publique par différents moyens comme l'email ou un serveur de clés public :
Une fois de retour dans l'interface principale, la ligne correspondante est affichée en gras, ce qui signifie qu'une clé privée est présente en plus de la clé publique.
Kleopatra et ses différentes fonctionnalités s'utilisent à travers quatre zones principales, chacune ayant un but précis :
- Barre d'outils
La première est la plus visible et se compose des différents boutons affichés sous le menu. Elle permet de signer/chiffrer, déchiffrer/vérifier des éléments mais aussi importer, exporter et certifier des clés, effectuer une recherche sur les serveurs de clé publics ou gérer les données qui sont présentes dans le presse-papiers.
Cette dernière possibilité permet de (dé)chiffrer et signer du texte ou importer une clé qui serait dans le presse-papiers. Une fois la procédure terminée, le résultat est à son tour placé dans le presse-papiers.
- Liste de clés
La seconde zone est la partie principale qui affiche toutes les clés, publiques et/ou privées, stockées sur votre machine. Un moteur de recherche et un menu de tri permettent de s'y retrouver plus facilement lorsqu'elles sont nombreuses.
Un double-clic sur l'un des éléments de la liste affiche les détails d'une clé : sa composition, sa date d'expiration, son niveau de confiance, etc. Si une clé privée est disponible, on peut aussi générer un certificat de révocation (nécessaire en cas de perte ou de vol), changer la phrase de passe, la date d'expiration ou encore ajouter une identité.
Notez au passage qu'une fonctionnalité d'impression de la clé privée est aussi proposée à travers le menu contextuel.
Le niveau de confiance que vous avez dans les différentes clés publiques peut être modifié afin d'indiquer le niveau de vérification que vous avez effectué. Une information qui sera notamment utilisée pour savoir si une clé doit être utilisée de manière plus ou moins automatisée.
Enfin, il est possible de certifier les différentes identités d'une clé, en la signant avec votre clé privée. Cela permet de confirmer que vous avez vérifié que telle ou telle identité correspond à la clé en question. Cette certification peut être locale ou exportée sur des serveurs publics.
- Menu principal
Comme dans toute application, un menu principal permet d'accéder à l'ensemble des fonctionnalités. Dans Fichiers, se trouve tout ce qui est relatif au chiffrement et à la signature, avec la possibilité de créer une nouvelle paire de clés, d'effectuer des imports/recherches, mais aussi de calculer et vérifier des sommes de contrôle. Notez qu'il est possible de signer/chiffrer des dossiers complets, ce qui n'était pas proposé auparavant.
La partie Certificats contient pour sa part toutes les fonctionnalités relatives aux clés : certification, niveau de confiance, modification des paramètres, suppression, etc. Affichage et Fenêtre contiennent des fonctionnalités annexes, permettant notamment de gérer différents onglets dans la liste de clés permettant d'en filtrer rapidement l'affichage.
Dans Outils, on relève surtout la présence du gestionnaire de clés de sécurité (OpenPGP card) qui permet d'y générer de nouvelles clés ou de modifier certaines informations, mais pas toutes. L'outil est en effet encore relativement incomplet à ce niveau et il faudra le plus souvent continuer de passer par la ligne de commande (voir notre guide).
Enfin, la zone Configuration permet d'effectuer un contrôle de la machine et de l'installation de GPG. On peut également y modifier les raccourcis clavier ou la barre d'outils, mais surtout accéder aux paramètres de Kleopatra où nous vous conseillons d'utiliser l'URL suivante pour le serveur de clés :
hkp://eu.pool.sks-keyservers.net/
Il est possible d'y modifier les serveurs de clés utilisés, l'apparence de l'interface, ou encore les options relatives au chiffrement. Il en est de même pour les paramètres relatifs à GPG : récupération automatique des clés, modèle de confiance (pour tester tofu+pgp), déconnexion d'une clé de sécurité après n
secondes, etc.
- Icône de la barre des tâches
Un clic droit sur l'icône de Kleopatra dans la barre des tâches permet enfin d'accéder directement à la configuration de l'application, aux options liées au presse-papiers ou à l'actualisation de l'état de la clé de sécurité.
GpgOL : (dé)chiffrez et signez simplement vos emails dans Outlook
Passons maintenant à l'autre gros morceaux de Gpg4win, qui a beaucoup évolué avec la version 3.0 du package : son plug-in pour Outlook, GpgOL. En effet, GPG reste un outil relativement utilisé pour le chiffrement des emails, et il est souvent associé à Thunderbird/Enigmail ou Clawsmail sous Windows (pour ne citer que ces deux-là).
L'objectif de GpgOL est de proposer un support dans une application largement utilisée, notamment en entreprise, afin de permettre au plus grand nombre de signer/chiffrer ses emails via GPG plutôt que via des solutions centralisées comme S/MIME (supporté nativement par Outlook).
Le plug-in prend la forme d'un simple petit bouton placé au bout du « Ruban » qui fait office de barre d'outils dans Outlook. Quand vous lisez un email, il affichera le statut de ce dernier (Insecure, Encrypted ou Security Level) avec une icône permettant d'identifier rapidement le niveau de confiance dans la clé de l'expéditeur :
Si une clé est inconnue, un clic sur le bouton pour lancer une recherche et un import. On regrettera par contre de ne pas pouvoir changer le niveau de confiance d'une clé directement depuis l'interface comme dans Thunderbird, l'intégration renvoyant très souvent vers Kleopatra pour ce genre de tâches.
En cliquant sur la petite flèche en bas à droite du bouton, on accède aux paramètres (voir ci-dessous) afin d'activer le support de S/MIME, activer le chiffrement/signature par défaut lors de l'écriture d'un nouveau message, la récupération automatique des clés lors du chiffrement vers un tiers inconnu, etc.
Lors de l'envoi d'un email, un appui sur Secure permet de signer/chiffrer, ou de sélectionner l'une ou l'autre de ces fonctionnalités (voir ci-dessus). Avec Gpg4win 3.0, les emails HTML et le chiffrement des pièces jointes sont pleinement supportés sans effort particulier.
Lors d'un envoi, il faut sélectionner manuellement la clé à utiliser. Il est aussi possible d'activer une fonctionnalité expérimentale permettant d'effectuer cette sélection de manière automatique lorsqu'aucun conflit (plusieurs clés pour une même identité) n'est détecté.
GPA : old school mais complet
GNU Privacy Assistant (GPA) est un gestionnaire de clés utilisant GTK+ qui n'est plus vraiment mis à jour, mais que certains préfèrent utiliser. Il reprend globalement le fonctionnement de Kleopatra avec une interface organisée de manière similaire. Disponible au départ sous Linux, il peut être utilisé sur différentes distributions comme sous Windows grâce au portage des équipes de Gpg4win.
Deux modes d'affichage sont proposés, Résumé ou Détaillé, permettant de voir plus ou moins d'informations sur les clés stockées sur la machine. Mais on retrouve surtout trois outils en complément du Trousseau de clés qui est affiché par défaut : Fichiers, Presse-papiers et Card.
Le premier permet d'ouvrir des fichiers afin de les (dé)chiffrer/signer/vérifier. Le second dispose d'une large zone de texte où l'on peut écrire puis chiffrer un message. Des boutons Couper/Copier/Coller proposés dans le second facilitent les interactions avec le presse-papiers. Enfin, le dernier offre une gestion un peu plus complète des clés de sécurité (OpenPGP card) que Kleopatra, un comble.
Notez au passage que la version 3.0 de ce dernier aurait dû intégrer une fonctionnalité de Pad, similaire à l'outil Presse-papiers de GPA. Cela n'a finalement pas été le cas, ce qui nous a notamment poussé à travailler sur une solution maison en cours de développement : GPG Pad. Nous aurons l'occasion d'en reparler sous peu.
GpgEX : le chiffrement à portée de clic droit
Finissons par GpgEX, une extension pour Windows Explorer (d'où son nom) qui s'intègre à son menu contextuel. Pour l'utiliser, il suffit donc d'effectuer un clic droit sur un fichier ou un dossier.
Globalement, l'outil permet d'automatiser certaines actions à travers Kleopatra. Celle mise en avant par défaut est signer et chiffrer ce qui a pour effet de créer un fichier accessible uniquement à un (ou plusieurs) destinataire spécifique qui pourra s'assurer de sa provenance.
Dans les options complémentaires, on peut choisir de chiffrer/déchiffrer ou signer/vérifier un élément. Notez que l'une des nouveautés de Kleopatra 3.0 est de faciliter la vérification et le déchiffrement lors d'un double-clic sur un fichier chiffré/signé. Il reconnaît désormais automatiquement l'action à utiliser, ce qui n'est pas (encore ?) le cas de GpgEX.
Ce dernier sera donc surtout utile pour faciliter le chiffrement ou la signature. Notez enfin qu'il permet de calculer et de vérifier des sommes de contrôle, pour un fichier ou un dossier entier, là aussi à travers Kleopatra. Il en résultera un fichier sha256sum.txt
, qui contiendra les sommes permettant de vérifier l'intégrité de chaque fichier concerné.
Gpg4win 3.0 : comment chiffrer vos emails dans Outlook, utiliser Kleopatra, GPA ou GpgEX
-
Faciliter l'utilisation de GnuPG sous Windows
-
Installation de Gpg4win
-
Kleopatra : le gestionnaire de clés à tout faire
-
GpgOL : (dé)chiffrez et signez simplement vos emails dans Outlook
-
GPA : old school mais complet
-
GpgEX : le chiffrement à portée de clic droit
Commentaires (8)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 02/10/2017 à 15h18
C’est possible ou prévu de l’interfacer ou de coupler avec keybase ?
Le 02/10/2017 à 15h20
Pour faire quoi ?
Le 02/10/2017 à 17h39
Quand je parlais de “difficultés à appréhender le concept de chiffrement asymétrique”, je parlais exactement de ça. " />
Le 02/10/2017 à 18h22
Disons que dans un cas de ce genre, je pense que ça vient d’une méconnaissance des évolutions de KB qui se reposait au début beaucoup sur GPG avant de shifter de modèle (notamment pour du NaCL).
Le 02/10/2017 à 18h30
Ah, j’étais même pas au courant de l’ancien modèle de KB. Modèle d’ailleurs bien dangereux que d’avoir la même clé partout.
My bad et toutes mes excuses à X-Javier. " />
Le 02/10/2017 à 18h56
Disons qu’au départ c’était surtout un annuaire qui utiliser la clé pour certifier des comptes tiers. Désormais c’est une messagerie multi-devices avec gestion de fichier. Autant dire que le modèle de NaCL est largement plus adapté " />
Le 03/10/2017 à 12h35
associer clé à identité par exemple?
Le 04/10/2017 à 17h09
Je ne comprends pas ce que tu veux dire par là