Choisir PGP/MIME ou PGP/Inline

Contexte

Pour chiffrer ses mails, il existe deux standards de chiffrement, PGP/MIME ou PGP/Inline.

Les différences

PGP/MIME va mettre les données relatives à la signature (et au chiffrement ?) d'un mail dans une pièce jointe de type application/pgp-signature et va l'appeler signature.asc.

PGP/Inline va mettre les données relatives dans le corps de l'email. Par exemple :

Vous pouvez tester, la signature doit être bonne :)

So what ?

YUNOCHOOSEPGP/MIME

Le choix par défaut sur enigmail est d'utiliser Inline. Et comme la majorité des utilisateurs d'enigmail utilisent thunderbird + enigmail pour découvrir les mails chiffrés (pour quelles autres raisons peut on utiliser ce gros logiciel :p), ils utilisent les options par défaut donc Inline.

ETOOMUCHVERBOSITY

Le problème c'est que ça pollue le mail. L'autre jour sur une ML, plusieurs participants ont envoyé une série de très courts mails lors d'une discussion (vu les échanges (tailles, rapidité de réponses) on aurait pu se croire sur un chat (xmpp ou irc)). La plupart utilisait PGP/Inline et au final je passais plus de temps dans chaque mail à chercher où était le contenu écrit par l'humain qu'à lire le message en lui même.

Pauvre M{me,.} Michu

De plus pour quelqu'un qui ne sait pas vérifier une signature, dans le cas de PGP/MIME, la personne ne saura pas ce qu'est cette pièce jointe et l'ignorera, dans l'autre cas, elle verra un mail dégueulassé par ces caractères aléatoires et ne va pas comprendre.

Qu'on ne me dise pas "ouais mais dans ce cas je lui parlerai du chiffrement des mails", si vous voulez convaincre, mettez en signature une rapide explication et invitant à vous demander plus d'explications.

Pénibles mais en plus dangeureuses ?

Et pour finir, un article qui considère que les signatures avec PGP/Inline sont dangeureuses : https://dkg.fifthhorseman.net/notes/inline-pgp-harmful/ (en aglais)