Résumé: S / MIME et PGP fournissent tous deux un «courrier électronique sécurisé», mais utilisent des encodages, des formats, des outils utilisateur et des modèles de distribution de clés distincts.

S / MIME repose sur MIME et CMS. MIME est un moyen standard de mettre des données arbitraires dans des e-mails, avec un «type» (une indication explicite de ce que les données sont censées signifier) ​​et des milliards de règles de codage et d'autres détails d'interopérabilité. CMS signifie "Cryptographic Message Syntax": c'est un format binaire pour crypter et signer des données. CMS s'appuie sur des certificats X.509 pour la distribution des clés publiques. X.509 a été conçu pour prendre en charge une PKI hiérarchique descendante: un petit nombre d '«autorités de certification racine» délivrent (c'est-à-dire signent) des certificats pour de nombreux utilisateurs (ou éventuellement une autorité de certification intermédiaire); un certificat utilisateur contient son nom (dans un contexte de messagerie, son adresse de messagerie) et sa clé publique, et est signé par une autorité de certification. Quelqu'un souhaitant envoyer un e-mail à Bob utilisera le certificat de Bob pour obtenir sa clé publique (nécessaire pour crypter l'e-mail, afin que seul Bob puisse le lire); vérifier la signature sur le certificat de Bob est un moyen de s'assurer que la liaison est authentique, c'est-à-dire qu'il s'agit bien de la clé publique de Bob, pas de la clé publique de quelqu'un d'autre.

PGP est en fait une implémentation du standard OpenPGP (historiquement, OpenPGP était défini comme un moyen de standardiser ce que faisait le logiciel PGP préexistant, mais il existe maintenant d'autres implémentations, en particulier l'open source gratuit GnuPG). OpenPGP définit ses propres méthodes de cryptage (fonctionnalités similaires à celles du CMS) et formats de codage, en particulier une couche de codage appelée "ASCII Armor" qui permet aux données binaires de voyager indemnes dans les e-mails (mais vous pouvez également mélanger MIME et OpenPGP). Pour la distribution de clés publiques, OpenPGP s'appuie sur Web of Trust: vous pouvez voir cela comme une PKI décentralisée où tout le monde est une autorité de certification potentielle. Le fondement de la sécurité de WoT est la redondance : vous pouvez faire confiance à une clé publique car elle a été signée par beaucoup de personnes (l’idée étant que si un attaquant "ne peut pas tromper tout le monde pour un longtemps ").

Théoriquement , dans un contexte d'entreprise, WoT ne fonctionne pas bien; L'infrastructure PKI hiérarchique X.509 est plus appropriée, car elle peut être adaptée à la structure décisionnelle des entreprises envisagées, alors que WoT repose sur les employés qui prennent leurs propres décisions en matière de politique de sécurité.

En pratique , bien que la plupart des logiciels de messagerie implémentent déjà S / MIME (même Outlook Express a implémenté S / MIME depuis environ une décennie), le processus d'inscription des certificats est complexe avec des interactions avec des entités externes, et nécessite des interventions manuelles. La prise en charge d'OpenPGP nécessite généralement l'ajout d'un plugin, mais ce plugin est livré avec tout ce qui est nécessaire pour gérer les clés. Le Web of Trust n'est pas vraiment utilisé: les gens échangent leurs clés publiques et assurent la liaison sur un autre support (par exemple en épelant «l'empreinte digitale de la clé» - une valeur de hachage de la clé - par téléphone). Ensuite, les gens conservent une copie des clés publiques des personnes avec lesquelles ils échangent habituellement des courriels (dans le "trousseau" de PGP), ce qui garantit une sécurité appropriée et sans tracas. Lorsque j'ai besoin d'échanger des e-mails sécurisés avec des clients, j'utilise PGP de cette façon.

OpenPGP est également utilisé, comme format de signature, pour d'autres tâches non liées aux e-mails, telles que la signature numérique de progiciels dans certaines distributions Linux (au moins Debian et Ubuntu le font).

Toutes les adresses IP sont conçues pour faciliter le flux sécurisé et fluide de la transmission de données en réseau. S / MIME et PGP sont tous deux des protocoles utilisés pour l'authentification et la confidentialité des messages sur Internet. PGP, signifie Pretty Good Privacy, est un programme informatique de cryptage et de décryptage de données qui offre une confidentialité cryptographique et une authentification pour la transmission de données Internet. PGP est largement utilisé pour signer, crypter et décrypter des données électroniques afin de maximiser les problèmes de sécurité liés à l'échange de données. Le protocole S / MIME fait référence aux extensions de messagerie Internet sécurisées / polyvalentes. S / MIME est récemment inclus dans les dernières versions des navigateurs Web de sociétés de logiciels renommées telles que Microsoft et Netscape et a également été largement accepté par de nombreux fournisseurs dans le monde entier. Il est également utilisé en tant que norme pour le chiffrement à clé publique et la signature des données MIME. S / MIME est basé sur une norme IETF et le plus souvent défini dans les documents RFC. S / MIME fournit des services d'authentification, d'intégrité des messages et de non-répudiation de l'origine et de sécurité des données pour les applications de transmission de données électroniques.

S / MIME est très similaire à PGP et à ses prédécesseurs. S / MIME est dérivé du format de données PKCS # 7 pour les messages et du format X.509v3 pour les certificats. Le chiffrement PGP utilise une combinaison série de hachage, de compression de données, de chiffrement à clé symétrique et de chiffrement à clé publique.

Lors de l'utilisation de PGP, un utilisateur a la possibilité de donner directement une clé publique à un autre utilisateur ou à le second utilisateur peut obtenir la clé publique du premier utilisateur. PGP n'impose pas de politique de création de confiance et chaque utilisateur est donc libre de décider de la durée de confiance des clés reçues. Avec le S / MIME, l'expéditeur ou le destinataire ne compte pas sur l'échange de clés à l'avance et partage un certificateur commun sur lequel les deux peuvent compter.

S / MIME est considéré comme supérieur à PGP d'un point de vue administratif en raison de sa force, de sa prise en charge de la gestion centralisée des clés via des serveurs de certificats X.509 et de son support industriel étendu. PGP est plus compliqué du point de vue de l'utilisateur final, car il nécessite des plug-ins ou des téléchargements supplémentaires pour fonctionner. Le protocole S / MIME permet à la plupart des fournisseurs d'envoyer et de recevoir des e-mails chiffrés sans utiliser de logiciel supplémentaire.

S / MIME est pratique en raison de la transformation sécurisée de toutes les applications telles que les feuilles de calcul, les graphiques, les présentations, les films, etc., mais PGP a été créé pour répondre aux problèmes de sécurité des courriers électroniques ou des messages texte. S / MIME est également très abordable en termes de coût.

Résumé: Les protocoles S / MIME et PGP utilisent différents formats pour l'échange de clés.PGP dépend de l'échange de clés de chaque utilisateur S / MIME utilise un certificateur validé hiérarchiquement pour l'échange de clés.PGP a été développé pour résoudre les problèmes de sécurité des messages en texte brut. Mais S / MIME est conçu pour sécuriser toutes sortes de pièces jointes / fichiers de données.De nos jours, S / MIME est connu pour dominer l'industrie électronique sécurisée car il est incorporé dans de nombreux paquets de courrier électronique commerciaux. Les produits / MIME sont plus facilement disponibles, et pour des prix inférieurs à ceux des produits PGP.

Si vous «lisez entre les lignes» aux entrées de wikipedia, vous pouvez vous rapprocher d'une réponse. S / MIME:

est une norme pour le cryptage à clé publique et la signature de données MIME

où MIME est la norme pour transportant plus qu'un simple texte ASCII sur le système de messagerie SMTP d'origine. Vous intégrez S / MIME à vos certificats numériques, achetés (donc tamponnés et certifiés par une CA) ou produits localement (donc auto-signés).

Quant à PGP, je le décrirais comme une application externe gérant le cryptage / signature qui peut s'intégrer de manière transparente à votre application de messagerie et fournir de tels services. Chaque utilisateur obtient sa paire de clés publique-privée et l'utilise pour toutes les opérations.

Comme indiqué par @chris, les modèles de confiance sur lesquels chacun opère sont légèrement différents, mais à mon humble avis, cela n'en fait pas un ou l'autre moins sûr.

En pratique, les deux solutions ont des touches plus ou moins interchangeables. Vous pouvez utiliser une paire de clés émise par PGP avec le S / MIME de votre application de messagerie et (je pense) vice-versa. Quelqu'un, s'il vous plaît, corrigez-moi sur ce dernier ...

Le principal facteur décisif pour moi serait le coût:

PGP : solution logicielle correspondant à vos besoins + frais de renouvellement du logiciel + frais administratifs pour les échanges de clés

par rapport à:

S / MIME : coût administratif de fonctionnement d'un serveur de certificats pour les certificats produits localement + administratif les frais de distribution des clés publiques OU le coût d'achat des certificats auprès d'une autorité de certification + les frais de renouvellement

N'oubliez pas que la plupart des clients de messagerie prennent déjà en charge S / MIME «prêt à l'emploi», ce qui réduit les coûts d'origine dans ce cas .

S / MIME dépend de la PKI SSL: vous avez un certificat SSL avec votre clé publique, et le fait qu'il soit signé par une autorité de certification (CA) "prouve" qu'il s'agit bien de votre clé. PGP en revanche n'a pas de PKI: vous vérifiez si la clé publique d'une personne lui appartient vraiment en le faisant dire tout en montrant son passeport (signataire de la clé) ou en lui faisant confiance car beaucoup d'autres personnes ont fait cette vérification et ont signé sa clé.

Avec les récents développements en matière de sécurité CA, je dirais qu'il y a une très grande raison de ne pas faire confiance à S / MIME :-) Alors que le modèle PGP "web of trust" n'est pas aussi simple utilisé en tant que S / MIME, il offre beaucoup plus de sécurité si vous faites l'effort.

Les deux systèmes finissent par utiliser un cryptage asymétrique en passant, ils diffèrent vraiment dans la façon dont la confiance dans une clé publique est établie.

Quelques années plus tard, mais je pense que cela devrait être important. En Europe, les signatures numériques doivent utiliser CMS en raison des extensions définies (CAdES, XAdES, etc.).

Par conséquent, PGP est inutile dans ce domaine et S / MIME est la seule voie à suivre.

Ajout de la perspective de 2018: efail s'est produit. Cela ajoute une perspective intéressante, car au début, OpenPGP et S / MIME étaient vulnérables. Mais OpenPGP est principalement corrigé en raison de toutes les implémentations importantes rendant le MDC (contrôle de détection de modification) obligatoire. Le problème pour S / MIME est cependant qu'il n'y a rien de tel que MDC. Ainsi, il reste vulnérable. D'après ce que je comprends, c'est un argument important pour favoriser l'OpenPGP décentralisé par rapport à S / MIME.