Problème avec les certificats de Mail et GnuPG

Le 18/12/04 15:31, dans <32it9hF3lcva1U1@individual.net>, « Matt »
<sbehzf@syrius.org> a écrit :

On Sat, 18 Dec 2004 14:59:53 +0100,
Eric Lévénez <news@levenez.com.invalid> wrote:

Est-ce que quelqu'un utilise des outils PGP avec Mail et est-ce qu'ils
cohabitent bien avec la gestion native des certificats de Mail ? Je pense en
particulier à PGP Personal Desktop 8.1.

Pour PGP, je ne sais pas mais en ce qui concerne GPG, tout fonctionne
nickel avec Mail.app

Le problème est avec GPG sur Windows pour relire les Mail signés en X.509
venant de Mac OS X.

Si tu utilises GPG sur Mac, est-ce que l'on peut choisir dans Mail qui va
faire la signature (PGP ou X.509) ? Et est-ce que les signatures en émission
et en réception sont bien automatiques ou faut-il passer par des menus
spécifiques ? GPG arrive à prendre les signatures PGP pour lui et laisse les
signatures X.509 à Mail ou essaye-t-il de tout décoder tout seul en se
vautrant comme sur Windows ?

Peut-être un problème spécifique à PGP Personal Desktop.

Je n'ai pas ce soft, ni mon collègue qui utilise le soft du GNU (ce n'est
pas un choix de sa part), je posais juste la question de savoir si ce soft
marchait bien avec Mac OS X et Mail car GnuPG me semble avoir une
intégration, comment dit-on, à la Linux pour être poli. Mais peut-être GnuPG
est-il aussi bien intégré que X.509 dans Mail ? Est-ce le cas ?

--
Éric Lévénez -- <http://www.levenez.com/>
Unix is not only an OS, it's a way of life.

Le 18/12/04 16:18, dans <32j01nF3lqfg4U1@individual.net>, « Matt »
<sbehzf@syrius.org> a écrit :

[snip]

Merci pour toutes ces informations très intéressantes. Je vais peut-être
testé GnuPG sur mon Mac.

Je pense que vous devez chercher le problème du côté du plug-in Enigmail
version Windows, qui apporte le support de PGP/GPG dans Thunderbird, ou
bien carrément Thunderbird.

Effectivement je vais voir avoir mon collègue si il peut tester GnuPG avec
Netscape pour voir si le problème vient du côté GnuPG Windows (et de son
plugin) ou de Thunderbird lui même.

--
Éric Lévénez -- <http://www.levenez.com/>
Unix is not only an OS, it's a way of life.

Le 18/12/04 16:49, dans <32j1sgF3odocfU2@individual.net>, « Matt »
<sbehzf@syrius.org> a écrit :

On Sat, 18 Dec 2004 16:24:42 +0100,
Eric Lévénez <news@levenez.com.invalid> wrote:

Merci pour toutes ces informations très intéressantes. Je vais peut-être
testé GnuPG sur mon Mac.

J'ai fait le switch il y a quelques mois déjà.
L'idée d'être obligé de passer par une authorité tierce pour un certificat
me gênait un peu.

J'ai confiance en Thawte et cela ne me dérange pas du tout. Si on ne fait
pas confiance en diverses autorités de ce type, alors on ne peut plus surfer
sur Internet sur les sites sécurisés.

Ce qui me gène beaucoup avec GPG c'est que la clé publique doivent être
envoyée dans le corps du email (dans la signature par exemple) et cela
pollue pas mal la lecture d'un email. Ou alors j'ai pas tout compris :-)

L'autre solution est d'utiliser un serveur de clefs, et là on revient à PGP
Corporation, donc on passe par une autorité. Alors je me demande comment tu
fais ?

Une excellente introduction :
<http://www.gbronner.net/mail/GPGMacOSX.html>

Ce lien est très intéressant, merci. Les explications présentés sur cette
page pour pouvoir utiliser GPG sont quand même des bidouilles et pas très
dignes d'une interface Mac OS X. J'aimerais bien voir PGP tourner sur Mac OS
X pour voir si c'est mieux intégré que GPG.

--
Éric Lévénez -- <http://www.levenez.com/>
Unix is not only an OS, it's a way of life.

Le 18/12/04 17:51, dans <32j5h2F3kklqkU1@individual.net>, « Matt »
<sbehzf@syrius.org> a écrit :

On Sat, 18 Dec 2004 17:25:49 +0100,
Eric Lévénez <news@levenez.com.invalid> wrote:

J'ai confiance en Thawte et cela ne me dérange pas du tout. Si on ne fait
pas confiance en diverses autorités de ce type, alors on ne peut plus surfer
sur Internet sur les sites sécurisés.

Soit, mais si l'on décide de crypter ses messages, ce n'est pas pour
qu'une authorité puisse astreindre celle détenant ta clé privée afin de
lire tes messages cryptés.

C'est un point de vue, tout est relatif.

Ce qui me gène beaucoup avec GPG c'est que la clé publique doivent être
envoyée dans le corps du email (dans la signature par exemple) et cela
pollue pas mal la lecture d'un email. Ou alors j'ai pas tout compris :-)

GPGMail (le plug-in pour Mail.app) gère OpenPGP/MIME (comme définit
dans la RFC2440 sjmgp).

Dans la page web que tu as donné et dans d'autres que j'ai googolées, cela
n'apparaissait pas.

L'autre solution est d'utiliser un serveur de clefs, et là on revient à PGP
Corporation, donc on passe par une autorité. Alors je me demande comment tu
fais ?

Euh on ne communique que sa clé publique au serveur de clé, pas sa clé
privée.

Bien sûr.

Un serveur de clé n'est pas là pour gérer tes clés, mais pour indexer les
clés publiques des utilisateurs. On peut le comparer à un annuaire.

Oui, mais c'est comme tout il faut lui faire confiance pour récupérer cette
information. Et si le serveur est cracké ou spoofé on peut faire croire à un
correspondant. Par exemple X envoie à Y un email avec son numéro de clé. Y
doit aller sur un site pour récupérer la clé publique et vérifier le
message. Si Z intercepte le message de X et remplace le serveur de clé,
quand Y va demander la clé publique il aura une fausse clé. Si la clé est
dans le message, il n'y a pas ce problème.

Ce lien est très intéressant, merci. Les explications présentés sur cette
page pour pouvoir utiliser GPG sont quand même des bidouilles et pas très
dignes d'une interface Mac OS X. J'aimerais bien voir PGP tourner sur Mac OS
X pour voir si c'est mieux intégré que GPG.

On peut gérer GnuPG uniquement via des interfaces graphiques, et ces GUI
interagissent avec le trousseau d'accès, que demander de plus ?

Que cela apparaisse en clair dans les explications. Je n'ai rien vu de tel
sur Internet pour l'instant. J'ai sans doute mal cherché.

Plus d'infos sur ces GUI ici :
<http://macgpg.sourceforge.net/>

J'avais déjà essayé de trouver des informations intéressante sur ce site (la
partie français n'est pas du tout à jour). Je viens de rechercher des infos
sur l'interface GUI pour Mac OS X en vain. L'info est peut-être là, mais pas
trouvé (ou alors il faut installer le soft pour après coup voir ce qu'il en
est).

Conclusion : je viens juste d'acheter PGP, parce que même si j'aime unix et
sa ligne de commande, je préfère une interface GUI et un produit fini avec
une doc stable et claire. :-)

--
Éric Lévénez -- <http://www.levenez.com/>
Unix is not only an OS, it's a way of life.

Le 18/12/04 19:46, dans <32jc8bF3noqf4U1@individual.net>, « Matt »
<sbehzf@syrius.org> a écrit :

On Sat, 18 Dec 2004 18:57:53 +0100,
Eric Lévénez <news@levenez.com.invalid> wrote:

Dans la page web que tu as donné et dans d'autres que j'ai googolées, cela
n'apparaissait pas.

L'auteur détaille ça ici (de façon succincte cela dit) :
<http://www.sente.ch/software/GPGMail/French.lproj/GPGMail.html>

Effectivement.

Un serveur de clé n'est pas là pour gérer tes clés, mais pour indexer les
clés publiques des utilisateurs. On peut le comparer à un annuaire.

Oui, mais c'est comme tout il faut lui faire confiance pour récupérer cette
information. Et si le serveur est cracké ou spoofé on peut faire croire à un
correspondant. Par exemple X envoie à Y un email avec son numéro de clé. Y
doit aller sur un site pour récupérer la clé publique et vérifier le
message. Si Z intercepte le message de X et remplace le serveur de clé,
quand Y va demander la clé publique il aura une fausse clé. Si la clé est
dans le message, il n'y a pas ce problème.

La clé publique est toujours fournie si tu signes ton message.
Après, comment les usagers s'échangent leur clés c'est autre chose. Là tu
parles plus de l'utilisation.

Oui, je pensais que l'on ne pouvait pas avoir du MIME/SMIME avec GPG et donc
qu'il fallait fournir sa clé publique dans le corps du email. L'utilisation
d'un serveur de clés permettait de contourner cela.

On peut très bien se passer d'un serveur de clés, si par exemple je te
passe ma clé publique avec mon empreinte pour que tu puisses la vérifier
sans avoir le besoin de recourir à un serveur de clés.

Oui, je sais bien, voir la réponse ci-dessus.

Pour ma part, je pointais du doigt le fait qu'une personne physique tierce
soit en possession de *ta* clé privée, ce qui n'est nullement le cas ici.

Oui, mais cette personne sert justement à certifier ta clé alors que sinon
il faut faire confiance au moins une fois à un email (le premier).
L'avantage de X.509 c'est que beaucoup de programmes ont les certificats
racines qui vont bien (sauf Adobe Reader pour Thawte, et d'ailleurs j'espère
qu'Adobe va corriger cela dans la version 7). Pour le support de PGP je ne
crois pas qu'il y ait un programme qui marche avec par défaut.

Que cela apparaisse en clair dans les explications. Je n'ai rien vu de tel
sur Internet pour l'instant. J'ai sans doute mal cherché.

Probablement.
Les premiers pas vers PGP/GPG sont assez difficiles et je connais personne
qui n'ai pas eu des difficultés au début.

Il y a donc de la marge d'évolution pour vraiment avoir un produit simple à
installer, comprendre, utiliser...

J'avais déjà essayé de trouver des informations intéressante sur ce site (la
partie français n'est pas du tout à jour). Je viens de rechercher des infos
sur l'interface GUI pour Mac OS X en vain. L'info est peut-être là, mais pas
trouvé (ou alors il faut installer le soft pour après coup voir ce qu'il en
est).

Ok, il est vrai que sur ce site il n'y a que des liens vers les interfaces
graphiques, pas de documentation bien complète à se mettre sous la dent.

Par contre tu devrais pouvoir trouver (au moins partiellement) ton bonheur
ici :
<http://openpgp.vie-privee.org>

Ce site traite aussi bien de GnuPG que de PGP.

Je vais voir.

Conclusion : je viens juste d'acheter PGP, parce que même si j'aime unix et
sa ligne de commande, je préfère une interface GUI et un produit fini avec
une doc stable et claire. :-)

C'est une affaire de choix, cependant si tu pouvais nous faire un petit
topo sur comment est la suite PGP sur Mac OS X, je te serai éternellement
reconnaissant.

Éternellement ? :-) Bon, il faut que je fasse plein d'essais dans tous les
bords...

Enfin bon, tout cela ne change rien à mon problème de départ qui est
l'incompatibilité de Mail avec son X.509 avec Thunderbird/GnuPG sous
Windows. Avec PGP sur Mac cela me permet d'avancer dans mes recherches, mais
il y a un bug quelque part et quelqu'un doit le corriger ! :-/

--
Éric Lévénez -- <http://www.levenez.com/>
Unix is not only an OS, it's a way of life.

Le 18/12/04 21:06, dans <32jgu7F3n1pegU2@individual.net>, « Matt »
<sbehzf@syrius.org> a écrit :

Je voudrais simplement savoir les différences, l'intégration avec Mac OS
X, ce genre de chose, ayant eu moi-même ce choix à faire (GPG ou PGP).

Pour faire une liste de différences, il faudrait que je connaisse GnuPG et
tu as vu que je ne le connais pas. Mais si tu as des questions, je veux bien
y répondre, bien sûr.

Il y a une version PGP gratuite (avec conditions) si tu veux essayer :
<http://www.pgp.com/downloads/freeware/index.html>.

La version que j'utilise est "PGP Personnal Desktop 8.1 for Macintosh,
English". Elle coûte 58,60 euros. Voici quelques infos par rapport à la
version gratuite :

La fonction PGPdisk permet de faire des images disques cryptées. Il y a
divers options de cryptage. Le démontage de l'image peut être fait sur timer
ou juste avant de passer en veille (pas testé). Ce qui est "amusant" est
qu'il y a tous les formats de système de fichiers de Mac OS X, y compris le
HFS+ case-sensitive. Le format DOS est compatible avec le PGP Windows.

Il y a un Plug-in pour Mail (on peut configurer PGP pour signer/crypter tous
les emails ou le faire à la demande (par la barre d'action ou le menu de
Mail). Pour Microsoft Entourage, la gestion des messages se fait par le menu
script.

Un menu contextuel dans le Finder permet de crypter/signer des fichiers.

Le programme PGP est le programme central qui permet de tout gérer de façon
très simple. Je ne sais pas si la doc est fournie avec la version gratuite,
sinon il y a la doc de la version 7 qui est disponible ici :
<ftp://ftp.pgpi.org/pub/pgp/7.0/docs/english/PGPMacUsersGuide.pdf>

Pour ma part, je contacterai le ou les auteurs d'Enigmail, le plug-in pour
Thunderbird, les auteurs de Thunderbird et le responsable du paquet
d'installation de GnuPG pour Windows.

[1] <http://www.gnupg.org/gph/en/manual/x56.html>

Je vais tester GnuPG et PGP la semaine prochaine avec mon collègue pour
affiner le diagnostic.

--
Éric Lévénez -- <http://www.levenez.com/>
Unix is not only an OS, it's a way of life.

Le 18/12/04 22:19, dans <32jl7bF3m9plfU1@individual.net>, « Matt »
<sbehzf@syrius.org> a écrit :

Un utilitaire pour la ligne de commande est inclus ?

Je n'ai rien vu.

Il y a le programme PGP et les bundles PGPdisk, PGPkeys et PGPmail. L'icône
du programme PGP placée dans le Dock permet, par le menu contextuel, d'avoir
accès à toutes les fonctions de PGP.

Le programme PGP est Apple-scriptable par des choses du genre :

encrypt files reference
encrypt and sign text reference [to list]
decrypt and verify files reference
...

--
Éric Lévénez -- <http://www.levenez.com/>
Unix is not only an OS, it's a way of life.

Le 18/12/04 23:54, dans <32jqorF3o646dU1@individual.net>, « Matt »
<sbehzf@syrius.org> a écrit :

PS. je viens de regarder sur fr.misc.cryptologie et un fil peut
t'intéresser :

Message-ID: <851xdtuzgl.fsf@bretagne.rail.eu.org>

Un ID comme cela ne sert à rien car soit on a lu le message avec son lecteur
de news, soit on ne l'a pas et dans ce cas il faut que le message soit
public et assez vieux pour être présent sur des sites comme Google, au
contraire, s'il n'est pas public il faut qu'il ne soit pas trop vieux pour
pouvoir être encore sur un serveur de news (il convient alors d'indiquer
l'URL du serveur).

Bref, je n'ai pas trouvé le message correspondant à cet ID.

--
Éric Lévénez -- <http://www.levenez.com/>
Unix is not only an OS, it's a way of life.

Le 19/12/04 0:18, dans <32js5mF3o646dU2@individual.net>, « Matt »
<sbehzf@syrius.org> a écrit :

Je vais te le citer :

"Ça dépend de la plateforme. Sous windows le keyring est dans un
répertoire qui ne dépend pas de l'utilisateur, ce qui est une connerie
sans nom."

J'ai trouvé ce message sur Google :

<http://groups.google.com/groups?hl=fr&lr=&selm28tvoF3kc7jvU1%40individual
.net>

Alors j'ai pu remonté jusqu'au message que tu cites, et effectivement il y a
un "X-No-Archive: Yes" qui empêche Google de l'archiver. Et comme sur un
serveur de news, les messages sont purgés cycliquement...


Enfin bon, je ne vois pas le rapport avec mon problème ou j'ai raté une
marche quelque part... Mon collègue est seul sur sa machine et un email
"normal" de Mail que je lui envoie passe alors qu'un email signé s'affiche
vide. That is the question. :-/

--
Éric Lévénez -- <http://www.levenez.com/>
Unix is not only an OS, it's a way of life.

Le 19/12/04 1:12, dans <32jvatF3mn5a7U1@individual.net>, « Matt »
<sbehzf@syrius.org> a écrit :

On Sun, 19 Dec 2004 00:30:59 +0100,
Eric Lévénez <news@levenez.com.invalid> wrote:

Mon collègue est seul sur sa machine et un email "normal" de Mail que je
lui envoie passe alors qu'un email signé s'affiche vide. That is the
question. :-/

Cela vient sûrement d'un problème purement Windows,

Sûrement.

car j'ai deux amis
(sous Mac OS X) qui utilisent Enigmail lorsque j'avais un certificat X.509
est il n'y a jamais eu de problème particulier (mais je te parle de ça, il
y a bien de ça un an environ...).

Ok.

--
Éric Lévénez -- <http://www.levenez.com/>
Unix is not only an OS, it's a way of life.