Chiffrement de mail: PKI ou PGP ?

Par Jean-Julien | 30/05/2018

Le chiffrement de mail: PKI ou PGP ?

Le chiffrement de courriers électroniques s’appuie en général sur des technologies de cryptographie asymétrique. Dès lors, le principal challenge est la possibilité pour un utilisateur de trouver de manière fiable et sécurisée la clé publique du ou des destinataires du mail, afin de chiffrer les données à l’aide de cette clé. Le ou les destinataire(s) pourront alors les déchiffrer à l’aide de leur clé privée.

Ces clés publiques sont en pratique encapsulées dans des certificats numériques, et l’enjeu est alors le modèle utilisé pour la distribution de ces certificats. Il existe deux alternatives populaires pour gérer les certificats de chiffrement de mails:

  • La PKI (Public Key Infrastructure), qui gère les certificats sur un modèle hiérarchique de tiers de confiance: un utilisateur délègue à une Autorité de Certification la confiance qu’il a dans le fait que le certificat assure l’identité de son porteur. Ce système est analogue à le distribution des certificats SSL, ou, plus couramment, au système de gestion des passeports (on fait alors confiance à l’Etat pour assurer l’identité du porteur).
  • Le PGP (Pretty Good Privacy), qui gère les certificats sur un modèle de “cercle de confiance” (Ring Of Trust): un utilisateur fait explicitement confiance au certificat d’un autre utilisateur, par exemple après avoir vérifié son identifiant de clé en face à face. La confiance qu’un utilisateur A a dans le certificat d’un utilisateur B est déclarée auprès d’un serveur de clé, et propagée aux autres utilisateurs qui ont déjà confiance dans le certificat de l’utilisateur A. De proche en proche, ceci permet de construire une confiance élargie.

oui, mais, que choisir ?

En pratique, les deux technologies sont assez complémentaires:

  • Le modèle PKI est très efficace lorsque tous les utilisateurs peuvent se rattacher à la même organisation, ce qui est le cas par exemple au sein d’une entreprise
  • Le modèle PGP se révèle à l’inverse particulièrement pertinent en l’absence de structure cadre, par exemple pour les échanges entre les employés d’une entreprise et ses partenaires

Ajoutons à cela que quelques solutions existent, comme celle de Prim’X, de Stormshield ou de Secardeo, afin d’étendre le périmètre de la PKI, en facilitant le partage des certificats au delà des limites de l’organisation émettrice.

Il est à noter en tous cas que le sujet est particulièrement d’actualité, tant la protection des données et notamment des données personnelles fait régulièrement la une des journaux, et sans évoquer même le RGPD. En tous cas, grâce à notre expérience sur le sujet, les consultants EverTrust peuvent vous accompagner dans la mise en place de ce type de solution.