Délégation Centre-Auvergne-Limousin

- Home - News - Conseils - SécuritéMise à jour  -  Liens  -  Accès  -

Délégation Centre-Auvergne-Limousin

La signature électronique et le chiffrement avec Outlook XP

xavier.laure at cnrs-orleans dot fr

Pourquoi cette documentation ?

l'utilisation de la signature électronique est assez facile et bien documentée avec Outlook .

Par contre, une documentation sur l'utilisation du chiffrement des Emails est assez rare.

Tout d'abord il est important d'avoir compris le principe du chiffrement asymétrique (à clé publique) pour comprendre la raison de certaines manipulations.

voir les documents suivant sur

http://igc.services.cnrs.fr/Doc/

http://mi.cnrs-orleans.fr/Links/Liens.htm

cours initiation à la sécurité informatique

 

index

configuration de l'option signature et chiffrement

dans le menu Outils/options choisir l'onglet Sécurité

cliquez sur Paramètres pour configurer les options de la signature électronique

Il est à noter que cela n'a rien à voir avec le chiffrement du mail cette option gère la signature et le chiffrement de la signature avec notre propre clé privée pour pouvoir faire de la non-répudiation (avec Outlook XP on ne peut pas séparer les deux fonctions mais on peut choisir un certificat différent pour chiffrer la signature ... je ne vois pas à qui cela peut servir ...)

dans la fiche ci-dessus on voit donc le choix du certificat pour la signature (avec un algorithme pour le condensé (hash) ici SHA1 ou MD5)

le certificat de chiffrement est donc le certificat qui contient la clé privée pour chiffrer ce document. Le choix de l'algorithme 3DES peut sembler "léger" mais il est à mon sens suffisant ici car il est là pour chiffrer votre condensé et donc prouver que seul le possesseur de la clé privée (donc vous) pouvais le faire (d'où la non-répudiation).

l'option "Envoyer avec les certificats permet d'envoyer" votre certificat à un correspondant qui ne l'aurait pas ... attention si votre correspondant n'a pas vos certificats "racine" il verra votre signature comme fausse !!!

récupération de la clé public de mon correspondant

1ere technique

donc comme je l'ai dit précédemment une technique simple pour récupérer un certificat est quand ce dernier est lié au mail

pour cela lorsque vous recevez un mail signé vous cliquez sur le petit logo rouge du certificat puis sur "modifier approbation"

et enfin dans" l'onglet détail" sur "Copier dans un fichier" (si votre correspondant n'a pas lié son certificat au mail ... l'option de copier n' est pas disponible)

2ème technique:

la technique la plus simple ... sur le site web de l'IGC (Infrastructure de gestion des clés)...

dans le cas présent c'est l'IGC du CNRS ...

le simple fait de cliquer va vous copier la clé publique de votre correspondant dans la gestionnaire de certificat d'IE dans l'onglet "autres personnes" .

Remarque: cette action se fait avec des ActiveX si votre navigateur les bloque, vous ne pourrez rien faire.

configuration de l'association correspondant / clé publique dans un contact

Pour associer un correspondant avec sa clé publique vous devez créer un contact sur cette personne.

Il est à noter que dans Thunderbird la gestion est différente car Thunderbird dispose de son propre gestionnaire de clés. Il suffit de rentrer le certificat du correspondant dans le gestionnaire pour que cela fonctionne. Outlook utilise le même gestionnaire qu'Internet Explorer (IE) c'est (peut-être) pour ça que la manipulation est plus complexe ?

Remarque:

Dans les deux logiciels l'association se fait sur les adresses Email. Il faut pour pouvoir associer un certificat et un correspondant utiliser la même adresse Email d'expédition que celle contenue dans le certificat. Dans Outlook le nom du contact peut être celui que vous voulez et même l'adresse électronique peut être différente (vu que le certificat est attaché au contact) mais c'est chercher les problèmes que de tenter de tels montages ...

on créé un nouveau contact

Puis pour associe le ou les certificats on ouvre le gestionnaire de certificat d'IE, dans autres personnes on sélectionne le bon certificat

puis par exportation (ou drag and drop) on exporte le certificat choisi vers le disque dur.

puis dans importer de l'onglet Certificats de notre nouveau contact on sélectionne le bon certificat.

Remarques: on peut comme dans la figure ci-dessus donner une liste de certificat pour un même contact ... mais après seul celui qui est mis par défaut est utilisé.(de plus passé un certificat de par défaut à un autre statuts ne fonctionne pas ... sur ma version d'Outlook)

envoi du mail signé et chiffré

l'envoi d'un mail est alors très facile

On écrit son mail ... puis on sélection l'icône option de l'éditeur de mail

puis sur paramètres de sécurité

vous pouvez alors choisir de chiffré le contenu du mail et (ou) mettre votre signature numérique

dans l'option paramètres de sécurité on peut choisir un profil de signature électronique (voir "configuration de l'option signature et chiffrement")

réception et vérification d'un mail chiffré

à la réception un mail chiffré (avec ou sans signature) se présente avec l'icône suivant

un mail simplement signé avec l'icône suivant

ensuite une fois le message ouvert (vous aurez certainement vu un message d'avertissement qu'un programme veut utiliser votre clé privé - Outlook pour déchiffrer) pour vérifier la signature vous pouvez cliquer sur l'un ou l'autre des icônes

Si on clique sur cet icône on peut voir la fenêtre suivante:

Cas 1) Ici on peut voir que le message à été chiffré et signé de façon non-répudiable

(NB on ne peut pas envoyer de message juste signé, cad qui ne seraient pas non-répudiables avec Outlook XP ... holà ...ça devient chaud ;))

cas 2:

le message est simplement chiffré mais pas signé (on ne peut pas être sur de la personne qui l'a envoyé ... car il ne faut perdre l'idée que notre clé publique est (comme son nom l'indique) publique donc tout le monde peut s'en servir. L' intérêt de chiffrer seulement est qu'on est sur que seule une personne peut ouvrir le mail ...

Remarques de sécurité:

  • Le mail est chiffré mais pas le protocole !!!! c'est à dire que vos mots de passe circulent toujours en clair si vous utilisez POP ou IMAP pour lire les mails.
  • Il faut faire attention quand vous demandez un certificat de le demander avec votre adresse Email type... il ne faut pas utiliser une fois un alias une fois un autre ... sinon la correspondance avec le champs Email de votre certificat n'est plus possible.

Lexique:

condensé : c'est le terme français pour hash c'est le résultat d'une fonction mathématique qui donne une empreinte du texte. De plus cette fonction est à sens unique, on ne peut pas retrouver le texte avec la seule empreinte.

signature asymétrique: c'est la signature qui met en jeu deux clés une privée l'autre publique. la publique est mise à disposition dans notre certificat la privée doit être conservée au secret.

certificat : le certificat est une sorte de carte d'identité. Il contient des informations comme votre nom, votre adresse Email, les entités racines, une date de validité et surtout il contient votre clé publique.

IGC : Infrastructure de gestion des clés est une organisation administrative qui permet d'assurer une validité des certificats qu'elle distribue. Qui me permet de dire que le certificat de toto que j'ai récupéré sur un site web est bien le sien ? rien à moins que ce certificat est des racines digne de confiance qui elle me permettrons d'affirmer que ce certificat est bien le sien.

Chiffrement / déchiffrement / décryptage : le chiffrement permet grâce à une clé de rendre un texte clair non lisible sans une action de déchiffrement avec la clé appropriée. Le décryptage est un terme désignant une action de piratage visant à casser une clé de chiffrement. Souvent les traductions de l'anglais vers le français transforment chiffrement en cryptage et déchiffrement en décryptage.

Page Up Updated 20 janvier, 2005 Hervé Chaudret
C.N.R.S.

 -   Home   -  News   -   Conseils   -  Sécurité   -  Mise à jour   -   Liens   -  Accès   -

C.N.R.S.