Déchiffrer les données d'un utilisateur avec une ancienne clé ou une clé de délégation

Avec les clés de déchiffrement, SDS Enterprise permet de déchiffrer des fichiers et messages de manière transparente alors qu’ils sont chiffrés avec une clé différente de la clé de chiffrement courante de l'utilisateur.

SDS Enterprise gère deux types de clés de déchiffrement :

  • Les anciennes clés personnelles. Si l'utilisateur effectue le renouvellement de sa clé de chiffrement (ou de la clé personnelle), son ancienne clé est automatiquement déplacée dans les clés de déchiffrement qu'il possède déjà,
  • Les clés de délégation. Il s’agit des clés de chiffrement que des collaborateurs peuvent confier à un utilisateur afin de lui permettre de déchiffrer des fichiers ou messages chiffrés à leur attention.

La délégation de déchiffrement consiste à permettre à un utilisateur A de déchiffrer les messages ou fichiers chiffrés pour un utilisateur B en son absence. Il faut pour cela confier à l'utilisateur A la clé de chiffrement de l'utilisateur B.

Muni de la clé de chiffrement, l'utilisateur A ne pourra que déchiffrer les messages. Afin d'être certain qu'il ne puisse signer à la place de l'utilisateur B, nous recommandons d'utiliser des clés de chiffrement et de signature séparées.

Pour mettre en place la délégation, l'utilisateur B doit exporter sa clé de chiffrement depuis son compte SDS Enterprise, puis l'utilisateur A doit l'importer dans son compte SDS Enterprise en suivant les étapes suivantes :

  1. L'utilisateur B se connecte à son compte SDS Enterprise depuis l'icône icône SDSE grisée dans la barre des tâches.

  2. Il double-clique sur Porte-clés.

  3. Dans l'onglet Chiffrement, il sélectionne le menu Opérations > Exporter votre clé.

  4. L'utilisateur B transmet le fichier exporté à l'utilisateur A.

  5. L'utilisateur A se connecte à son compte SDS Enterprise.

  6. Il double-clique sur Porte-clés.

  7. Dans l'onglet Déchiffrement, il sélectionne le menu Opérations > Importer une clé.

  8. Il renseigne le nom du fichier contenant la clé à importer et le mot de passe.

    SDS Enterprise affiche la liste des certificats présents dans le fichier, c'est-à-dire le certificat associé à la clé contenue dans le fichier, avec éventuellement sa parenté.

  9. Pour visualiser un certificat de la liste, l'utilisateur peut cliquer dessus.
  10. L'utilisateur A coche les certificats parents s'il souhaite les importer dans son annuaire de confiance puis il passe à l'écran suivant.
  11. Il sélectionne le type de clé à importer (délégation ou ancienne clé), puis passe à l'écran suivant.
  12. Il clique sur Terminer et vérifie le résultat de l'opération.

    La clé importée s'affiche alors dans la liste :

  13. Dans la liste, l'utilisateur peut faire un clic droit sur la clé pour la renommer, afficher ses propriétés ou la supprimer quand la délégation n'est plus nécessaire par exemple.

NOTE

Les clés de chiffrement ainsi importées dans un compte ne peuvent pas être exportées. La personne qui a reçu la délégation ne peut donc pas la transmettre à son tour.

SDS Enterprise gère également les clés de déchiffrement de messages au format OpenPGP. Ces clés sont utilisées par la fonctionnalité Stormshield Data Mail pour lire des messages sécurisés par les applications PGP, GnuPGP ou toute application compatible avec le format OpenPGP.

Lorsque Stormshield Data Mail est installé sur la machine, l'onglet Porte-clés OpenPGP dans les propriétés du compte de l'utilisateur permet de gérer ces clés.

Pour importer un porte-clés OpenPGP :

  1. Sur le poste de l'utilisateur, faites un clic droit sur l'icône SDS Enterprise icône SDS Enterprise depuis la barre des tâches Windows.
  2. Sélectionnez Propriétés.
  3. Sélectionnez l'onglet Configuration.
  4. Double-cliquez sur l'icône Porte-clés.
  5. Sélectionnez l'onglet Porte-clés OpenPGP.
  6. Cliquez sur Opérations puis Importer un porte-clés.
  7. Sélectionnez un fichier au format OpenPGP (.gpg, .pgpou .asc). Le fichier peut contenir plusieurs clés.
  8. Saisissez le mot de passe protégeant le fichier.