GPG : révoquer une clé

Article publié, le 23 Juillet 2017 et modifié le 4 Mars 2018
2 minutes de lecture

Cet article contient 402 mots.
Source brute de l'article :
Commit version : 1bfbbab

Description

Pour une raison ou l’autre, il vous est impératif de révoquer votre clé… alors révoquons !

Les raisons :

Une clé qui arrive à expiration…
Une clé qui est perdue, volée…
Une clé, malheureusement, compromise…

Révocation

L’acte de révocation est un acte simple, à partir du moment où vous avez bel et bien votre fichier de révocation relatif à la clé en question !

Dans le cas où votre clé arrive à expiration, il est toujours temps de (re?)générer un certificat de révocation…
je vous renvoie à la lecture de mon article : “Guide bonnes pratiques de création GPG ” au chapitre “Création du certificat de révocation” ! ;-)

Pour importer le certificat de révocation, on s’y prend ainsi :

$ gpg --import ~/.gnupg/email@domain.tld.rev.asc

Maintenant il faut l’éditer, puis utiliser l’option revkey :

Si vous révoquez votre clé parce que :

elle a été compromise, volée, perdue ; indiquez le choix ‘Key has been compromised’
elle est arrivée à expiration ; indiquez le choix ‘Key is no longer used’.
elle est remplacée pour utiliser de meilleurs algorithmes, pour la rendre plus “forte”, etc… : indiquez le choix ‘Key is superseded’.
si vous ne voulez pas donner de raisons, indiquez le choix ‘No reason specified’.

Code :

Cas particulier des sous-clés

Dans mon mémoriel “Guide bonnes pratiques de création GPG ” (cf : le chapitre “Transformons nos clés”), nous avons abordé le point de la transformation des clés “primaires”… juste avant j’avais rappelé la nécessité d’exporter vos clés.
J’espère que vous l’avez bel et bien fait !

Nous allons utiliser les fichiers exportés des clés publiques et privés, afin de révoquer les sous-clés relatives…

$ gpg --import ~/.gnupg/email@domain.tld.public_key.asc ~/.gnupg/email@domain.tld.private_key.asc

Bien-sûr, si ces fichiers de clés sont dans un autre chemin, indiquez le bon répertoire, et le bon nom de fichier. ;-)

Maintenant, nous révoquons nos sous-clés :

Code :

Publier

Ne pas oublier la phase importante qu’est celle d’annoncer au monde entier que votre clé ou vos sous-clés sont révoquées, en la publiant sur un des serveurs SKS.

Là, je vous renvoie à la lecture de mon Guide bonnes pratiques de création GPG , sus-nommé, au chapitre “Partagez votre clé publique !”

De bonnes lectures

Je rappelle de bonnes lectures, qui m’ont inspiré, bien-sûr ce mémo :

l’article d’Alex Cabal : “Creating the perfect GPG keypair”
le guide “Créer et maintenir une paire de clés - tome 2 du Guide d’autodéfense numérique”