Chiffrement du courrier électronique S/MIME#

Conditions préalables#

Il existe deux normes largement utilisées pour le cryptage des e-mails.

  • OpenPGP/GnuPG est populaire parmi les particuliers,

  • S/MIME/X.509 est surtout utilisé par les entreprises.

Le Nitrokey HSM 2 prend actuellement en charge la norme S/MIME/X.509. Cette page décrit l’utilisation du cryptage des e-mails S/MIME.

Vous devez acheter un certificat S/MIME (par exemple sur le site CERTUM) ou vous en avez peut-être déjà un dans votre entreprise. De plus, vous devez installer OpenSC sur votre système. Alors que les utilisateurs de GNU/Linux peuvent généralement installer OpenSC via le gestionnaire de paquets (par exemple sudo apt install opensc sur Ubuntu), les utilisateurs de macOS et Windows peuvent télécharger les fichiers d’installation depuis la page OpenSC.

Importer une clé et un certificat existants#

Les instructions suivantes sont basées sur le wiki d’OpenSC. Nous supposerons, que vous avez déjà obtenu une paire clé-certificat sous forme de fichier .p12. Veuillez jeter un coup d’œil à la page wiki, si vous avez obtenu un fichier séparé de clé et de certificat.

Pour ouvrir la ligne de commande de Windows, appuyez sur la touche Windows et sur la touche R. Tapez ensuite “cmd.exe” dans le champ de texte et appuyez sur la touche Entrée. Pour ouvrir un terminal sous macOS ou GNU/Linux, utilisez la recherche d’applications (par exemple Spotlight sous macOS).

Pour rendre ces commandes aussi simples que possible, le fichier .p12 doit se trouver dans votre dossier personnel. Sous Windows, c’est généralement C:\Users\yourusername et sous macOS et GNU/Linux, ce sera /home/yourusername. Si tu ne stockes pas le fichier .p12 à cet endroit, tu dois adapter le chemin dans les commandes ci-dessous. Veuillez brancher la Nitrokey avant de soumettre les commandes.

En supposant que votre fichier de certificat de clé soit “myprivate.p12”, les commandes pour Windows ressemblent à ceci :

"C:\Program Files\OpenSC Project\OpenSC\tools\pkcs15-init" --delete-objects privkey,pubkey --id 3 --store-private-key myprivate.p12 --format pkcs12 --auth-id 3 --verify-pin
"C:\Program Files\OpenSC Project\OpenSC\tools\pkcs15-init" --delete-objects privkey,pubkey --id 2 --store-private-key myprivate.p12 --format pkcs12 --auth-id 3 --verify-pin

et sur macOS et GNU/Linux, ce sera

$ pkcs15-init --delete-objects privkey,pubkey --id 3 --store-private-key myprivate.p12 --format pkcs12 --auth-id 3 --verify-pin
$ pkcs15-init --delete-objects privkey,pubkey --id 2 --store-private-key myprivate.p12 --format pkcs12 --auth-id 3 --verify-pin

Les deux commandes copient la paire clé-certificat dans le slot 2 (nécessaire au décryptage des emails) et le slot 3 (nécessaire à la signature). Le résultat ressemble à ceci sur les deux systèmes :

img1

Veuillez noter qu’il y aura des messages d’erreur qui peuvent être ignorés (voir l’exemple ci-dessus). Vous avez maintenant la paire clé-certificat chargée sur la Nitrokey.

Utilisation#

Vous trouverez de plus amples informations sur l’utilisation de ces pages :