Sécurité des e-mails : PGP et S/MIME : Conclusion

1.1 - Problèmes de sécurité liés à la messagerie électronique
1.2 - Panorama des technologies
1.3 - Mécanismes de base de PGP et de S/MIME

Tableau 1 - Algorithmes utilisés par OpenPGP et S/MIME

2 - FONCTIONS DE SÉCURITÉ COMMUNES À PGP ET S/MIME

2.1 - Gestion des clés
2.2 - Signature électronique des messages
2.3 - Chiffrement des messages
2.4 - Signature et chiffrement simultanés

3 - ÉCHANGE ET VÉRIFICATION DES CLÉS PUBLIQUES DANS LE CAS DE PGP

3.1 - Échange direct entre utilisateurs
3.2 - Échange via un serveur de clés
3.3 - Vérification des clés publiques : toile de confiance

4 - ÉCHANGE ET VÉRIFICATION DES CLÉS PUBLIQUES DANS LE CAS DE S/MIME

4.1 - Certificats S/MIME
4.2 - Obtention de certificats S/MIME
4.3 - Échange des certificats S/MIME
4.4 - Validité des certificats S/MIME

5 - FORMAT DES MESSAGES

6 - OUTILS

6.1 - PGP
6.2 - GnuPG
6.3 - Outils S/MIME

7 - CONCLUSION

Bibliographie & annexes

Présentation

RÉSUMÉ

La messagerie électronique représente l'un des usages majeurs du Web, avec un besoin de sécurisation très important. Les protocoles PGP et S/MIME assurent, au moyen de méthodes cryptographiques, mais de façons différentes, l’authentification des utilisateurs ainsi que la confidentialité et l’intégrité des échanges. Cet article présente et compare les caractéristiques des deux protocoles et les implémentations possibles.

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

Auteur(s)

Patrick MAIGRON : Ingénieur d’études à l’Institut national des télécommunications (GET/INT) , Évry

INTRODUCTION

La messagerie électronique est l’une des applications Internet les plus utilisées, avec les technologies Web. Devenue le moyen de communication principal pour de nombreuses entreprises, son utilisation dans le cadre de l’échange de documents sensibles ou confidentiels n’est pas sans poser de problèmes. Les protocoles normalisés qui permettent de mettre en œuvre les applications de messagerie ont en effet été conçus dans les années 1970, époque à laquelle les questions de sécurité sur Internet n’étaient pas encore d’actualité.

Les deux techniques les plus utilisées pour intégrer des fonctions de sécurité à la messagerie électronique sont PGP (Pretty Good Privacy) et S/MIME (Secure MIME). Ces deux technologies concurrentes permettent en effet, au moyen de méthodes cryptographiques largement utilisées par ailleurs dans le domaine de la sécurité des réseaux, d’assurer l’authentification des utilisateurs ainsi que la confidentialité et l’intégrité des échanges.

Après avoir mis en évidence les différents problèmes inhérents à la messagerie électronique classique, nous présenterons dans une première partie les mécanismes de base utilisés par ces deux technologies et en quoi elles permettent de répondre à ces problèmes. Nous détaillerons ensuite les fonctions de sécurité communes à PGP et à S/MIME : création de clés, révocation de clés, signature électronique des messages, chiffrement des messages. Puis nous décrirons les différentes méthodes d’échange de clés publiques entre utilisateurs et montrerons qu’il est nécessaire, pour obtenir un niveau de sécurité suffisant, de valider les clés publiques obtenues. L’une des différences principales entre PGP et S/MIME vient du modèle de sécurité utilisé pour valider les clés publiques : un modèle décentralisé pour PGP, où chaque utilisateur est chargé de faire certifier lui-même sa propre clé publique, et un modèle centralisé pour S/MIME, où la certification est à la charge d’autorités de certification dûment accréditées. Nous décrirons successivement ces deux modèles de sécurité. Enfin, nous présenterons les différents formats de messages utilisés par PGP et S/MIME, ainsi que les principales implémentations disponibles actuellement. Nous conclurons par une comparaison entre les deux technologies.

Cet article est réservé aux abonnés.
Il vous reste 95% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.

+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.

De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v1-h5330

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(75 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Présentation

Page
suivante

Problématique

7. Conclusion

Les deux technologies PGP et S/MIME permettent de sécuriser les échanges électroniques entre utilisateurs au moyen de techniques de signature et de chiffrement, en se basant sur des algorithmes cryptographiques existants et fiables. Elles assurent à la fois l’authentification et la non-répudiation de l’émetteur, ainsi que la confidentialité et l’intégrité des échanges.

Les mécanismes utilisés par PGP et S/MIME pour la signature électronique et le chiffrement sont identiques. La véritable différence entre ces deux technologies réside dans le modèle de confiance permettant d’associer des clés publiques à leurs propriétaires. Avec le modèle décentralisé de PGP, la confiance repose entièrement sur les utilisateurs : ils sont chargés de créer leurs propres clés, de les diffuser sur des serveurs de clés, de les faire certifier par leurs correspondants et de certifier les leurs en retour, et même de définir le niveau de confiance qu’ils assignent à ces correspondants. Pour faciliter la certification mutuelle des clés publiques à plus grande échelle, des sessions de signature de clés (key signing parties) sont parfois organisées à l’occasion de conférences internationales.

Le modèle centralisé de S/MIME est totalement différent, puisque la confiance repose uniquement sur une hiérarchie d’autorités de certification, et aucunement sur les utilisateurs. La tâche de ceux-ci est largement simplifiée par rapport à PGP, puisque ce sont les autorités de certification qui ont en charge la création des certificats, leur stockage et leur diffusion, ainsi que la diffusion des certificats de révocation éventuels.

Outre le modèle de confiance, PGP et S/MIME diffèrent également par certains choix de conception des protocoles : les algorithmes cryptographiques utilisables, le format des certificats, les types MIME utilisés dans les messages échangés, le codage en ASCII 7 bits des messages signés et chiffrés... Tout cela concourt à rendre les deux technologies difficilement interopérables.

L’avantage de PGP est son antériorité et une base d’utilisateurs installée, essentiellement dans la communauté du logiciel libre. Son faible coût peut également être mis en avant : des implémentations sont disponibles gratuitement, et chacun crée son propre certificat, alors que les certificats S/MIME sont souvent payants. Les implémentations de PGP sont en général...

Cet article est réservé aux abonnés.
Il vous reste 93% à découvrir.