# Mail qui signe crypte : vive la cryptographie



## SirDeck (5 Novembre 2004)

Salut,

Je l'ai découvert par hasard hier en bidouillant mes mails sur le serveur Exchange. J'en avais gardé des chiffrés et des signés pour voir comment ils se présentaient sur les Clients que j'utilise. Et là Mail m'indique qu'ils sont chiffrés et ou signés*!!

Du coup je lance une recherche et toc*! Cette version permet la cryptographie. En plus c'est d'une simplicité... Tout ce que je recommandais lorsque j'ai bossé dans le domaine...

Pour que les commandes apparaissent, il faut avoir des certificats dans le trousseau. Un personnel pour pouvoir signer, et celui du correspondant pour pouvoir crypter les messages qui lui sont destinés.






Une fois le certificat personnel installé, un petit bouton-poussoir (comportement radio) apparaît dans Mail. Il est justifié à droite sous le champ objet après la liste déroulante de Compte et de Signature*:




Par défaut, il est activé.

Lorsque l'on saisit une adresse qui est contenue dans un certificat, un autre bouton apparaît à proximité pour crypter ou non.





À la réception, c'est très discret si tout va bien.





Par défaut, il ne demande pas le mot de passe pour déverrouiller la clef privée, ni à la signature, ni pour déchiffrer. Tout est transparent.

C'est juste lorsqu'il n'arrive pas à authentifier une signature ou à déchiffrer un message qu'il met en avant la cryptographie.










J'utilise un certificat gratuit de chez Thawte. Je fais passer Safari pour Netscape et ça passe très bien. J'ai pris du 1024 bits. Je crois que c'est autorisé pour la signature. Du coup je chiffre avec aussi. Là normalement c'est 128 en France...


----------



## JediMac (5 Novembre 2004)

Mail ne fait pas ça tout seul. Pour crypter/signer des méls, il lui faut PGP .


----------



## SirDeck (5 Novembre 2004)

BAH si justement, c'est l'objet du message et pourquoi il est si détaillé. Mail fait ça tout seul avec la complicité de Mac OS X (trousseau). D'où l'intérêt.


----------



## Leehalt (5 Novembre 2004)

Si j'ai bien compris il suffit d'importer des certificats dans le trousseau et les commandes de signature/chiffrement apparaissent? C'est cool ça . Et ça marche avec Mail sur Panther Client? Mais comment je fais pour importer mon certificat dans le trousseau d'accès?



			
				SirDeck a dit:
			
		

> Par défaut, il ne demande pas le mot de passe pour déverrouiller la clef privée, ni à la signature, ni pour déchiffrer. Tout est transparent.


Ca par contre je ne trouve pas ça très cool. Qui va garantir le destinataire du message signé que c'est bien moi qui ai signé le message si je ne confirme pas l'utilisation de ma clé privée par la saisie d'un mot de passe? Je pourrais très bien avoir imprudemment laissé ma session ouverte le temps d'aller me chercher un café et un utilisateur malveillant (au hasard Alice ) pourrais envoyer un message en mon nom (vu qu'il est signé avec ma clé privée). Je te l'accorde, j'avais qu'à ne pas me barrer en laissant ma session ouverte, mais bon, nobody's perfect, hein... Sur ce coup-là, pgp est mieux fait.


----------



## Bilbo (5 Novembre 2004)

Plus de détails sur cette méthode ici. Pour ma part, je préfère de loin PGP.

À+


----------



## SirDeck (6 Novembre 2004)

Leehalt a dit:
			
		

> Ca par contre je ne trouve pas ça très cool. Qui va garantir le destinataire du message signé que c'est bien moi qui ai signé le message si je ne confirme pas l'utilisation de ma clé privée par la saisie d'un mot de passe? Je pourrais très bien avoir imprudemment laissé ma session ouverte le temps d'aller me chercher un café et un utilisateur malveillant (au hasard Alice ) pourrais envoyer un message en mon nom (vu qu'il est signé avec ma clé privée). Je te l'accorde, j'avais qu'à ne pas me barrer en laissant ma session ouverte, mais bon, nobody's perfect, hein... Sur ce coup-là, pgp est mieux fait.



Par défaut il ne te demande rien. Il suffit que le trousseau soit déverrouillé. Bien sûr tu peux paramétrer de sorte que ton mot de passe soit demandé à chaque utilisation.
La solution transparente me plaît. Je travaille en R&D et pourtant je n'ai pas besoin d'un niveau de sécurité militaire* Je n'utilise même pas filvault (remarque j'ai bien essayé mais il semble que je n'aivais pas assez de place sur le disque) Ce qui m'intéresse surtout ici c'est de ne pas faire circuler des messages (et leurs pièces jointes) en claire sur le net. Dans ce cas, la transparence est géniale. une fois coché la fonction crypter, il crypte tout ce qu'il peut (dès que l'adresse correspond à un certificat). Dans l'autre sens, il décrypte à la volée. Tu as donc un conduit de communication Crypté de manière totalement transparente. cool !


----------



## SirDeck (6 Novembre 2004)

Bilbo a dit:
			
		

> Plus de détails sur cette méthode ici. Pour ma part, je préfère de loin PGP.
> 
> À+



L'intérêt ici c'est que tu peux envoyer un mail signé à un gars qui utilise un mac pour lui demander de t'envoyer du contenu chiffré. Il n'a rien à installer, rien à faire si ce n'est appuyer sur un bouton une fois. Tous les messages qu'il t'envoie sont alors chiffrés. Très simple, très intelligent, très Mac


----------



## Bilbo (21 Janvier 2005)

J'avais toujours rejeté cette méthode parce que je pensais qu'il était impossible de créer soi-même sa clef secrète. En fait, il n'en est rien. Ça fait un moment que je traque l'info et je suis enfin tombé sur cette page. 

Le blême, c'est que le site de Thawte est dans les choux ce soir.  Je vous tiens au courant.

À+


----------



## Bilbo (22 Janvier 2005)

Ça a été dur. :sleep: Mais j'ai mis ma page sur le cryptage à jour et il y un nouveau chapitre qui explique comment créer son certificat sans communiquer sa clef privée via Internet. C'est un gage de sécurité supplémentaire. Pour le reste, il ne me reste plus qu'à tester avec mes correspondants. Mais je suis optimiste.

SirDeck, maintenant que ce qui était à mes yeux intolérable est contourné, tu as sans doute fait un converti. 

À+


----------



## WebOliver (24 Janvier 2005)

Bilbo a dit:
			
		

> Ça a été dur. :sleep: Mais j'ai mis ma page sur le cryptage à jour et il y un nouveau chapitre qui explique comment créer son certificat sans communiquer sa clef privée via Internet. C'est un gage de sécurité supplémentaire. Pour le reste, il ne me reste plus qu'à tester avec mes correspondants. Mais je suis optimiste.
> 
> SirDeck, maintenant que ce qui était à mes yeux intolérable est contourné, tu as sans doute fait un converti.
> 
> À+



Oui, très intéressant...   Je vais de ce pas créer ma clé...


----------



## Bilbo (5 Mars 2005)

Bilbo a dit:
			
		

> Ça a été dur. :sleep: Mais j'ai mis ma page sur le cryptage à jour et il y un nouveau chapitre qui explique comment créer son certificat sans communiquer sa clef privée via Internet.


Encore une mise à jour. Désormais, j'expose trois méthodes pour faire sa clef. Il y en a pour tous les goûts avec les détails. Normalement, le cryptage devrait devenir simple pour tout le monde.

À+


----------



## JediMac (6 Mars 2005)

Bilbo a dit:
			
		

> SirDeck, maintenant que ce qui était à mes yeux intolérable est contourné, tu as sans doute fait un converti.


Ha ben si le généralissime Bilbo est convaincu, tu viens d'en convertir un autre !


----------



## SirDeck (6 Mars 2005)

Bien, je l'utilise maintenant depuis un certain temps. Tous mes messages avec mes prestataires sont chiffrés. C'est presque totalement transparent : les messages chiffrés qui contiennent une pièce jointe un peu lourde mettent un peu de temps à s'afficher (temps de déchiffrement sans doute).

Vraiment cool !

Du coup, j'ai activé Filevault : RAS...


----------



## JediMac (6 Mars 2005)

Bilbo a dit:
			
		

> Encore une mise à jour. Désormais, j'expose trois méthodes pour faire sa clef. Il y en a pour tous les goûts avec les détails. Normalement, le cryptage devrait devenir simple pour tout le monde.


J'ai voulu me lancer dans la génération d'un certif sur Thawte, mais des questions me sont venues.
Peut-on associer plusieurs adresses mél à un certif. ?
Mail peut-il gérer plusieurs certif ?


----------



## Bilbo (6 Mars 2005)

JediMac a dit:
			
		

> Peut-on associer plusieurs adresses mél à un certif. ?


Non. Dans le concept, une identité n'est pas communautaire. 



			
				JediMac a dit:
			
		

> Mail peut-il gérer plusieurs certif ?


Je ne sais pas, je n'ai pas testé. Mais je suis sûr que Thunderbird et Entourage le font puisqu'on associe un certificat à une adresse.

À+


----------



## JediMac (6 Mars 2005)

Bilbo a dit:
			
		

> Non. Dans le concept, une identité n'est pas communautaire.


D'accord, mais qui nous dit que nous allons conserver la même adresse mél _ad vitam eternam_ . Ou alors, on peut avoir plusieurs adresses...


----------



## SirDeck (7 Mars 2005)

JediMac a dit:
			
		

> J'ai voulu me lancer dans la génération d'un certif sur Thawte, mais des questions me sont venues.
> Peut-on associer plusieurs adresses mél à un certif. ?
> Mail peut-il gérer plusieurs certif ?



Théoriquement, on peut mettre ce que l'on veut dans un certificat. Je crois bien que la norme permet même une photo (ce qui est bien pratique). En pratique, ça dépend. Thawte permet plusieurs adresses (mon certif en à deux adresses). Mais c'est surtout au niveau des logiciels utilisateurs que ça bloque. Côté Mail, je peux utiliser les deux adresses de mon certificat pour signer. Mais j'ai lu quelque part que Outlook Express ne supporte pas les certificats contenant plusieurs adresses. Je n'ai pas essayer d'envoyer un mail signer sur ce client. Sur Outlook (le client Exchange) ça marche.


----------



## JediMac (7 Mars 2005)

SirDeck a dit:
			
		

> Théoriquement, on peut mettre ce que l'on veut dans un certificat. Je crois bien que la norme permet même une photo (ce qui est bien pratique). En pratique, ça dépend. Thawte permet plusieurs adresses (mon certif en à deux adresses). Mais c'est surtout au niveau des logiciels utilisateurs que ça bloque. Côté Mail, je peux utiliser les deux adresses de mon certificat pour signer...


Oui, mais Mail peut-il gérer 2 certif ? Exemple, ma compagne et moi avons chacun notre adresse mél, mais je n'ai qu'un utilisateur et nous utilisons Mail les deux. Alors Mail peut-il signer avec le certif. de ma compagne quand elle envoie un mél et avec le mien quand c'est mon compte qui sert ?


----------



## Einbert (7 Mars 2005)

En ce qui concerne la transparence, la solution s/mime fourni par Mail est intéressante, mais j'ai encore trouvé mieux à ce niveau là : Ciphire. C'est une solution gratuite (qui va devenir Open Source dans le courant de cette année) et que j'utilise depuis 1,5 - 2 mois . Il n'y a pas besoin de créer de certificats soi-même.
 Voici le principe : ils partent du principe, que si on peut, il faudrait toujours pouvoir signer et crypter nos mails, mais le problème, c'est que si on le fait avec PGP ou s/mime, une fois le mail arrivé de l'autre côté, la personne est bien embêtée pour le lire, si elle n'a pas PGP ou le certif de l'autre personne. Il nous faut donc un moyen de faire tout cela de manière transparente : une passerelle entre les deux qui permet de contrôler si la personne peut lire des mails chiffer ou non; si c'est le cas, on crypte, si ce n'est pas le cas, on ne fait que signer le mail. Et quand un autre utilisateur m'envoie un mail avec Cipher, il sera crypté et signé, mais arrivé chez moi, tout le processus de décryptage est fait de manière transparente (il y a juste un petit [c] qui est rajouté à la fin du sujet du mail pour me dire que l'utilisateur utilise aussi Cipher et que le mail était crypté). Donc pour le fonctionnement, je ne pense pas que l'on pourra trouver plus transparent  . Et cela fonctionne un peu sur le principe de la communauté : si tous tes amis utilisent Cipher (solution qui fonctionne sur Linux, Mac ou Windows), alors tous les mails que tu leur enverra seront cryptés  .

 A tester !

 ++


----------



## Einbert (7 Mars 2005)

JediMac a dit:
			
		

> Oui, mais Mail peut-il gérer 2 certif ? Exemple, ma compagne et moi avons chacun notre adresse mél, mais je n'ai qu'un utilisateur et nous utilisons Mail les deux. Alors Mail peut-il signer avec le certif. de ma compagne quand elle envoie un mél et avec le mien quand c'est mon compte qui sert ?



A priori, je dirais : oui  .


----------



## Bilbo (7 Mars 2005)

JediMac a dit:
			
		

> Oui, mais Mail peut-il gérer 2 certif ? Exemple, ma compagne et moi avons chacun notre adresse mél, mais je n'ai qu'un utilisateur et nous utilisons Mail les deux. Alors Mail peut-il signer avec le certif. de ma compagne quand elle envoie un mél et avec le mien quand c'est mon compte qui sert ?


Il faut vraiment que je réponde ? 

À+


----------



## Bilbo (7 Mars 2005)

Einbert a dit:
			
		

> En ce qui concerne la transparence, [...]


Plus de détails pour Ciphire : ici.

À+


----------



## SirDeck (9 Mars 2005)

Einbert a dit:
			
		

> En ce qui concerne la transparence, la solution s/mime fourni par Mail est intéressante, mais j'ai encore trouvé mieux à ce niveau là : [...]. Donc pour le fonctionnement, je ne pense pas que l'on pourra trouver plus transparent
> ++



Et bien justement, Mail, c'est totalement transparent, car non seulement tu n'as rien à faire, par défaut il chiffre dès que l'adresse le permet (tu as déjà reçu un message signé de cette adresse), mais en plus...



			
				Einbert a dit:
			
		

> Et cela fonctionne un peu sur le principe de la communauté : si tous tes amis utilisent Cipher (solution qui fonctionne sur Linux, Mac ou Windows), alors tous les mails que tu leur enverra seront cryptés  .
> ++



... mais en plus avec Mail tu n'as rien à installer ! Tout le monde à un client de messagerie et la plupart sont compatibles : Mail utilise un protocole normalisé (tout Apple ça la compatibilité).


----------



## Vladrow (11 Juin 2005)

Bonjour, je relance le sujet pour Tiger.

J'ai besoin de signer et crypter des mails.
Je veux que l'identification ne soit pas au niveau de la personne mais de l'organisation (mail entre deux secrétariat association - entreprise les gens peuvent changer). Donc je me disais que des certificats auto signés seraient parfaits. Je ne veux pas employer de certificat thawte dans ce cas précis.


J'ai beau utiliser la très belle méthode décrite par Bilbo, je génère des certificats .p12 et les importe dans le trousseau. Mail ne veut pas s'en servir pour crypter... contrairement à mon certificat thawte qui marche très bien. Par ailleurs, j'ai un message d'erreur si j'essaye de visualiser le certificat en cours d'importation: 





> Cet élément contient des informations qui sont trop volumineuses ou dans un format non reconnu.



J'ai cru comprendre en lisant l'aide de trousseau que je dois importer le certificat dans X509 Anchors. Mais le trousseau me demande le mot de passe pour X509 et aucun de mes mots de passe y compris d'administratuer ne fonctionne ??? Quel est il ? comment se réinitialise t'il ???? 

J'ai également essayé l'assistant de certification du trousseau (menu trousseau du trousseau d'accès). L'aide d'Apple est plus que succinte et franchement peu compréhensible. Les réglages proposés par défauts créent un certificat .pb7 que je n'arrive pas non plus à utiliser. 

Donc si une bonne âme peut m'expliquer comment je trouve mon mot de passe X509anchors (si c'est bien la solution) ou comment utiliser l'assistant de certification, je lui serai humblement reconnaissant au nom de la communauté MacGé.


----------



## JediMac (1 Juillet 2005)

Hé les pro du cryptage ! Avez-vous vu que Trousseau d'Accès version Tiger propose de générer des certificats ? Bon j'ai rien compris à la man½uvre , mais qu'en pensez-vous ?


----------



## Bilbo (1 Juillet 2005)

JediMac a dit:
			
		

> Hé les pro du cryptage ! Avez-vous vu que Trousseau d'Accès version Tiger propose de générer des certificats ? Bon j'ai rien compris à la man½uvre , mais qu'en pensez-vous ?


Je vais jeter un ½il. Merci. 

À+


----------



## Bilbo (1 Juillet 2005)

Vladrow a dit:
			
		

> J'ai beau utiliser la très belle méthode décrite par Bilbo,


Heu, hum, je ne passe plus guère dans les forums techniques. Je n'avais pas vu. :rose: Je vais tester tout ça sous Tiger. 

À+


----------



## KeepAlive (24 Juillet 2005)

J'utilise également la cryptographie S/MIME à l'aide d'un certificat Thawte depuis plusieurs mois dans tous les messages que j'envoie (signature seule ou signature + chiffrage) et je suis très satisfait de l'intégration et la simplicité de cette solution, bravo Apple !

Obtenir un certificat S/MIME sur le site de Thawte est gratuit (et même plusieurs certificats : un par adresse e-mail), mais le certificat ne contiendra que votre adresse e-mail, pas votre nom et prénom, et le champ CN (Common Name) visible par vos correspondant contiendra à la place la chaîne générique "Thawte Freemail member".

Pour avoir son nom inscrit dans son certificat, il faut gagner des "points de confiance" (au minimum 50) en rencontrant un ou plusieurs Thawte Notary. J'en suis un et je me propose de faire gagner 10 points de confiance à tous ceux qui viennent à Apple Expo le 20 ou 21 septembre (j'y serai, je viens de Suisse). Les personnes intéressées peuvent me contacter dans les jours qui précèdent l'expo pour convenir d'un lieu/heure de rencontre, n'oubliez pas de prendre l'original et une photocopie d'une pièce d'identité avec photo et de me contacter avant la rencontre en me donnant votre identifiant Thawte afin que je puisse imprimer les formulaires nécessaires.







PS: si d'autres Thawte Notary qui nous lisent viennent à Apple Expo, je suis également intéressé de les rencontrer car je serai accompagné d'un ami qui souhaite gagner des points pour à son tour devenir Notary et avoir son nom imprimé dans son certificat.


----------



## SirDeck (4 Octobre 2015)

JediMac a dit:


> Hé les pro du cryptage ! Avez-vous vu que Trousseau d'Accès version Tiger propose de générer des certificats ? Bon j'ai rien compris à la man½uvre , mais qu'en pensez-vous ?



Je l'utilise depuis quelques mois. J'ai un peu galéré à lui faire cracher un certificat qui fonctionne bien. Je l'ai exporté pour que nos terminaux iOS puissent l'importer et donc lire les mails chiffrés. Bref, tout marche nickel. Mais je n'ai pas noté la configuration de certificat qui a fini par fonctionner...
Le certificat fonctionne aussi sur Android. Par contre WindowsPhone ne gère pas encore la cryptographie. On verra pour la version 10.


----------



## SirDeck (4 Octobre 2015)

Bah quoi j'ai mis 10 ans à répondre ! On n'est pas pressé non plus !


----------

