Le certificat OpenPGP

Le certificat est constitué d'une paire de clés : une clé privée et une clé publique.
La clé privée (ou "secrète"), conservée par vous, sert à signer (ou à chiffrer) les documents ou méls. Elle est protégée par une phrase de passe.
La clé publique, diffusée à vos correspondants, sert à ceux-ci à vérifier la validité de votre signature (ou à déchiffrer).

Créer un certificat OpenPGP

Pour signer des fichiers : à l'aide d'un gestionnaire de clés

Remarque : les gestionnaires de clés sont des interfaces graphiques pour le logiciel GnuPG.

[GNU/Linux] Par exemple Gnome Seahorse, intégré notamment dans Ubuntu et Linux Mint.

[Windows] Par exemple Gpg4win.

Lancer l'application. Utiliser le menu ou le bouton ajouter (icône +) pour créer une clé GPG ou PGP.

Définissez l'identité (nom + adresse mél) et un éventuel délai d'expiration. Vous pouvez laisser les paramètres avancés tels quels si vous ne savez pas à quoi cela correspond. Appuyez sur le bouton "Créer". Une phrase de passe ( = mot de passe long) est nécessaire pour sécuriser la clé privée.

Une fois la paire de clés créée, celle-ci apparaît dans le gestionnaire.

Export de la clé publique

[Seahorse] Sélectionnez la paire de clés et utilisez le clic-droit pour ouvrir les propriétés de la clé. Utilisez ensuite le menu ☰ pour exporter la clé publique vers un fichier. Cela créé un fichier d'extension .asc à l'endroit désigné.

Remarque : si le fichier exporté a l'extension .pgp ou .gpg il contient la paire de clé et non la seule clé publique. Utilisez le bon menu pour n'exporter que la clé publique.

Pour signer des méls : à l'aide du gestionnaire de clés de Thunderbird

À noter : les clés définies dans Thunderbird et celles définies dans le gestionnaire de clé du système ne sont pas partagées. Si vous souhaitez utilisez une même clé dans les deux gestionnaires, vous devez l'y recopier par une opération d'export et d'import.

Dans l'application Thunderbird, ouvrez le menu "Outils" puis "Gestionnaire de clés OpenPGP".

Dans la fenêtre du gestionnaire, ouvrez le menu "Génération" puis "Nouvelle paire de clés".

Choisissez l'identité (nom + adresse mél) et un éventuel délai d'expiration. Vous pouvez laisser les paramètres avancés tels quels si vous ne savez pas à quoi cela correspond. Appuyez sur le bouton "Générer la clé".

Une fois la paire de clés créée, celle-ci apparaît dans le gestionnaire.

Export de la clé publique

Sélectionnez-la et utilisez le menu "Fichier" puis "Exportez une clé publique vers un fichier". Cela créé un fichier d'extension .asc à l'endroit désigné.

Transmettre la clé publique à vos correspondants

Méthode 1 : publier la clé sur un serveur de clé

Cette méthode permet à n'importe qui de trouver votre clé publique en interrogeant les serveurs publics.

Utilisez le menu de votre gestionnaire de clé pour exporter la clé vers le serveur de votre choix.

Méthode 2 : transférer manuellement

Cette méthode permet de n'envoyer votre clé publique qu'à des personnes en particulier.

Envoyez le fichier .asc à votre correspondant par un moyen habituel (mél, tchat, etc.).
Si vous utilisez le gestionnaire de clé de Thunderbird, sélectionnez la clé et utilisez le menu "Fichier" puis "Envoyer par courriel".

Remarque : si vous utilisez Thunderbird pour signer vos courriels, celui-ci peut être est configuré pour envoyer systématiquement la clé publique avec le courriel. Cette option de configuration se trouve dans les paramètres du compte concerné (ou de l'identité si le compte en a plusieurs), onglet "Chiffrement de bout en bout" > "Paramètres avancés".

Sauvegarder les clés

Ceci est vivement recommandé car l'ordinateur qui contient vos clés peut-être volé ou tomber en panne.

Vous pouvez enregistrer la paire de clé, ou seulement la clé privée (secrète) dans un fichier depuis le gestionnaire de clé. Copiez-le ensuite vers un support de sauvegarde.

Vous pouvez aussi sauvegarder l'ensemble des clés (y compris celles qui vous ont été transmises) en copiant simplement le dossier qui les contient vers un support de sauvegarde.

[GNU/Linux] il s'agit du dossier .gnupg situé dans votre dossier personnel (affichez les fichiers cachés pour le voir depuis votre gestionnaire de fichiers).

[Thunderbird] les clés se trouvent dans le dossier de profil de l'utilisateur.

Utiliser le certificat pour signer

Signer un document édité avec LibreOffice

Ouvrez le document dans LibreOffice. Si vous l'avez modifié, enregistrez-le.

Ouvrez le menu Fichier > Signatures numériques > Signatures numériques...

Dans la fenêtre des signatures numériques, appuyez sur le bouton "Signer le document...", entrez votre mot de passe administrateur pour déverrouiller les certificats. Dans la fenêtre de sélection du certificat sélectionnez celui que vous souhaitez utiliser et cliquez sur le bouton "Signer". Entrez la phrase de passe associée à la clé privée. Puis cliquez sur le bouton "Fermer".
Un bandeau bleu pâle indique que le document est signé.

La signature est intégrée dans le document lui-même.

Signer un document PDF avec LibreOffice et un certificat x509

Signer un PDF existant

Ouvrez le menu Fichier > Signatures numériques > Signer un PDF existant...

Sélectionnez le fichier PDF sur votre disque et ouvez-le.

Dans le bandeau bleu pâle cliquez sur le bouton "Signer le document".

Dans la fenêtre des signatures numériques, appuyez sur le bouton "Signer le document...", entrez votre mot de passe administrateur pour déverrouiller les certificats. Dans la fenêtre de sélection du certificat sélectionnez* celui que vous souhaitez utiliser et cliquez sur le bouton "Signer". Suivez la procédure.

Signer au moment de l'export de votre document en PDF

Ouvrez le menu Fichier > Exporter vers > Exporter au format PDF...

Dans la fenêtre de dialogue, ouvrez l'onglet Signatures numériques et cliquez sur le bouton "Sélectionner..." pour choisir le certificat*. Suivez la procédure.

Remarques :

* Seuls les certificats x509 sont utilisables pour signer un PDF. Si aucun certificat n'apparaît, utilisez la méthode suivante pour signer avec un certificat OpenPGP.

La signature est intégrée dans le document lui-même.

Signer un document quelconque avec votre gestionnaire de fichiers

[GNU/Linux] Certains gestionnaires de fichiers peuvent avoir une entrée du menu contextuel permettant de signer un fichier. Pour cela il faut leur ajouter une extension.

  • Pour Nautilus (= Gnome Fichiers), installez le paquet Seahorse-nautilus
  • Pour Nemo (utilisé dans Cinnamon), installez le paquet Nemo-seahorse
  • Pour Caja (utilisé dans MATE), installez le paquet Caja-seahorse
  • Pour Thunar (utilisé dans Xfce), vous devez créer une action personnalisée, voir tutoriel ubuntu-fr.org
    • pour signer utilisez la commande xfce4-terminal -e "gpg -b %f"

Si vous ne parvenez pas à créer une entrée de menu, vous pouvez toujours utiliser une commande dans un terminal : ouvrez le terminal dans le dossier où se trouve le fichier à signer. Entrez la commande :

gpg -b nom-du-fichier

et validez avec la touche <Entrée>.

La signature s'effectue avec la clé privée par défaut (si vous en avez plusieurs, indiquez dans le gestionnaire de clé celle qui doit être utilisée par défaut).

L'action de signer créé un nouveau fichier ayant le même nom que le fichier signé et l'extension .sig (signature détachée). Ou avec d'autres options : .asc ou .gpg. Vous devez expédier ce fichier de signature en même temps que le fichier signé.

Signer un courrier électronique avec Thunderbird

Dans la fenêtre de rédaction du courriel, ouvrez le menu "Sécurité" ou cliquer sur le bouton "OpenPGP" pour ouvrir un menu ou il est possible de sélectionner l'action de signer.

Si le menu et le bouton sont grisés, cela signifie que vous devez au préalable indiquer dans les paramètres du compte (ou de l'identité), onglet "chiffrement de bout en bout", la clé à utiliser.

Si vous souhaitez que l'action de signer soit active par défaut, cochez la case "Signer les messages non chiffrés" dans les paramètres sus-cités.

Vérifier la signature d'un document ou d'un mél

Prélable

Pour effectuer la vérification vous devez vous être procuré la clé publique du signataire.

Puis l'avoir importée dans le gestionnaire de clé de Thunderbird et/ou dans celui installé dans votre système.

Vérification

Thunderbird vous indiquera automatiquement si un mél est signé avec l'une des clés importées : cliquez sur le bouton "OpenPGP" situé à droite du sujet du mél reçu ouvert, pour afficher les détails.

LibreOffice vous indiquera automatiquement si un document OpenDocument est signé avec l'une des clés importées, à l'aide d'un bandeau coloré situé au dessus du contenu du document.

Pour les autres fichiers, accompagnés d'un fichier de signature, ouvrez le fichier .sig avec "Vérifiez la signature" : une notification vous indiquera si la signature est correcte.

Liens utiles

Documentation Gnupg sur ubuntu-fr.org

https://doc.ubuntu-fr.org/gnupg

Documentation LibreOffice : signatures numériques

https://help.libreoffice.org/latest/fr/text/shared/guide/digital_signatures.html

FAQ Thunderbird : OpenPGP

https://support.mozilla.org/fr/kb/openpgp-thunderbird-guide-faq