<!-- Cet article est utilisé comme aide contextuelle, ouvert lorsque vous cliquez sur un lien d'en savoir plus depuis l'OpenPGP Key Assistant de Thunderbird. Veuillez garder l’objectif principal de l’article. Voir aussi https://bugzilla.mozilla.org/show_bug.cgi?id=1773720 --> Pour envoyer un message OpenPGP chiffré, vous devez [[OpenPGP in Thunderbird - HOWTO and FAQ#w_how-do-i-get-the-public-keys-of-my-correspondents|obtenir la clé publique du destinataire]], par exemple depuis un message reçu de leur part ou d'un serveur de clés publiques. Une fois que vous avez obtenu la clé publique, vous devez également décider si vous souhaitez l'accepter, car Thunderbird ne peut pas déterminer automatiquement si une clé est digne de confiance - une clé peut être authentique ou contrefaite. Comment déterminer si une clé est authentique ou contrefaite, pour pouvoir décider d'accepter ou non la clé, est le sujet de cet article. = Exemple de clé contrefaite = Il est très facile pour quelqu’un de créer une clé publique avec le nom et l’adresse e-mail d’une autre personne. Par exemple, une personne mal intentionnée, Mallory, peut simplement créer une clé contenant le nom et l'adresse e-mail de votre ami Bob, et vous envoyer la clé. Si quelqu'un d'autre que Bob a créé la clé, il s'agit alors d'une clé contrefaite. Si vous décidez ensuite d'utiliser une clé contrefaite au nom de Bob, vous pourriez croire que vous avez une conversation confidentielle avec Bob, car vous utilisez le cryptage des emails, alors qu'en réalité le message crypté est lisible par la personne malveillante Mallory qui a créé la contrefaçon. saisissez le nom de Bob. C'est ce qu'on appelle Monster-in-the-Middle-Attack (MITM), également connue sous le nom Man-in-the-Middle-Attack. = Comment décider d'accepter ou non une clé publique = Pour éviter que vous n'utilisiez accidentellement une clé contrefaite, Thunderbird n'utilisera jamais automatiquement la clé de quelqu'un. Thunderbird exigera toujours que vous preniez la décision d'accepter une clé comme authentique. Vous décidez également de la quantité de travail que vous souhaitez investir pour vérifier qu’une clé est authentique ou contrefaite. Si vous avez des conversations informelles avec un correspondant et que vous considérez le contenu de votre message comme peu sensible, vous pourriez décider de marquer une clé comme acceptée sans vérifier si la clé est authentique. Cependant, si vous avez l'intention d'échanger des informations critiques et que votre liberté ou votre vie dépend du fait que ces informations restent confidentielles, vous devez alors vérifier soigneusement que vous avez reçu une clé authentique, que la clé provient bien de la personne avec laquelle vous souhaitez correspondre. . Vous pouvez le faire en visualisant le détail d'une clé, puis utiliser un canal de communication '''autre que l'e-mail''' pour parler à votre correspondant. Ensuite, chacun de vous doit consulter les détails de la clé publique de l'autre personne et examiner l'empreinte digitale qui s'affiche. Une empreinte digitale est un hachage de la clé complète, une sorte de somme de contrôle, et donc une manière unique d'identifier une clé. = Exemple de processus de vérification = Pour expliquer ce processus plus en détail, si Alice et Bob veulent s'assurer qu'ils utilisent les bonnes clés l'un de l'autre, ils effectueront la vérification en deux étapes. Dans un premier temps, Alice ouvrirait les détails de sa propre clé personnelle, en la trouvant soit dans le gestionnaire de clés OpenPGP, soit en utilisant l'onglet Chiffrement de bout en bout dans les paramètres du compte. Bob ouvrirait les détails de la clé qu'il a obtenue, qui prétend être au nom d'Alice. Ensuite, Alice doit lire l'empreinte digitale qu'elle voit sur l'écran pour sa propre clé, et Bob doit l'écouter et la comparer avec l'empreinte digitale qui est affichée sur son écran pour la clé qui est au nom d'Alice. Si les informations correspondent parfaitement, alors Bob a vérifié la clé d'Alice et peut cocher la case qui dit "Oui, j'ai vérifié en personne que cette clé a la bonne empreinte digitale". Dans un deuxième temps, Alice et Bob doivent répéter le processus en visualisant la clé de Bob. Bob doit ouvrir les détails de sa propre clé, et Alice doit ouvrir la clé qu'elle a obtenue et prétend être au nom de Bob. Ensuite, Bob doit lire l'empreinte digitale qu'il voit à l'écran pour sa propre clé, et Alice doit l'écouter et la comparer avec les informations qu'elle voit affichées pour la clé de Bob. Si la chaîne d'empreinte digitale correspond entièrement, Alice a vérifié la clé de Bob et peut cocher la case qui dit "Oui, j'ai vérifié en personne que cette clé a la bonne empreinte digitale".

Pour envoyer un message OpenPGP chiffré, vous devez obtenir la clé publique du destinataire, par exemple depuis un message reçu de leur part ou d'un serveur de clés publiques. Une fois que vous avez obtenu la clé publique, vous devez également décider si vous souhaitez l'accepter, car Thunderbird ne peut pas déterminer automatiquement si une clé est digne de confiance - une clé peut être authentique ou contrefaite. Comment déterminer si une clé est authentique ou contrefaite, pour pouvoir décider d'accepter ou non la clé, est le sujet de cet article.

Exemple de clé contrefaite

Il est très facile pour quelqu’un de créer une clé publique avec le nom et l’adresse e-mail d’une autre personne. Par exemple, une personne mal intentionnée, Mallory, peut simplement créer une clé contenant le nom et l'adresse e-mail de votre ami Bob, et vous envoyer la clé. Si quelqu'un d'autre que Bob a créé la clé, il s'agit alors d'une clé contrefaite.

Si vous décidez ensuite d'utiliser une clé contrefaite au nom de Bob, vous pourriez croire que vous avez une conversation confidentielle avec Bob, car vous utilisez le cryptage des emails, alors qu'en réalité le message crypté est lisible par la personne malveillante Mallory qui a créé la contrefaçon. saisissez le nom de Bob. C'est ce qu'on appelle Monster-in-the-Middle-Attack (MITM), également connue sous le nom Man-in-the-Middle-Attack.

Comment décider d'accepter ou non une clé publique

Pour éviter que vous n'utilisiez accidentellement une clé contrefaite, Thunderbird n'utilisera jamais automatiquement la clé de quelqu'un. Thunderbird exigera toujours que vous preniez la décision d'accepter une clé comme authentique. Vous décidez également de la quantité de travail que vous souhaitez investir pour vérifier qu’une clé est authentique ou contrefaite.

Si vous avez des conversations informelles avec un correspondant et que vous considérez le contenu de votre message comme peu sensible, vous pourriez décider de marquer une clé comme acceptée sans vérifier si la clé est authentique.

Cependant, si vous avez l'intention d'échanger des informations critiques et que votre liberté ou votre vie dépend du fait que ces informations restent confidentielles, vous devez alors vérifier soigneusement que vous avez reçu une clé authentique, que la clé provient bien de la personne avec laquelle vous souhaitez correspondre. . Vous pouvez le faire en visualisant le détail d'une clé, puis utiliser un canal de communication autre que l'e-mail pour parler à votre correspondant. Ensuite, chacun de vous doit consulter les détails de la clé publique de l'autre personne et examiner l'empreinte digitale qui s'affiche. Une empreinte digitale est un hachage de la clé complète, une sorte de somme de contrôle, et donc une manière unique d'identifier une clé.

Exemple de processus de vérification

Pour expliquer ce processus plus en détail, si Alice et Bob veulent s'assurer qu'ils utilisent les bonnes clés l'un de l'autre, ils effectueront la vérification en deux étapes. Dans un premier temps, Alice ouvrirait les détails de sa propre clé personnelle, en la trouvant soit dans le gestionnaire de clés OpenPGP, soit en utilisant l'onglet Chiffrement de bout en bout dans les paramètres du compte. Bob ouvrirait les détails de la clé qu'il a obtenue, qui prétend être au nom d'Alice. Ensuite, Alice doit lire l'empreinte digitale qu'elle voit sur l'écran pour sa propre clé, et Bob doit l'écouter et la comparer avec l'empreinte digitale qui est affichée sur son écran pour la clé qui est au nom d'Alice. Si les informations correspondent parfaitement, alors Bob a vérifié la clé d'Alice et peut cocher la case qui dit "Oui, j'ai vérifié en personne que cette clé a la bonne empreinte digitale".

Dans un deuxième temps, Alice et Bob doivent répéter le processus en visualisant la clé de Bob. Bob doit ouvrir les détails de sa propre clé, et Alice doit ouvrir la clé qu'elle a obtenue et prétend être au nom de Bob. Ensuite, Bob doit lire l'empreinte digitale qu'il voit à l'écran pour sa propre clé, et Alice doit l'écouter et la comparer avec les informations qu'elle voit affichées pour la clé de Bob. Si la chaîne d'empreinte digitale correspond entièrement, Alice a vérifié la clé de Bob et peut cocher la case qui dit "Oui, j'ai vérifié en personne que cette clé a la bonne empreinte digitale".