6 votes

P i avatar

Comment envoyer un e-mail crypté en utilisant l'application Mail?

Demandé el 2 de Décembre, 2017
Quand la question a-t-elle été
302 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Alice aimerait envoyer un email sécurisé (chiffré S/MIME) à Bob. Tous deux utilisent des macs et l'application Mail. Ils créent tous deux des certificats auto-signés et sont en mesure d'échanger des emails signés, mais il semble qu'il n'y ait aucun moyen d'activer l'icône de cadenas.

Est-ce que quelqu'un pourrait l'instruire ?

Les détails sanglants d'une tentative échouée suivent :

Alice fait des recherches, découvre qu'elle doit créer un certificat auto-signé dans KeyChain.App qu'elle crée via l'assistant (Accès trousseau -> assistant certificat -> créer un certificat), en prenant soin de :

  • sélectionner "E-mail S/MIME"
  • cocher la case "me permettre de remplacer les paramètres par défaut"
  • dans "extension d'utilisation de clé", s'assurer que 'signature' et 'signature du certificat' sont cochés, ainsi que 'chiffrement de clé' et 'chiffrement de données'
  • dans "extension d'utilisation étendue de la clé", 'protection email' est déjà cochée, mais cocher 'quelconque' également au cas où

Il peut être utile de noter que l'email d'Alice apparaît sous la forme me@alice.com alors que l'adresse email réelle est sur Gmail : alice@gmail.com. Alice a découvert à ses dépens qu'elle doit utiliser alice@gmail.com dans l'assistant.

Elle redémarre l'application Mail. Effectivement, après avoir lu l'étape 3 ici, elle redémarre la machine.

Elle compose ensuite un email à Bob qui a fait de même.

Dans le champ objet, elle remarque deux nouvelles icônes : un cadenas (chiffré O/N) et une coche (signé O/N).

La coche est bleue. Donc le message qu'elle envoie sera signé. Cependant, le cadenas est grisé.

Maintenant, la documentation dit que si :

  1. Mail détecte son certificat (ce qui est clairement le cas) et
  2. Mail trouve également un certificat dans son trousseau pour Bob (ce qui est le cas, car Bob vient de lui envoyer un email signé et Mail a été assez intelligent pour ajouter automatiquement sa clé publique au trousseau -- elle peut le voir là-bas)

... alors elle devrait être en mesure de cliquer sur le cadenas pour chiffrer son email à Bob.

Mais cela ne semble pas se produire.

https://www.macobserver.com/tips/quick-tip/macos-using-email-encryption-apples-mail/ ^ L'étape 5 dit que la première fois qu'elle essaie d'envoyer un email signé, elle devrait obtenir ce dialogue. Mais cela ne s'est pas produit.

À ce stade, Alice commence à envisager sérieusement de se reconvertir dans l'art du jardinage paysager.

PS lien potentiellement utile :

Demandé el 2 de Décembre, 2017 par P i

Réponses

Trop de publicités?

2voto

not2savvy avatar
not2savvy Points 1457

C'est ainsi que cela fonctionne ici, avec l'aide d'un certificat racine auto-signé :

Étape 1 : Alice crée un certificat racine auto-signé

  • Dans l'application Keychain, sélectionnez Accès aux clés > Assistant de certificat > Créer une autorité de certification
  • Sélectionnez
    • Type d'identité : Autorité de certification racine auto-signée
    • Certificat utilisateur : S/MIME (E-mail)
    • Me permettre de remplacer les paramètres par défaut : oui
    • E-mail de : Entrez une adresse e-mail pour l'autorité de certification racine (pourrait être celle d'Alice)
    • Sur le prochain dialogue, sélectionnez Signer votre invitation : non - créez éventuellement un site web de l'AC
    • Sur le prochain dialogue, saisissez les données de l'AC souhaitées
    • Sur les deux prochains dialogues, laissez Informations de paire de clés comme telles
    • Sur le prochain dialogue Extension d'utilisation de clé
  • Inclure l'extension d'utilisation de clé: oui
  • Cette extension est critique : non
  • Sélectionnez : Signature, Signature de certificat (éventuellement plus, mais pas nécessaire pour un certificat racine)
  • Sur le prochain dialogue, laissez Extension d'utilisation de clé pour le certificat de l'utilisateur tel quel
  • Sur le prochain dialogue, définissez éventuellement Inclure l'extension d'utilisation de clé étendue = oui, si vous souhaitez utiliser l'AC racine pour autre chose que des certificats d'e-mail - mais laissez toujours Cette extension est critique = non
  • Sur le prochain dialogue, laissez Utiliser l'extension de contraintes de base = Utiliser ce certificat en tant qu'autorité de certification
  • Sur les dialogues restants, laissez les sélections telles qu'elles sont
  • Sur le dernier dialogue Spécifier un emplacement pour le certificat, vous pouvez sélectionner Système, et sélectionner aussi, Sur cet ordinateur, faire confiance aux certificats signés par cette AC = oui

Étape 2 : Alice et Bob font confiance à l'AC racine

  • Si Alice n'a pas déjà fait confiance au certificat de l'AC lors de l'étape précédente, elle sélectionne maintenant le nouveau certificat de l'AC racine dans son application Keychain et fait explicitement confiance au certificat de l'AC
  • Alice exporte le certificat public de l'AC au format .cer et le publie à Bob
  • Bob importe le certificat public et fait explicitement confiance à cet AC

Étant donné qu'Alice et Bob ont explicitement fait confiance à l'AC, tous les certificats signés par cette AC seront automatiquement considérés comme fiables sur leurs ordinateurs.

Étape 3 : Alice crée un certificat d'e-mail pour elle-même.

  • Dans l'application Keychain, sélectionnez Accès aux clés > Assistant de certificat > Créer un certificat
  • Entrez le nom d'Alice, puis sélectionnez
    • Type d'identité : Feuille
    • Certificat utilisateur : S/MIME (E-mail)
    • Me permettre de remplacer les paramètres par défaut : oui
  • Laissez le prochain dialogue (numéro de série, etc.) tel quel
  • Sur le prochain dialogue, pour Adresse e-mail, entrez l'adresse e-mail d'Alice pour laquelle ce certificat est destiné, remplissez éventuellement les champs restants comme désiré
  • Sur le prochain dialogue Choisir un émetteur, sélectionnez l'AC créée à l'étape 1
  • Sur le prochain dialogue, gardez Informations de paire de clés comme telles
  • Sur le prochain dialogue Extension d'utilisation de clé
  • Inclure l'extension d'utilisation de clé: oui
  • Cette extension est critique: oui
  • Sélectionnez : Signature, Chiffrement de clé (éventuellement, il semble possible d'ajouter Chiffrement de données, mais n'en ajoutez pas plus!)
    • Sur le prochain dialogue, laissez Extension d'utilisation de clé pour le certificat de l'utilisateur tel quel
  • Sur le prochain dialogue, définissez éventuellement Inclure l'extension d'utilisation de clé étendue = oui, mais définissez Cette extension est critique = no
    • Sélectionnez "Protection de l'e-mail*, ajoutez-en davantage si vous souhaitez utiliser le même certificat à d'autres fins
  • Sur le prochain dialogue, laissez Inclure l'extension de contraintes de base = no
  • Sur le prochain dialogue, sélectionnez Inclure l'extension de nom alternatif du sujet = oui
    • Laissez Cette extension est critique = no
    • Entrez l'adresse e-mail (à nouveau) dans le champ rfc822Name. Ajoutez éventuellement d'autres adresses e-mail, séparées par un espace, que vous pourriez vouloir utiliser pour le certificat
  • Sur le dernier dialogue Spécifier un emplacement pour le certificat, vous pouvez sélectionner Connexion

Étape 4 : Alice crée un certificat pour Bob

Maintenant, Alice répète l'étape 3 pour créer un certificat pour Bob, puis exporte son certificat au format .p12, le lui donne, et Bob l'importe dans son trousseau de clés.

Remarque : Ceci est la manière la plus facile de créer le certificat de Bob, mais ce n'est pas la manière recommandée. Cela est dû au fait qu'Alice crée la clé privée de Bob, donc Bob doit avoir confiance en Alice. En réalité, Bob utiliserait l'Assistant de certificat sur son ordinateur pour Demander un certificat à une autorité de certification.

Étape 5 : Alice et Bob s'envoient mutuellement des messages signés

Alice envoie un message e-mail signé à Bob, et Bob envoie un message e-mail signé à Alice. Si tout s'est bien passé, les signatures s'afficheront comme fiables car les deux font confiance au certificat de l'AC.

Étape 6 : Alice et Bob peuvent échanger des messages e-mail chiffrés

Chacun peut répondre au message signé en utilisant le chiffrement avec le message de réponse.

Répondu el 3 de Décembre, 2017 par not2savvy (1457 Points )

1voto

Oskar avatar
Oskar Points 1242

Cela ne va pas être facile. En fonction de la raison pour laquelle vous souhaitez utiliser un e-mail chiffré, il peut être beaucoup plus facile de consulter le modèle de menace et de dire - obtenez une application comme Signal qui gère les décisions de chiffrement et vous savez que vous envoyez des informations chiffrées uniquement en utilisant cette application.

Messages est également une option de chiffrement viable pour de nombreuses personnes, mais j'ai choisi Signal car il dispose de clients windows / linux / android et le courrier est généralement choisi lorsque vous avez besoin d'avoir un profil client OS aussi large que possible.

Sauf si vos utilisateurs de chiffrement sont plus formés que ce que le lien EFF ci-dessus exige pour utiliser Signal - passer à un e-mail sécurisé semble être un objectif beaucoup plus ambitieux et ce n'est pas quelque chose que vous pourriez expliquer en "trois paragraphes voici comment sécuriser un e-mail sur macOS et l'application de messagerie" pour rendre justice.

Maintenant, si le courrier est vraiment nécessaire, voici un service qui propose une application bridge pour faciliter le travail d'obtention de PGP dans les applications de messagerie de manière transparente.

Répondu el 2 de Décembre, 2017 par Oskar (1242 Points )

Questions en vedette

Top Tags

Dans notre réseau

LesApples.com

LesApples est une communauté de Apple où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres utilisateurs d'appareils Apple, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X