Choisir PGP/MIME ou PGP/Inline

Contexte

Pour chiffrer ses mails, il existe deux standards de chiffrement, PGP/MIME ou PGP/Inline.

Les différences

PGP/MIME va mettre les données relatives à la signature (et au chiffrement ?) d'un mail dans une pièce jointe de type application/pgp-signature et va l'appeler signature.asc.

PGP/Inline va mettre les données relatives dans le corps de l'email. Par exemple :

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

This is a uselesss text.

- -- 
Vigdis
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1
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=yvt4
-----END PGP SIGNATURE-----

Vous pouvez tester, la signature doit être bonne :)

So what ?

YUNOCHOOSEPGP/MIME

Le choix par défaut sur enigmail est d'utiliser Inline. Et comme la majorité des utilisateurs d'enigmail utilisent thunderbird + enigmail pour découvrir les mails chiffrés (pour quelles autres raisons peut on utiliser ce gros logiciel :p), ils utilisent les options par défaut donc Inline.

ETOOMUCHVERBOSITY

Le problème c'est que ça pollue le mail. L'autre jour sur une ML, plusieurs participants ont envoyé une série de très courts mails lors d'une discussion (vu les échanges (tailles, rapidité de réponses) on aurait pu se croire sur un chat (xmpp ou irc)). La plupart utilisait PGP/Inline et au final je passais plus de temps dans chaque mail à chercher où était le contenu écrit par l'humain qu'à lire le message en lui même.

Pauvre M{me,.} Michu

De plus pour quelqu'un qui ne sait pas vérifier une signature, dans le cas de PGP/MIME, la personne ne saura pas ce qu'est cette pièce jointe et l'ignorera, dans l'autre cas, elle verra un mail dégueulassé par ces caractères aléatoires et ne va pas comprendre.

Qu'on ne me dise pas "ouais mais dans ce cas je lui parlerai du chiffrement des mails", si vous voulez convaincre, mettez en signature une rapide explication et invitant à vous demander plus d'explications.

Pénibles mais en plus dangeureuses ?

Et pour finir, un article qui considère que les signatures avec PGP/Inline sont dangeureuses : https://dkg.fifthhorseman.net/notes/inline-pgp-harmful/ (en aglais)

By Vigdis in
Tags : #mail, #gpg,
g+ linkedin email